AWS Shield Advanced 依資源類型分類的保護 - AWS WAF, AWS Firewall Manager和 AWS Shield Advanced

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

AWS Shield Advanced 依資源類型分類的保護

Shield 高級保護在網絡和傳輸層(第 3 層和 4 層)和應用層(第 7 層)的 AWS 資源。您可以直接保護某些資源,也可以透過與受保護的資源建立關聯,Shield 高級支持 IPv4,並且不支持 IPv6。

本節提供有關每種資源類型的「Shield 進階保護」的資訊。

注意

護 Shield 進階僅保護您在 Shield 牌進階或透過護 Shield 進階策略指定的資源。 AWS Firewall Manager 它不會自動保護您的資源。

您可以使用「Shield 牌進階」,透過下列資源類型進行進階監控和防護:

  • Amazon CloudFront 分佈。針對 CloudFront 持續部署,Shield Advanced 會保護任何與受保護主要發行版相關聯的暫存散發。

  • Amazon 路線 53 託管區域。

  • AWS Global Accelerator 標準加速器。

  • Amazon EC2 彈性 IP 地址。Shield 進階保護與受保護的彈性 IP 位址相關聯的資源。

  • Amazon EC2 執行個體,透過與 Amazon EC2 彈性 IP 地址的關聯。

  • 下列 Elastic Load Balancing (ELB) 負載平衡器:

    • 應用程式負載平衡器。

    • Classic Load Balancer。

    • 網路負載平衡器,透過與 Amazon EC2 彈性 IP 地址的關聯。

您無法使用「Shield 牌進階」來保護任何其他資源類型。例如,您無法保護 AWS Global Accelerator 自訂路由加速器或閘道負載平衡器。

每種資源類型最多可監控和保護 1,000 個資源 AWS 帳戶。例如,在單一帳戶中,您可以保護 1,000 個 Amazon EC2 彈性 IP 地址、1,000 個 CloudFront 分發和 1,000 個應用程式負載平衡器。您可以透過 Service Quotas 主控台 https://console.aws.amazon.com/servicequotas/ 申請增加使用 Shield 牌進階保護的資源數量。

使用 Shield 護進階保護 Amazon EC2 執行個體和網路負載平衡器

您可以先將這些資源附加到彈性 IP 地址,然後在 Shield 進階中保護彈性 IP 地址,以保護 Amazon EC2 執行個體和網路負載平衡器。

當您保護彈性 IP 位址時,防 Shield 進階會識別並保護它們所附加的資源。Shield Advanced 會自動識別附加至彈性 IP 位址的資源類型,並針對該資源套用適當的偵測和緩和措施。這包括設定彈性 IP 位址專屬的網路 ACL。如需將彈性 IP 地址與 AWS 資源搭配使用的詳細資訊,請參閱下列指南:Amazon 彈性運算雲端文件或 E lastic Load Balancing 說明文件

在攻擊期間,Shield 牌進階會自動將您的網路 ACL 部署到網路邊界 AWS 。當您的網路 ACL 位於網路邊界時,防 Shield 進階可提供針對較大型 DDoS 事件的保護。一般而言,網路 ACL 會套用在 Amazon VPC 內的 Amazon EC2 執行個體附近。網路 ACL 只能緩解 Amazon VPC 和執行個體所能處理的攻擊大小。例如,如果連接到 Amazon EC2 執行個體的網路界面最多可處理 10 Gbps,則超過 10 Gbps 的磁碟區會減慢速度,並可能封鎖傳送至該執行個體的流量。在攻擊期間,Shield Advanced 會將您的網路 ACL 提升到 AWS 邊界,這可以處理多 TB 的流量。您的網路 ACL 能夠提供您的資源遠超過網路典型容量的保護。如需網路 ACL 的詳細資訊,請參閱 網路 ACL

某些擴展工具,例如 AWS Elastic Beanstalk,不允許您將彈性 IP 地址自動附加到 Network Load Balancer。對於這些情況,您需要手動附加彈性 IP 地址。