介绍 AWS WAF 的全新控制台体验
现在,您可以使用更新后的体验访问控制台中任意位置的 AWS WAF 功能。有关更多详细信息,请参阅 使用更新的控制台体验。
CloudFront 和 Route 53 的 AWS Shield 缓解逻辑
本页介绍了 Shield DDoS 缓解会何持续检查 CloudFront 和 Route 53 的流量。这些服务在全局分布的 AWS 边缘站点上运行,使您可以广泛访问 Shield 的 DDoS 缓解能力,并通过更接近最终用户的基础设施交付应用程序。
重要
AWS Shield Advanced 不支持 CloudFront 租户。
-
CloudFront:Shield DDoS 缓解措施仅允许对网络应用程序有效的流量通过该服务。这可以自动防范许多常见的 DDoS 向量,例如 UDP 反射攻击。
CloudFront 保持与您的应用程序来源的持续连接,通过与 Shield TCP SYN 代理功能集成可自动缓解 TCP SYN 泛洪,传输层安全性协议(TLS)在边缘终止。这些组合功能可确保您的应用程序源仅接收格式正确的 web 请求,并保护其免受低层 DDoS 攻击、连接泛洪和 TLS 滥用的侵害。
CloudFront 结合使用 DNS 流量方向和任播路由。这些技术通过缓解靠近源头的攻击,提供故障隔离以及确保访问容量以缓解已知最大规模的攻击,从而提高应用程序的弹性。
-
Route 53:Shield 缓解措施仅允许有效的 DNS 请求到达服务。Shield 使用可疑评分来缓解 DNS 查询泛洪,该评分会优先考虑已知良好的查询,并降低包含可疑或已知 DDoS 攻击属性的查询的优先级。
Route 53 使用随机分片为每个托管区域(包括 IPv4 和 IPv6)提供一组唯一的四个解析器 IP 地址。每个 IP 地址对应于 Route 53 位置的不同子集。每个位置子集都由权威 DNS 服务器组成,这些服务器仅与任何其他子集中的基础设施部分重叠。这样可以确保如果用户查询因任何原因失败,则在重试时将成功提供该查询。
Route 53 使用任播路由,根据网络邻近程度,将 DNS 查询定向到最近的边缘站点。任播还将 DDoS 流量分散到许多边缘站点,从而防止攻击集中在单个位置。
除了缓解速度外,CloudFront 和 Route 53 还为 Shield 的全局分布式容量提供了广泛的访问权限。要利用这些功能,请将这些服务用作动态或静态 web 应用程序的入口点。
要了解有关使用 CloudFront 和 Route 53 保护 web 应用程序的更多信息,请参阅如何使用 Amazon CloudFront 和 Amazon Route 53 帮助保护动态 Web 应用程序免受 DDoS 攻击
