开始免费使用 AWS

创建免费账户

获得 12 个月 AWS 免费套餐,同时享受 AWS 的基本支持功能,包括全年全天候无休客户服务、支持论坛及更多。

问:什么是 AWS Shield?

AWS Shield 是一项托管服务,用于保护 AWS 上运行的 Web 应用程序免受 DDoS 攻击。所有 AWS 客户都可以使用 AWS Shield Standard,且无需额外付费。AWS Shield Advanced 是一项可选的付费服务,面向 AWS 商业支持计划和 AWS 企业支持计划的客户提供。AWS Shield Advanced 能保护 Elastic Load Balancing (ELB)、Amazon CloudFront 和 Route 53 上运行的应用程序,使其免受更大型、更复杂的攻击。

问:什么是 AWS Shield Standard?

AWS Shield Standard 可以保护所有 AWS 客户免受常见的、最为频繁的基础设施层 (第 3 层和第 4 层) 攻击 (如 SYN/UDP 洪泛、反射攻击和其他攻击),确保 AWS 上的应用程序具有较高的可用性。

问:什么是 AWS Shield Advanced?

AWS Shield Advanced 可以为 Elastic Load Balancing (ELB)、Amazon CloudFront 和 Route 53 上运行的应用程序提供增强保护,保护它们免于遭受更大型、更复杂的攻击。AWS Shield Advanced 面向 AWS 商业支持计划和 AWS 企业支持计划的客户提供。利用 AWS Shield Advanced 提供的保护,您可以实现基于流的持续网络流量监控和主动的应用程序监控,并近乎实时地发送 DDoS 攻击通知。借助 AWS Shield Advanced,客户还可以高度灵活地控制攻击缓解,以便立即采取相应措施。此外,客户还可以联系提供全天候服务的 DDoS 响应团队 (DRT) 来管理和缓解应用程序层的 DDoS 攻击。AWS Shield Advanced 具有 DDoS 费用保护功能,在因 DDoS 攻击而出现 Elastic Load Balancing (ELB)、Amazon CloudFront 和 Amazon Route 53 使用高峰时,该功能可以防止您的 AWS 费用增加。

问:什么是 DDoS 费用保护?

AWS Shield Advanced 具有 DDoS 费用保护功能,在因 DDoS 攻击而出现 Elastic Load Balancing (ELB)、Amazon CloudFront 或 Amazon Route 53 使用高峰时,该功能可以防止您的费用增加。如果上述任一服务的费用因 DDoS 攻击而增加,您可以通过常规的 AWS Support 渠道申请退款。

问:是否可以使用 AWS Shield 来保护未在 AWS 上托管的网站?

可以。AWS Shield 已与 Amazon CloudFront 实现集成,支持为 AWS 外部的自定义来源提供保护。

问:AWS Shield 的所有功能是否都支持 IPv6?

是的。AWS Shield 的所有检测和缓解功能都支持 IPv6 和 IPv4,且不会对该服务的性能、可扩展性或可用性产生任何显著的影响。

问:要激活 AWS Shield Advanced,是否需要具备一些先决条件?

是的。订阅 AWS Shield Advanced 时,您要使用的 AWS 账户必须已经加入 AWS 商业支持计划或 AWS 企业支持计划。有关支持计划的更多信息,请访问 AWS Support 网站

问:如何测试 AWS Shield?

AWS 可接受使用策略描述了 AWS 允许和禁止的行为以及禁止的安全违规和网络滥用行为。但是,由于经常难以区分渗透测试和其他模拟事件与此类禁止行为,因此,我们制订了一项策略,允许客户在提出申请并获得许可后对 AWS 环境或从该环境执行渗透测试和漏洞扫描。要申请获得许可,请访问渗透测试页面

问:目前可在哪些 AWS 地区使用 AWS Shield Standard? 

目前,客户可在全球各个 AWS 地区和 AWS 边缘站点,在各种 AWS 服务上使用 AWS Shield Standard。

请参阅地区性产品和服务,详细了解 AWS Shield Standard 在各个地区的可用性。

问:目前可在哪些 AWS 地区使用 AWS Shield Advanced?

目前,客户可在全球所有 Amazon CloudFront 和 Amazon Route 53 边缘站点使用 AWS Shield Advanced。通过为您的应用程序部署 Amazon CloudFront,您可以保护在全球任意位置托管的 Web 应用程序的安全。您的来源服务器可以是 Amazon S3、Amazon EC2、Elastic Load Balancing 或 AWS 外部的自定义服务器。在以下 AWS 地区,您还可以直接在 Elastic Load Balancing 上启用 AWS Shield Advanced:弗吉尼亚北部、加利福尼亚北部、俄勒冈、爱尔兰和东京。

请参阅区域性产品和服务,详细了解 AWS Shield Advanced 在各个区域的可用性。

问:AWS Shield 是否符合 HIPAA 要求?

符合,AWS 已对其 HIPAA 合规性计划进行扩展,其中已将 AWS Shield 作为一项符合 HIPAA 要求的服务包括进来。如果您已与 AWS 签订商业合伙协议 (BAA),则可以使用 AWS Shield 来保护您在 AWS 上运行的 Web 应用程序,使其免受分布式拒绝服务 (DDoS) 攻击。有关更多消息,请参阅 HIPAA 合规性


问:AWS Shield 可以帮助我停止哪些类型的攻击?

AWS Shield 可以保护您的网站免受各种类型的 DDoS 攻击,包括基础设施层攻击 (如 UDP 洪泛)、状态耗尽攻击 (如 TCP SYN 洪泛) 和应用程序层攻击 (如 HTTP GET 或 POST 洪泛)。要查看相关示例,请参阅 AWS WAF 和 AWS Shield Advanced 开发人员指南

问:AWS Shield Standard 可以针对哪些类型的攻击提供防护?

AWS Shield Standard 可以自动保护 AWS 上运行的 Web 应用程序,使其免受最常见且频繁发生的基础设施层攻击 (如 UDP 洪泛) 和状态耗尽攻击 (如 TCP SYN 洪泛)。客户也可以使用 AWS WAF 来针对 HTTP POST 或 GET 洪泛等应用程序层攻击提供防护。要详细了解如何部署应用程序层防护,请参阅 AWS WAF 和 AWS Shield Advanced 开发人员指南

问:可以使用 AWS Shield Standard 保护多少资源?

AWS Shield Standard 对于接受保护的资源没有数量限制。您可以遵循 AWS 的 DDoS 攻击恢复最佳实践,以享受 AWS Shield Standard 防护带来的全部好处。

问:可以使用 AWS Shield Advanced 保护多少资源?

您最多可以使用 AWS Shield Advanced 保护 100 项 AWS 资源 (如负载均衡器、Amazon CloudFront 分配、Amazon Route 53 委托集)。如果您要保护的资源超出此限制,您可以创建 AWS Support 案例来申请提高上限

问:是否可以使用 API 激活 AWS Shield Advanced 防护?

可以。您可以使用 API 激活 AWS Shield Advanced,还可以使用 API 添加或删除使用 AWS Shield Advanced 保护的 AWS 资源。

问:攻击缓解的速度有多快?

通常情况下,对于 AWS Shield 检测到的基础设施层攻击,若攻击位于 Amazon CloudFront 和 Amazon Route 53 上,其中 99% 的攻击可在 1 秒内缓解,若攻击位于 Elastic Load Balancing 上,则可在 5 秒内缓解。剩余 1% 的基础设施层攻击通常会在 20 分钟内缓解。您可以使用 AWS WAF 编写规则来缓解应用程序层攻击,AWS WAF 会在流量传入过程中检测和缓解这些攻击。


问:AWS Shield Standard 可以提供哪些工具来缓解 DDoS 攻击?

AWS Shield Standard 可以自动保护在 AWS 上运行的 Web 应用程序,使其免受最常见且频繁发生的 DDoS 攻击。您可以遵循 AWS 的 DDoS 攻击恢复最佳实践,以享受 AWS Shield Standard 防护带来的所有好处。

问:AWS Shield Advanced 可以提供哪些工具来缓解 DDoS 攻击?

AWS Shield Advanced 可以管理第 3 层和第 4 层的 DDoS 攻击缓解。这意味着,该服务可以保护您指定的 Web 应用程序免受 UDP 洪泛、TCP SYN 洪泛等攻击。另外,对于应用程序层 (第 7 层) 攻击,您可以使用 AWS WAF 来应用您的缓解措施,或者联系提供全天候服务的 AWS DDoS 响应团队 (DRT),他们可以帮助您编写规则来缓解第 7 层 DDoS 攻击。

问:如何联系 AWS DDoS 响应团队?

您可以通过常规的 AWS 支持方式联系 AWS DDoS 响应团队 (DRT),也可以联系 AWS Support

问:可以在多长时间内联系到 AWS DDoS 响应团队 (DRT)?

DRT 的响应时间取决于您订阅的 AWS Support 计划。我们将会尽一切合理努力,在相应时间期限内响应您的初始请求。有关 AWS Support 计划的更多信息,请访问 AWS Support 网站


问:发生攻击时,AWS Shield 是否会通知我?

是的。使用 AWS Shield Advanced 时,您可以通过 CloudWatch 指标获得 DDoS 攻击通知。

问:需要多长时间才能收到攻击通知?

通常情况下,AWS Shield Advanced 在检测到攻击后,会在几分钟内发出攻击通知。

问:我是否可以获取一份 AWS 资源的所有 DDoS 攻击历史记录?

可以。使用 AWS Shield Advanced,您可以查看过去 13 个月内发生的所有事件的历史纪录。

问:如何了解 AWS WAF 规则是否正常发挥作用?

AWS WAF 含有两种不同的方式,帮助您确认您的网站受保护情况:您可以在 CloudWatch 获取每分钟的指标,同时您也可以从 AWS WAF API 或管理控制台中获取 Web 请求采样。您可以通过查阅这些信息,查阅到所有被阻止、获允许或经计数的请求,同时能看到每个请求是符合哪条规则(例如,此 Web 请求因符合 IP 地址条件而受阻止,等等)。有关详情,请参阅 AWS WAF 和 AWS Shield Advanced 开发人员指南


问:AWS Shield Standard 如何收费?

AWS Shield Standard 内置于您已用于 Web 应用程序的 AWS 服务中。因此,您无需额外付费,即可使用 AWS Shield Standard。

问:AWS Shield Advanced 如何收费?

对于 AWS Shield Advanced,您需要每月支付 3000 USD 的月度费用。此外,您还需要为启用高级防护的 AWS 资源支付数据传输使用费。AWS Shield Advanced 的费用不包含在 Elastic Load Balancing (ELB)、Amazon CloudFront 和 Amazon Route 53 的标准费用内。有关详情,请参阅 AWS Shield 定价页面

问:如何用多个 AWS 账户启用 AWS Shield Advanced?

如果您的组织拥有多个 AWS 账户,那么您可以使用这些 AWS 账户来订购 AWS Shield Advanced。只要这些 AWS 账户均在同一个整合账单下,且您拥有所有这些 AWS 账户及其中的资源,您就可以一次性支付月度费用。