AWS Shield

托管式 DDoS 防护

AWS Shield 是一种托管式分布式拒绝服务 (DDoS) 防护服务,可以保护在 AWS 上运行的应用程序。AWS Shield 提供持续检测和自动内联缓解功能,能够尽可能缩短应用程序的停机时间和延迟,因此您不需要联系 AWS Support 来获得 DDoS 防护。AWS Shield 有两个层级,分别为 Standard 和 Advanced。

所有 AWS 客户都可以使用 AWS Shield Standard 的自动防护功能,不需要额外支付费用。AWS Shield Standard 可以防护大多数以网站或应用程序为攻击对象并且频繁出现的网络和传输层 DDoS 攻击。将 AWS Shield Standard 与 Amazon CloudFront 和 Amazon Route 53 一起使用时,您将获得针对所有已知基础设施(第 3 层和第 4 层)攻击的全面可用性保护。

对于以在 Amazon Elastic Compute Cloud (EC2)、Elastic Load Balancing (ELB)、Amazon CloudFront 和 Amazon Route 53 资源上运行的应用程序为目标的攻击,如果想要获得更高级别的防护,您可以使用 AWS Shield Advanced。除了 Standard 版本提供的常见网络和传输层防护之外,AWS Shield Advanced 还可以针对复杂的大型 DDoS 攻击提供额外的检测和缓解服务,让您能够近实时查看各种攻击,并且集成了 AWS WAF 这一 Web 应用程序防火墙。使用 AWS Shield Advanced,您还可以联系随时待命的 AWS DDoS 响应团队 (DRT) 并可以获得针对您 Amazon Elastic Compute Cloud (EC2)、Elastic Load Balancing (ELB)、Amazon CloudFront 和 Amazon Route 53 费用中出现的 DDoS 相关高峰的全天候防护。

目前,客户可在全球所有 Amazon CloudFront 和 Amazon Route 53 边缘站点使用 AWS Shield Advanced。通过为您的应用程序部署 Amazon CloudFront,您可以保护在全球任意位置托管的 Web 应用程序的安全。您的源服务器可以是 Amazon S3、Amazon Elastic Compute Cloud (EC2)、Elastic Load Balancing (ELB) 或 AWS 外部的自定义服务器。您还可以在以下 AWS 区域直接在弹性 IP 或 Elastic Load Balancing (ELB) 上启用 AWS Shield Advanced:弗吉尼亚北部、俄勒冈、爱尔兰、东京和加利福尼亚北部。

优势

无缝集成和部署

AWS Shield Standard 可以为您的 AWS 资源自动防护大多数频繁出现的网络和传输层 DDoS 攻击。如果您想要使用管理控制台或 API 来保护弹性 IP、Elastic Load Balancing (ELB)、Amazon CloudFront 或 Amazon Route 53 资源,则可以通过启用 AWS Shield Advanced 来实现更高级别的防护。

自定义防护

借助 AWS Shield Advanced,您可以灵活地制定各种自定义规则来缓解复杂的应用层攻击。自定义规则可以立即部署,帮助您快速缓解攻击。您可以主动设置规则,用于自动阻止恶意流量或在事件发生时自动处理事件。您还可以联系随时待命的 AWS DDoS 响应团队 (DRT),该团队可以为您制定规则以便缓解应用层 DDoS 攻击。

经济高效

AWS 客户可以利用 AWS Shield Standard 来自动获得针对最常见的 DDoS 攻击的网络层防护。启动这一防护不需要额外的费用、资源或时间。AWS Shield Advanced 可以提供“DDoS 费用保护”功能,这一功能可以在因 DDoS 攻击而出现 EC2、Elastic Load Balancing (ELB)、Amazon CloudFront 和 Amazon Route 53 使用高峰时,保护您的 AWS 费用不受影响。

防护使用案例

Web 应用程序和 API

当使用 Amazon CloudFront 时,AWS Shield Standard 自动针对 SYN 泛洪、UDP 泛洪或其他反射攻击等基础设施层攻击提供全面保护。AWS Shield Standard 始终启用检测和缓解系统,以自动净化第 3 层和第 4 层的欠佳流量,以保护您的应用程序。在 AWS Shield Standard 检测到的基础设施层攻击中,超过 99% 会在不到 1 秒内自动缓解 Amazon CloudFront 上的攻击。

了解如何使用 Amazon CloudFront 保护动态应用程序免受 DDoS 攻击

了解 Slack 如何使用 Amazon CloudFront 防止遭到 DDoS 攻击

为了进一步防止复杂的大型 DDoS 攻击,您还可以在 Amazon CloudFront 上使用 AWS Shield Advanced。使用 Shield Advanced,客户可以联系随时待命的 AWS DDoS 响应团队 (DRT),该团队会使用流量工程等额外技术,积极落实各种缓解措施来防止所有复杂的基础设施层(第 3 层或第 4 层)攻击。此外,AWS Shield Advanced 还可以保护您免受应用程序层攻击,例如 HTTP 泛洪。AWS Shield Advanced 始终启用内置的检测系统,以将客户的稳态应用程序流量维持在基准水平并监控任何异常情况。AWS Shield Advanced 中包括 AWS WAF,无需额外成本,允许您自定义任何应用程序层缓解方案。

Slack — 安全的 API 加速

演讲者:
Alex Graham, Sr.Slack Technologies, Inc. 运营工程师

200x100_Slack_Logo

DNS

AWS Shield Standard 可自动保护受到 DDoS 攻击的基础设施层中 Amazon Route 53 托管的区域,不额外收取任何费用。这包括频繁以 DNS 为目标的反射攻击或 SYN 洪流等攻击。AWS Shield Standard 自动使用标头验证、基于优先级的流量控制等各种技术来自动缓解这些 DDoS 攻击。

此外,当您需要联系随时待命的 AWS DDoS 响应团队以进行手动干预时, AWS Shield Advanced 还会针对极端场景提供额外防护,而且,AWS Shield Advanced 还可以针对 Route 53 基础设施上的攻击提供可见性。

详细了解如何使用 Amazon Route 53 和 AWS Shield 降低 DDoS 风险

其他应用程序(如基于 UDP 的应用程序)

对于其他非基于 TCP(如 UDP 和 SIP 等)的自定义应用程序,您不能使用 Amazon CloudFront 或 Elastic Load Balancing 等服务。在这些情况下,您通常需要直接在面向 Internet 的 Amazon EC2 实例上运行应用程序。AWS Shield Standard 还保护您的 Amazon EC2 实例免受常见基础架构层(第 3 层和第 4 层)DDoS 攻击,例如 UDP 反射攻击(DNS 反射、NTP 反射和 SSDP 反射等)。AWS Shield Standard 使用了基于优先级的流量定形等各种技术,当检测到定义明确的 DDoS 攻击签名时,这些技术会自动实施。

您还可以在弹性 IP 地址上启用 AWS Shield Advanced,进一步保护这些应用程序免受复杂的大型 DDoS 攻击。AWS Shield Advanced 的增强型 DDoS 检测技术可以自动检测 AWS 资源的类型和 EC2 实例的大小,并应用适当的预定义缓解配置文件。使用 AWS Shield Advanced,客户还能请求随时待命的 AWS DDoS 响应团队 (DRT) 帮助自己创建自定义缓解配置文件。AWS Shield Advanced 还确保在 DDoS 攻击期间,所有 Amazon VPC 网络访问控制列表 (ACL) 自动在 AWS 网络的边界上强制执行,这将为您提供额外的带宽,并让您足以缓解大型 DDoS 攻击。使用 AWS Shield Advanced,您可以获得额外的保护,免受 SYN 泛洪等 DDoS 攻击或 UDP 泛洪等其他攻击。

详细了解如何将弹性 IP 附加到 Amazon EC2 实例

开始使用 AWS

icon1

注册 AWS 账户

立即享受 AWS 免费套餐
icon2

通过 10 分钟教程来进行学习

通过 简单教程进行探讨和学习。
icon3

开始使用 AWS 进行构建

按照可帮助您启动 AWS 项目的分步指南开始构建。

了解有关 AWS Shield 的更多信息

访问功能页面
准备好开始构建了吗?
开始使用 AWS Shield
还有更多问题?
联系我们