AWS Shield Standard


适合于基础 AWS 服务的静态阈值 DDoS 保护

AWS Shield Standard 可以提供网络流量持续监控功能,这一功能可以检测传入到 AWS 服务的流量,并采用流量签名、异常算法和其他分析技术来实时检测恶意流量。Shield Standard 为每个 AWS 资源类型设置了静态阈值,但不会为 AWS 客户的应用程序提供任何自定义保护。

内联攻击缓解

AWS Shield Standard 内置多种自动缓解技术,使基础 AWS 服务保护能够防护频繁出现的常见基础设施攻击。自动缓解功能以内联方式应用,以保护 AWS 服务,因此不会受到延迟的影响。AWS Shield Standard 采用确定性数据包过滤和基于优先级的流量整形等技术,可以自动缓解基本网络层攻击。

AWS Shield Advanced


基于应用程序流量模式的定制检测

AWS Shield Advanced 为受保护的弹性 IP 地址、Elastic Load Balancing (ELB)、Amazon CloudFront、AWS Global Accelerator 或 Amazon Route 53 资源提供基于流量模式的自定义检测功能。AWS Shield Advanced 使用其他特定于区域和资源的监控技术,检测较小的 DDoS 攻击并向您发出警报。AWS Shield Advanced 还可以针对应用程序上的流量建立基线并识别异常情况,从而检测 HTTP 洪泛或 DNS 查询洪泛等应用程序层攻击。

基于运行状况的检测

AWS Shield Advanced 可根据应用程序的运行状况来提高攻击检测和缓解的响应能力和准确性。您可以在 Amazon Route 53 中定义运行状况检查,然后通过控制台或 API 将其与受 Shield Advanced 保护的资源关联。这样的话,Shield Advanced 能以更低的流量阈值更快地检测影响应用程序运行状况的攻击,提高应用程序的 DDoS 弹性,并防止误报。资源运行状态还会提供给 DDoS 响应团队,使他们能够相应地优先对运行不正常的应用程序作出响应。您可以将基于运行状况的检测应用于 Shield Advanced 支持的所有资源类型:Elastic IP、Elastic Load Balancing (ELB)、Amazon CloudFront、AWS Global Accelerator 或 Amazon Route 53。

高级攻击缓解

AWS Shield Advanced 可以为您提供更为精细的自动缓解机制,用于防护以在受保护的 Amazon Elastic Compute Cloud (EC2)、Elastic Load Balancing (ELB)、Amazon CloudFront、AWS Global Accelerator 和 Amazon Route 53 资源上运行的应用程序为目标的攻击。AWS Shield Advanced 利用先进的路由技术,可以自动部署更多缓解能力,使您的应用程序不受 DDoS 攻击。对于采用商业或企业支持计划的客户,AWS DDoS 响应团队 (DRT) 也可以为您手动缓解针对您的应用程序的更复杂、更高级的 DDoS 攻击。对于应用程序层攻击,您可以使用 AWS WAF,无需为 AWS Shield Advanced 受保护资源支付额外费用,以设置基于速率的黑名单等主动规则,自动阻止攻击源 IP 地址的 Web 请求,或在事件发生时立即作出响应。您也可以直接与 DRT 联系,以您的名义发布自定义AWS WAF 规则,以便响应应用程序层 DDoS 攻击。DRT 将诊断攻击,并且在您允许的情况下,可以代表您应用缓解,从而缩短您的应用程序受持续 DDoS 攻击影响的时间。

主动事件响应

AWS Shield Advanced 使 DDoS 响应团队 (DRT) 能够在检测到 DDoS 事件时进行主动参与。当您启用主动参与后,如果与您的保护资源相关的 Amazon Route 53 运行状况检查在发生 DDoS 事件时变为运行不良状况,DRT 将直接联系您。这样一来,当您的应用程序可用性受到疑似攻击影响时,您可以与专家更加快速地互动。对于弹性 IP 地址和 Global Accelerator 加速器上的网络层和传输层事件,以及对 CloudFront 发行版和 Application Load Balancer 上的应用程序层攻击,您可以接收主动参与。

可见性与攻击通知

AWS Shield Advanced 通过 Amazon CloudWatch 为您提供 DDoS 攻击的完整可见性以及近乎实时的通知,并在“AWS WAF 和 AWS Shield”管理控制台或 API 上提供详细的诊断信息。您也可以从“AWS WAF 和 AWS Shield”管理控制台查看汇总显示的之前发生过的攻击。

DDoS 费用保护

AWS Shield Advanced 具有“DDoS 费用保护”功能,这一功能可以在受保护的 Amazon Elastic Compute Cloud (EC2)、Elastic Load Balancing (ELB)、Amazon CloudFront、AWS Global Accelerator 或 Amazon Route 53 资源出现 DDoS 相关的使用量高峰时,防止您的费用增加。如果上述任一受保护的资源的费用因 DDoS 攻击而增加,您可以通过常规的 AWS Support 渠道申请 AWS Shield Advanced 服务退款。

专业支持

对于采用商业或企业支持计划的客户,您可以通过 AWS Shield Advanced 联系随时待命的 AWS DDoS 响应团队 (DRT),该团队可以在 DDoS 攻击发生之前、发生过程中或发生之后为您提供服务。DRT 会帮助您对攻击进行诊断、确定根本原因并采取缓解措施。DRT 在快速响应和缓解针对 AWS 客户的 DDoS 攻击方面具有深厚的专业知识。

全球可用

目前,客户可在全球所有 Amazon CloudFront、AWS Global Accelerator 和 Amazon Route 53 边缘站点使用 AWS Shield Advanced。通过为您的应用程序部署 Amazon CloudFront,您可以保护在全球任意位置托管的 Web 应用程序的安全。您的源服务器可以是 Amazon S3、Amazon Elastic Compute Cloud (EC2)、Elastic Load Balancing (ELB) 或 AWS 外部的自定义服务器。您还可以在 AWS Shield Advanced 可用的所有区域中直接对弹性 IP 或 Elastic Load Balancing (ELB) 实例启用保护。

集中式保护管理

AWS Shield Advanced 客户可以使用 AWS Firewall Manager 在整个组织中应用 AWS Shield Advanced 和 AWS WAF 保护。Firewall Manager 的费用包括在 Shield Advanced 订阅费里面。使用 AWS Firewall Manager,您可以自动配置涵盖多个账户和资源的策略。Firewall Manager 会自动审核账户以查找新的或未受保护的资源,并确保 AWS Shield Advanced 和 AWS WAF 保护已得到普遍应用。这使得开发人员能够自信地快速迁移和部署新的应用程序,并且还会自动应用相应的保护。如需了解更多有关 AWS Firewall Manager 的信息,请访问产品网站

了解有关 AWS Shield 定价的更多信息

访问定价页面
准备好开始构建了吗?
开始使用 AWS Shield
还有更多问题?
联系我们