AWS Shield 功能

AWS Shield 是一种托管分布式拒绝服务 (DDoS) 防护服务，可以保护在 AWS 上运行的应用程序。AWS Shield 可以提供动态检测和自动内联缓解功能，能够尽可能缩短应用程序的停机时间和延迟，因此您不需要联系 AWS Support 来获得 DDoS 防护。AWS Shield 有两个层级：Standard 和 Advanced。

所有 AWS 客户都可以使用 AWS Shield Standard 的自动防护功能，不需要额外支付费用。AWS Shield Standard 可以防护大多数以网站或应用程序为攻击对象并且频繁出现的网络和传输层 DDoS 攻击。将 AWS Shield Standard 与 Amazon CloudFront 和 Amazon Route 53 一起使用时，您将获得针对所有已知基础设施（第 3 层和第 4 层）攻击的全面可用性保护。

AWS Shield Standard 可以提供网络流量持续监控功能，这一功能可以检测传入到 AWS 服务的流量，并采用流量签名、异常算法和其他分析技术来实时检测恶意流量。Shield Standard 为每个 AWS 资源类型设置了静态阈值，但不会为应用程序提供任何自定义保护。

AWS Shield Standard 内置多种自动缓解技术，使基础 AWS 服务保护能够防护频繁出现的常见基础设施攻击。自动缓解功能以内联方式应用，以保护 AWS 服务，因此不会受到延迟的影响。Shield Standard 采用确定性数据包过滤和基于优先级的流量整形等技术，可以自动缓解基本网络层攻击。

对于以在 Amazon Elastic Compute Cloud (EC2)、Elastic Load Balancing (ELB)、Amazon CloudFront、AWS Global Accelerator 和 Amazon Route 53 资源上运行的应用程序为目标的攻击，如果想要获得更高级别的防护，您可以使用 AWS Shield Advanced。除了 Standard 版本提供的常见网络和传输层防护之外，Shield Advanced 还可以针对复杂的大型 DDoS 攻击提供额外的检测和缓解服务，让您能够近实时查看各种攻击，并且集成了 AWS WAF 这一 Web 应用程序防火墙。您还可以通过 Shield Advanced 来联系 AWS Shield Response Team (SRT) ，并防止 EC2、ELB、CloudFront、Global Accelerator 或 Route 53 的使用费受到 DDoS 相关流量峰值的影响。

AWS Shield Advanced 为受保护的弹性 IP 地址、ELB、CloudFront、Global Accelerator 或 Route 53 资源提供基于流量模式的自定义检测功能。Shield Advanced 使用其他特定于区域和资源的监控技术，检测较小的 DDoS 攻击并向您发出警报。Shield Advanced 还可以针对应用程序上的流量建立基线并识别异常情况，从而检测 HTTP 洪泛或 DNS 查询洪泛等应用程序层攻击。

AWS Shield Advanced 可根据应用程序的运行状况来提高攻击检测和缓解的响应能力和准确性。您可以在 Route 53 中定义运行状况检查，然后通过控制台或 API 将其与受 Shield Advanced 保护的资源关联。这样的话，Shield Advanced 能以更低的流量阈值更快地检测影响应用程序运行状况的攻击，提高应用程序的 DDoS 弹性，并防止误报。资源运行状态还会提供给 SRT，使他们能够相应地优先对运行不正常的应用程序作出响应。您可以将基于运行状况的检测应用于 Shield Advanced 支持的所有资源类型：Elastic IP、ELB、CloudFront、Global Accelerator 或 Route 53。

AWS Shield Advanced 可以为您提供更为精细的自动缓解机制，用于防护以在受保护的 EC2、ELB、CloudFront、Global Accelerator 和 Route 53 资源上运行的应用程序为目标的攻击。Shield Advanced 利用先进的路由技术，可以自动部署更多缓解能力，使您的应用程序不受 DDoS 攻击。对于采用商业或企业支持计划的客户，SRT 也可以为您手动缓解针对您的应用程序的更复杂、更高级的 DDoS 攻击。对于应用程序层攻击，您可以使用 AWS WAF，无需为 Shield Advanced 受保护资源支付额外费用，以设置基于速率的黑名单等主动规则，自动阻止攻击源 IP 地址的 Web 请求，或在事件发生时立即作出响应。您也可以直接与 SRT 联系，以您的名义发布自定义AWS WAF 规则，以便响应应用程序层 DDoS 攻击。SRT 将诊断攻击，并且在您允许的情况下，代表您应用缓解，从而缩短您的应用程序受持续 DDoS 攻击影响的时间。

AWS Shield Advanced 可以通过阻止应用程序层（第 7 层）DDoS 事件来自动保护 Web 应用程序，无需您或 AWS SRT 手动干预。Shield Advanced 可以在 WebACL 中创建 WAF 规则以自动缓解攻击，或者您可在纯计数模式下激活。这样您可以快速响应 DDoS 事件，阻止因应用程序层 DDoS 攻击导致应用程序停机。

AWS Shield Advanced 使 SRT 能够在检测到 DDoS 事件时进行主动参与。当您启用主动参与后，如果与您的保护资源相关的 Route 53 运行状况检查在发生 DDoS 事件时变为运行不良状况，SRT 将直接联系您。这样一来，当您的应用程序可用性受到疑似攻击影响时，您可以与专家更加快速地互动。对于弹性 IP 地址和 Global Accelerator 加速器上的网络层和传输层事件，以及对 CloudFront 发行版和 Application Load Balancer 上的应用程序层攻击，您可以接收主动参与。

AWS Shield Advanced 让您可以将资源绑定到保护组中，通过将多个资源作为单个单元处理，为您提供一种自助方式来定制应用程序的检测和缓解范围。资源分组提高了检测的准确性，减少了误报，简化了新创建资源的自动保护过程，并加快了缓解针对多个资源的攻击的时间。例如，如果一个应用程序包含四个 CloudFront 发行版，您可以将它们添加到一个保护组中，以接收对整个资源集合的检测和保护。报告还可以在保护组级别使用，从而提供整个应用程序运行状况的更全面视图。

AWS Shield Advanced 通过 Amazon CloudWatch 为您提供 DDoS 攻击的完整可见性以及近乎实时的通知，并在“AWS WAF 和 AWS Shield 控制台或 API 上提供详细的诊断信息。您还可以从控制台查看以前攻击的摘要。

AWS Shield Advanced 具有 DDoS 费用保护功能，这一功能可以在受保护的 EC2、ELB、CloudFront、Global Accelerator 或 Route 53 资源出现 DDoS 相关的使用量高峰时，防止您的费用增加。如果上述任一受保护的资源的费用因 DDoS 攻击而增加，您可以通过常规的 AWS Support 渠道申请 Shield Advanced 服务退款。

对于采用商业或企业支持计划的客户，您可以通过 AWS Shield Advanced 联系随时待命的 SRT，该团队可以在 DDoS 攻击发生之前、发生过程中或发生之后为您提供服务。SRT 会帮助您对攻击进行诊断、确定根本原因并采取缓解措施。SRT 在快速响应和缓解针对 AWS 客户的 DDoS 攻击方面具有深厚的专业知识。

目前，客户可在全球所有 CloudFront、Global Accelerator 和 Route 53 边缘站点使用 AWS Shield Advanced。通过为您的应用程序部署 CloudFront，您可以保护在全球任意位置托管的 Web 应用程序的安全。您的源服务器可以是 Amazon Simple Storage Service (S3)、EC2、ELB 或 AWS 外部的自定义服务器。您还可以在 Shield Advanced 可用的所有 AWS 区域中直接对弹性 IP 或 ELB 实例启用保护。

AWS Shield Advanced 客户可以使用 AWS Firewall Manager 在整个组织中应用 Shield Advanced 和 AWS WAF 保护。Firewall Manager 的费用包括在 Shield Advanced 订阅费里面。使用 Firewall Manager，您可以自动配置涵盖多个账户和资源的策略。Firewall Manager 会自动审核账户以查找新的或未受保护的资源，并确保 Shield Advanced 和 AWS WAF 保护已得到普遍应用。这使得开发人员能够自信地快速迁移和部署新的应用程序，并且还会自动应用相应的保护。 要了解此安全管理服务的更多信息，请参阅 AWS Firewall Manager。