0755-86317103

新闻资讯

公司新闻

您当前位置:首页 >> 新闻资讯 >> 公司新闻
云上那些事安全篇——AWS如何防御DDOS攻击
发布时间: 2016-11-1 11:09:30

       从拒绝服务攻击诞生到现在已经有了很多发展,从最初的简单DOS到现在的DDOS杀伤力越来越大。DOS是一种利用单台计算机的攻击方式DDOS是基于DOS特殊形式的拒绝服务攻击,是一种分布、协作的大规模攻击方式。其迅猛的攻击令人难以防备,因此具有更大的破坏性。

       对于为客户保管海量数据的云厂商来说,没有什么是比安全更重要的了,防御DDOS攻击是其最重要的安全课题之一,像大禹、高防、云盾等国内公有云厂商都有DDOS攻击防御。AWS作为国际领先的云厂商,拥有十几年公有云运营经验,它防预DDOS攻击上又有什么高明之处是值得国内云厂商借鉴的呢AWS全球账号为例我们一起研究下。

基础功能

1.更大带宽

      因为AWS是不按带宽大小计费,所以用户接入是共享带宽。AWS所提供的更大带宽显然更能防止带宽消耗式攻击


2.更多的计算资源

      启用更多计算资源,分散被攻击的可能性,保障业务可用(例如:应用采用多计算资源部署,在某一时间受攻击时,可以降低全部计算资源被攻击的可能性)


3.更多边缘站点Cloudfront+Route 53)

      启用Cloudfront+Route 53国内目前没有也是分散被攻击的可能性,保障业务可用


具体服务实现


说明:

1. 使用Route 53 + Cloudfront分散流量访问,减少全部资源被攻击的可能性。

2. 访问流量Inbound只到第一个ELB,使用访问面最小化,同时ELB是区域性服务,在受攻击时,可以扛住一定的流量。

3. 在进入WAF时,过滤掉HTTP或HTTPS的攻击流量,后面ELB可以扛住一定的流量,在这里WAF可采用Marketplace市场的镜像,这时要使用Auto Scaling,以便在大量的流量访问时,可自动扩展,保持服务的持续可用性。

4. Web App Server同样使用Auto Scaling,以便在大量的流量访问时,可自动扩展,保持服务的持续可用性。同时使用CloudWatch实时监控各种参数,当然如果CloudWatch没有的,可以采用第三方软件进行监控,以便掌握正常访问流量与非正常访问流量。

5. 管理员进行运维时,先通过堡垒机登陆访问后端的Web App Server,保证安全,免受攻击,而后端的Web App Server或数据库要访问外网时,只能通过NAT出去,而不可通过NAT访问进来了。

6. 规划好所有安全组的端口,同时在最后一个ELB访问Web App Server时,一定要进行端口转换。

7. 平时的监控数据要做一些统计,知道正常访问情况是什么样,例如:CPU,连接数,连接保持时间,磁盘IOPS,流量大小等,这样在受攻击前能有感知,当然也要做好受攻击时的应对措施,甚至可以租用第三方的DDOS流量清洗功能。


      如果您想了解更多有关“”的相关内容,欢迎您关注博思云为公众号,我们将在公众号中推送更多最新最酷的专业信息。


 

[返回列表]
上一篇:博思风云、阿里云合办“2017工业大数据及云计算创新峰会”顺利召开
下一篇:博思云为协助理才网布局海外市场
扫码关注
Copyright @ 深圳市博思云为科技有限公司 粤ICP备16041562号-1