AWS Shield 是一种托管式分布式拒绝服务 (DDoS) 防护服务,可以保护在 AWS 上运行的应用程序。AWS Shield 提供持续检测和自动内联缓解功能,能够尽可能缩短应用程序的停机时间和延迟,因此您不需要联系 AWS Support 来获得 DDoS 防护。AWS Shield 有两个层级,分别为 Standard 和 Advanced。
所有 AWS 客户都可以使用 AWS Shield Standard 的自动防护功能,不需要额外支付费用。AWS Shield Standard 可以防护大多数以网站或应用程序为攻击对象并且频繁出现的网络和传输层 DDoS 攻击。将 AWS Shield Standard 与 Amazon CloudFront 和 Amazon Route 53 一起使用时,您将获得针对所有已知基础设施(第 3 层和第 4 层)攻击的全面可用性保护。
对于以在 Amazon Elastic Compute Cloud (EC2)、Elastic Load Balancing (ELB)、Amazon CloudFront、AWS Global Accelerator 和 Amazon Route 53 资源上运行的应用程序为目标的攻击,如果想要获得更高级别的防护,您可以使用 AWS Shield Advanced。除了 Standard 版本提供的常见网络和传输层防护之外,AWS Shield Advanced 还可以针对复杂的大型 DDoS 攻击提供额外的检测和缓解服务,让您能够近实时查看各种攻击,并且集成了 AWS WAF 这一 Web 应用程序防火墙。使用 AWS Shield Advanced,您还可以联系随时待命的 AWS Shield 响应团队 (SRT) 并可以获得针对您 Amazon Elastic Compute Cloud (EC2)、Elastic Load Balancing (ELB)、Amazon CloudFront、AWS Global Accelerator 和 Amazon Route 53 费用中出现的 DDoS 相关高峰的全天候防护。
AWS WAF是一种 Web 应用程序防火墙,让您能够监控转发到 Amazon CloudFront 分配、Amazon API Gateway REST API、Application Load Balancer 或AWS AppSyncGraphQL API。AWS WAF利用 还可控制对您的内容的访问。根据指定的条件(如请求源自的 IP 地址或查询字符串的值)、Amazon CloudFront、Amazon API Gateway、Application Load Balancer 或AWS AppSync使用所请求的内容或使用 HTTP 状态代码 403(禁止)来响应请求。您还可以配置 CloudFront 以在请求被阻止时返回自定义错误页面。
在最基本的情况下,AWS WAF 允许您选择以下行为之一:
允许除指定的请求外的所有请求— 当您希望使用 Amazon CloudFront、Amazon API Gateway、Application Load Balancer 或AWS AppSync为公共网站提供内容,但同时又想阻止来自攻击者的请求。
阻止除您指定的请求之外的所有请求— 当您要为其用户可通过 Web 请求中的属性 (如他们用于浏览网站的 IP 地址) 轻松识别的受限网站提供内容时,此行为很有用。
计数与您指定的属性匹配的请求— 当您要基于 Web 请求中的新属性允许或阻止请求时,您可以首先配置AWS WAF来计算与这些属性匹配的请求,而不允许或阻止这些请求。这样,您便可以确保不会意外将 AWS WAF 配置为阻止进入网站的所有流量。当您确信已指定正确的属性后,可以更改行为以允许或阻止请求。
使用 AWS WAF 有几个优势:
使用您指定的条件针对 Web 攻击提供额外保护。您可以使用 Web 请求的如下特征来定义条件:
请求源自的 IP 地址.
请求源自的国家/地区。
请求标头中的值.
出现在请求中的字符串 (特定字符串或与正则表达式 (regex) 模式匹配的字符串)。
请求的长度.
存在可能是恶意的 SQL 代码 (称为 SQL 注入).
存在可能是恶意的脚本 (称为跨站点脚本).
规则可以允许、阻止或统计满足指定条件的 Web 请求。或者,规则可以阻止或统计不仅满足指定条件,还在任何 5 分钟周期内超过指定请求数的 Web 请求。
可以重复用于多个 Web 应用程序的规则.
来自 AWS 和 AWS Marketplace 卖家的托管规则组。
实时指标和采样的 Web 请求.
使用 AWS WAF API 的自动化管理。
AWS Shield
您可以使用 AWS WAF Web 访问控制列表 (Web ACL) 来帮助最大程度地降低分布式拒绝服务 (DDoS) 攻击的影响。为了实现针对 DDoS 攻击的额外保护,AWS还提供了AWS Shield Standard和AWS Shield Advanced.AWS Shield Standard是自动包含的,除了已为之支付的费用外,无任何附加成本。AWS WAF和您的其他AWS服务。AWS Shield Advanced为 Amazon EC2 实例、弹性负载均衡器、CloudFront 分配、RoudFront 53 托管区域和AWS Global Accelerator加速器。AWS Shield Advanced会产生额外费用。
有关 AWS Shield Standard 和 AWS Shield Advanced 的更多信息,请参阅AWS Shield。
AWS Firewall Manager
AWS Firewall Manager可简化跨多个账户和多种资源的管理和维护任务。AWS WAF规则,AWS Shield Advanced保护和 Amazon VPC 安全组。即使您添加新的账户和资源,Firewall Manager 服务也会自动跨账户和资源应用您的规则和其他安全保护。