Durch die Nutzung von AWS re:Post stimmt du den AWS re:Post Nutzungsbedingungen
AWS re:Postre:Post

如果关闭CloudFront缓存功能并将所有标头转发到源,会失去CloudFront的DDoS保护吗?

0

【以下的问题经过翻译处理】 我们正试图为我们的后端服务中最好地保护免受DDoS攻击,并在我们的服务前面设置了WAF,CloudFront也在其前面。

AWS白皮书https://d1.awsstatic.com/whitepapers/Security/DDoS_White_Paper.pdf提到如何使用CloudFront提高DDoS抵御的能力:

使用CloudFront,AWS Global Accelerator和Amazon Route 53的好处包括:

• AWS Global Edge Network可以提供巨大网络容量来缓解DDos攻击,容量可以达到TB级别。

• AWS Shield DDoS缓解系统与AWS边缘服务集成,将缓解时间从几分钟减少到亚秒级。

• 无状态SYN Flood缓解技术会代理和验证传入连接,然后再将其传递给受保护的服务。确保只有有效连接才能到达您的应用程序,同时保护您的有效终端用户免受误报阻塞。

我们想禁用缓存并将命中CloudFront的原始请求中的所有标头转发到我们的后端服务,基本上使用CloudFront作为反向代理。如果这样做,我们仍然可以使用CloudFront的AWS全球边缘网络来缓解DDoS攻击吗?

Themen
Vernetzung & Bereitstellung von Inhalten
Tags
Amazon CloudFront
Sprache
中文 (简体)
profile picture
EXPERTE
rePost Polyglot
gefragt vor 6 Monaten18 Aufrufe
1 Antwort
0

【以下的回答经过翻译处理】 简而言之:如果禁用缓存,你会失去少量的保护。

无论缓存是否启用,CloudFront都会终止浏览器的请求,然后向源发出新的请求,假设过程一切顺利:WAF;Lambda@Edge;CloudFront Functions等。因此,如果存在某种恶意活动或DDoS事件,CloudFront将首先看到该流量,您可以选择(例如)使用WAF阻止它或使用CloudFront中的其他机制(例如SYN洪泛防护)来保护服务。

缓存在这里是有帮助的,因为它意味着缓存的请求不会到达您的源站。在“高负载”情况下,这样可以减少发送到应用程序的流量。如果禁用缓存,则所有有效请求都将由源处理,从而增加负载、成本和对原始请求者的延迟。

profile picture
EXPERTE
rePost Polyglot
beantwortet vor 6 Monaten

Du bist nicht angemeldet. Anmelden um eine Antwort zu veröffentlichen.

Eine gute Antwort beantwortet die Frage klar, gibt konstruktives Feedback und fördert die berufliche Weiterentwicklung des Fragenstellers.

Richtlinien für die Beantwortung von Fragen

Relevanter Inhalt