AWS Shield53 號公路 CloudFront 和緩解邏輯 - AWS WAF、AWS Firewall Manager 與 AWS Shield Advanced

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

AWS Shield53 號公路 CloudFront 和緩解邏輯

防 Shield DDoS 緩解功能會持續檢查 53 號路線 CloudFront 的流量。這些服務透過遍佈全球的AWS邊緣位置網路運作,為您提供對 Shield DDoS 緩解功能的廣泛存取權,並從更接近終端使用者的基礎架構交付應用程式。

  • CloudFront— Shield DDoS 緩解措施僅允許對 Web 應用程序有效的流量傳遞到服務。這提供了對許多常見 DDoS 媒介的自動保護,例如 UDP 反射攻擊。

    CloudFront 維護與應用程式來源的持續性連線,透過與 Shield TCP SYN 代理功能整合而自動緩解 TCP SYN 洪水,並在邊緣終止傳輸層安全性 (TLS)。這些組合功能可確保您的應用程式來源僅接收格式良好的 Web 請求,並且可以防止低層 DDoS 攻擊、連線洪水和 TLS 濫用。

    CloudFront 使用 DNS 流量方向和任意廣播路由的組合。這些技術可減輕接近來源的攻擊、提供故障隔離,並確保容量存取以減輕最大的已知攻擊,藉此改善應用程式的彈性。

  • 路由 53 — Shield 牌緩和措施僅允許有效的 DNS 請求連接到服務。Shield 使用可疑評分來緩解 DNS 查詢洪水,該評分會優先處理已知的良好查詢,並排除包含可疑或已知 DDoS 攻擊屬性的查詢的優先順序。

    Route 53 使用隨機分片,為 IPv4 和 IPv6 的每個託管區域提供一組唯一的四個解析器 IP 位址。每個 IP 地址對應於 Route 53 位置的不同子集。每個位置子集都包含授權 DNS 伺服器,這些 DNS 伺服器僅與任何其他子集中的基礎結構部分重疊。這樣可以確保如果用戶查詢因任何原因失敗,它將在重試時成功提供。

    Route 53 會根據網路接近度,使用任意傳送路由將 DNS 查詢導向至最近的節點位置。Anycast 還將 DDoS 流量散佈到許多邊緣位置,從而防止攻擊專注於單個位置。

除了緩解速度之外,Route 53 CloudFront 還提供了對全球分佈式 Shield 容量的廣泛訪問權限。若要利用這些功能,請使用這些服務做為動態或靜態 Web 應用程式的進入點。

若要進一步了解如何使用 CloudFront 和 Route 53 來保護 Web 應用程式,請參閱如何使用 Amazon CloudFront 和 Amazon Route 53 協助保護動態 Web 應用程式免受 DDoS 攻擊。若要深入了解 Route 53 上的故障隔離,請參閱全域故障隔離中的案例研究