本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Amazon Shield Advanced按资源类型划分的保护
Shield Advanced 保护网络和传输层(第 3 层和第 4 层)以及应用层(第 7 层)中的Amazon资源。您可以直接保护某些资源,而通过关联受保护的资源来保护其他资源。此部分提供有关针对每种资源类型的 Shield Application Application
注意
Shield Advanced 仅保护你在 Shield Advanced 中或通过Amazon Firewall Manager Shield 高级策略指定的资源。它不会自动保护您的资源。
您可以使用 Shield Advanced 对以下资源类型进行高级监控和保护:
-
亚马逊 CloudFront 分发。对于 CloudFront 持续部署,Shield Advanced 可保护与受保护的主发行版相关的任何暂存发行版。
-
亚马逊 Route 53 托管区域。
-
Amazon Global Accelerator标准加速器。
-
Amazon EC2 弹性 IP 地址。Shield Advanced 保护与受保护的弹性 IP 地址相关的资源。
-
Amazon EC2 实例,通过关联Amazon EC2 弹性 IP 地址。
-
以下Elastic Load Balancing 器 (ELB):
应用程序负载均衡器。
经典负载均衡器。
网络负载均衡器,通过关联到 Amazon EC2 弹性 IP 地址。
你不能使用 Shield Advanced 来保护任何其他资源类型。例如,您无法保护Amazon Global Accelerator自定义路由加速器或网关负载均衡器。
您可以监控和保护每种资源类型的最多 1,000 个资源Amazon Web Services 账户。例如,在单个账户中,您可以保护 1,000 个 Amazon EC2 弹性 IP 地址、1,000 个 CloudFront 分配和 1,000 个应用程序负载均衡器。你可以通过 Service 配额控制台 https://console.aws.amazon.com/servicequotas/
使用 Shield Advanced 保护Amazon EC2 实例和网络负载均衡器
您可以先将这些资源连接到弹性 IP 地址,然后在 Shield Advanced 中保护弹性 IP 地址,从而保护 Amazon EC2 实例和网络负载均衡器。
当您保护弹性 IP 地址时,Shield Advanced 会识别并保护它们所连接的资源。Shield Advanced 会自动识别连接到弹性 IP 地址的资源类型,并对该资源应用适当的检测和缓解措施。这包括配置特定于弹性 IP 地址的网络 ACL。有关在Amazon资源中使用弹性 IP 地址的更多信息,请参阅以下指南:Amazon Elastic Compute Cloud 文档或Elasti c Load Balancing 文档。
在攻击期间,Shield Advanced 会自动将您的网络 ACL 部署到Amazon网络边界。当您的网络 ACL 位于网络边界时,Shield Advanced 可以针对更大的 DDoS 事件提供保护。通常,网络 ACL 应用于亚马逊 VPC 内的 Amazon EC2 实例附近。网络 ACL 只能缓解您的 Amazon VPC 和实例能够处理的大型攻击。例如,如果连接到您的 Amazon EC2 实例的网络接口最多可以处理 10 Gbps,则超过 10 Gbps 的容量将减慢并可能阻塞流向该实例的流量。在攻击期间,Shield Advanced 会将您的网络 ACL 提升到Amazon边界,这可以处理数 TB 的流量。您的网络 ACL 能够为您的资源提供超出您的网络典型容量的保护。有关网络 ACL 的更多信息,请参阅网络 ACL。
一些扩展工具,例如Amazon Elastic Beanstalk,不允许您将弹性 IP 地址自动连接到Network Load Balancer。对于这些情况,您需要手动连接弹性 IP 地址。