適用於 TCP 和 UDP 應用程式的 DDoS 彈性範例 - AWS WAF、AWS Firewall Manager 與 AWS Shield Advanced

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

適用於 TCP 和 UDP 應用程式的 DDoS 彈性範例

此範例顯示在使用 Amazon 彈性運算雲端 (Amazon EC2) 執行個體或彈性 IP (EIP) 地址的AWS區域中,TCP 和 UDP 應用程式適用的 DDoS 彈性架構。

您可以依照此一般範例來改善下列應用程式類型的 DDoS 彈性:

  • TCP 或 UDP 應用程式。例如,用於遊戲、IoT 和 IP 語音的應用程式。

  • 需要靜態 IP 地址或使用 Amazon CloudFront 不支援之協定的 Web 應用程式。例如,您的應用程式可能需要使用者可以新增至防火牆允許清單的 IP 位址,而且其他任何AWS客戶都不會使用這些 IP 位址。

您可以透過引入 Amazon Route 53 和AWS Global Accelerator. 來改善這些應用程式類型的 DDoS 彈性。這些服務可以將使用者路由到您的應用程式,而且他們可以為您的應用程式提供靜態 IP 位址,這些 IP 位址是透過AWS全球邊緣網路傳送的任 全域加速器標準加速器可將使用者延遲提升高達 60%。如果您有 Web 應用程式,則可以在應用程式負載平衡器上執行應用程式,然後使用 Web ACL 保護 Application Load Balancer,藉此偵測並緩解 AWS WAF Web Application Load Balancer 層要求洪水。

建置應用程式之後,請使用 Shield Advanced 保護 Route 53 託管區域、全域加速器標準加速器,以及任何應用程式負載平衡器。當您保護應用程式負載平衡器時,您可以建立 AWS WAF Web ACL 的關聯,並為它們建立速率型規則。您可以透過關聯新的或現有的 Route 53 運作狀態檢查,為 Global Accelerator 標準加速器和應用程式負載平衡器設定 SRT 的主動互動。若要深入瞭解選項,請參閱資源保護 AWS Shield Advanced

下面的參考圖描述了 TCP 和 UDP 應用程序的 DDoS 彈性架構示例。


				該圖顯示連接到 53 號路線和AWS Global Accelerator. 加速器連接到受AWS Shield Advanced和保護的 Elastic Load Balancing 圖示AWS WAF。Elastic Load Balancing 本身已連接到 Amazon EC2 執行個體。這個 Elastic Load Balancing 執行個體和 Amazon EC2 執行個體位於區域 1。該實例AWS Global Accelerator也直接連接到另一個 Amazon EC2 實例,該實例不在受保護的 Elastic Load Balancing 功能之後。第二個 Amazon EC2 實例位於區域 n。

這種方法為您的應用程序提供的好處包括以下內容:

  • 防止最大的已知基礎架構層(第 3 層和第 4 層)DDoS 攻擊。如果攻擊的數量從上游導致阻塞AWS,則該故障將被隔離在更靠近其來源的位置,並將對您的合法使用者產生最小的影響。

  • 保護 DNS 應用程式層攻擊,因為 Route 53 負責提供權威性 DNS 回應。

  • 如果您有 Web 應用程序,則此方法可提供防止 Web 應用程序層請求洪水的保護。您在 AWS WAF Web ACL 中設定的以速率為基礎的規則會在來源 IP 傳送的要求數量超過規則允許的情況下封鎖這些 IP。

  • 如果您選擇針對符合資格的資源啟用此選項,請與護 Shield 回應團隊 (SRT) 主動互動。當 Shield Advanced 偵測到會影響應用程式健康狀態的事件時,SRT 會使用您提供的聯絡資訊回應並主動與您的安全或營運團隊互動。