本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
操作方法Amazon Shield缓解操作
保护应用程序的缓解逻辑可能因应用程序架构而异。当您使用亚马逊保护 Web 应用程序时 CloudFront 和 Amazon Route 53,您可以从特定于 Web 和 DNS 使用案例的缓解措施中受益,这些缓解措施可保护服务的所有流量。当应用程序的入口点是在Amazon区域,缓解逻辑因服务、资源类型和您使用的Amazon Shield Advanced.
AmazonDDoS 缓解系统由 Shield 工程师开发,与Amazon服务。工程师会考虑您的架构的各个方面,例如目标资源的容量和运行状况。Shield 工程师持续监控 DDoS 缓解系统的功效和性能,并能够在发现或预计到新的威胁时快速做出响应。
您可以设计应用程序以根据流量或负载的增加进行扩展,以帮助确保它不受较小的请求泛洪的影响。如果您使用 Shield Advanced 来保护您的资源,您将获得保障,以防因 DDoS 攻击而导致的云账单意外增加。
缓解操作
对于基础设施层攻击,Amazon ShieldDDoS 缓解系统在Amazon网络边框和Amazon边缘站点。在整个过程中放置了多级安全控制措施Amazon基础设施提供 defense-in-depth 到您的云应用程序。
Shield在互联网的所有入口点都维护着DDoS缓解系统。当 Shield 检测到 DDoS 攻击时,它会针对每个入口点重新路由流量通过位于同一位置的 DDoS 缓解系统。这不会引入任何可观察到的额外延迟,并提供超过 100 的缓解能力 TeraBits 全部每秒 (Tbps)Amazon区域和所有节点。Shield 可保护您的资源可用性,而无需将流量重新路由到外部或远程清理中心,这可能会增加延迟。
-
在Amazon网络边界,适用于任何Amazon服务或资源,DDoS 缓解系统可以缓解来自互联网的基础设施层攻击。当Shield 探测器或Shield 响应小组(SRT)的工程师发出信号时,系统会执行缓解措施。
-
在Amazon边缘站点,DDoS 缓解系统会持续检查转发到亚马逊的每个数据包 CloudFront 分配和 Amazon Route 53 托管区域,无论其来源如何。必要时,系统会应用专门针对 Web 和 DNS 流量设计的缓解措施。使用Amazon 的额外优势 CloudFront 而保护您的 Web 应用程序的 Amazon Route 53 是立即缓解 DDoS 攻击,而不需要Shield 检测的信号。
应用程序层缓解操作
Shield Advanced 为亚马逊提供了 Web 应用程序层缓解措施 CloudFront 分配和 Application Load BalShield cers。启用保护后,您将Amazon WAF包含资源的 Web ACL,用于启用 Web 应用层检测。此外,您还可以选择启用自动应用层缓解,这会指示 Shield Advanced 在 DDoS 攻击期间为您管理防护。
Shield 仅针对已启用 Shield Advanced 和自动应用层缓解的资源的应用层攻击提供缓解措施。借助自动缓解功能,Shield Advanced 可自动缓解攻击Amazon WAF保护,然后在不再需要缓解操作。有关此类缓解措施的详细信息,请参阅Shield 高级版如何管理自动缓解.