当前位置:主页 > 高防服务器 > 正文

美国高防cdn_排名靠前的_如何解决ddos攻击

美国高防cdn_排名靠前的_如何解决ddos攻击

无服务器架构越来越流行,而Amazon的API网关服务是AWS上许多无服务器部署的关键因素。目前API网关只支持公共云前端端点,用高端WAF保护来保护API网关似乎是一项艰巨的任务。在这篇博客文章中,我们将解释ddos/27290.html">如何使用securespherewaf保护一个示例API网关应用程序。虽然这里的重点是AWS,但请记住,以下内容也可以用于保护其他公共端点或API网关供应商。示例API网关应用程序-入门常见的Amazon API网关部署可能如下所示(图1):图1:使用AWSAPI网关的典型应用程序部署模式这个示例应用程序是完全无服务器的,它使用AWS服务进行扩展、自动供应、授权、日志记录等。网上有很好的教程,可以教你ddos/27290.html">如何部署这样的应用程序(使用现成的CloudFormation模板)。部署API之后,API网关将创建一个具有面向公共的URL的阶段(请参见图2):图2:AWSAPI网关控制台显示运行"DeployAPI"后创建的公共端点这个阶段实际上是一个隐藏的云锋分布。接下来,您需要创建一个适当的CloudFront发行版,以便Imperva SecureSphere可以在没有客户端SNI的情况下与其通信(图3):图3:AWSCloudfront控制台,新的分发转发到我们的API网关端点您不希望客户端应用程序或用户在没有保护的情况下直接访问此端点,防劫持高防云cdn,因此下一步是在AWS上设置SecureSphere堆栈。设置SecureSphere AWS公共端点堆栈球体和WAF的目标是实现AWS安全架构(图4):图4:SecureSphere WAF部署架构保护AWS API网关流量在大多数情况下,百度云主机ddos防御,AWS上的SecureSphere部署将保护与SecureSphere堆栈位于同一VPC或对等VPC中的web端点。因为SecureSphere支持反向代理架构,所以它也可以保护公共端点。要了解有关如何在AWS中部署SecureSphere的更多信息,请参阅此博客文章。最后,部署的堆栈应该如下所示(图5):图5:AWS上保护公共端点的SecureSphere WAF部署的详细架构图架构总结:公共端点成为外部负载平衡器的DNS名称(需要将DNS附件从我们的外部主机名添加到ELB主机名)。WAF网关重新写入外部主机名(例如。网站)到AWS API网关终结点(fznty25z54.execute-美国api.us-东-1。亚马逊网站).WAF网关处理请求并将其路由到CloudFront域名(d2we3m806cjgh0)。cloudfront.net).VPC出口点通过NAT网关弹性IPs完成(也可以使用代理或NAT实例)。这些是静态IP,可用于限制对AWSAPI网关的访问。如果SecureSphere管理服务器位于公共子网中并可从internet访问,阿里最大防御ddos,则它应具有严格的安全组,以限制可以访问它的IP地址。建议SecureSphere堆栈和AWS API网关位于同一区域,以获得最佳的延迟性能。在SecureSphere中,您应该有一个URL重写规则,如下所示(图6):图6:SecureSphere URL重写规则API网关通过生成的主机名(fznty25z54.execute)来识别应用程序-美国api.us-东-1。亚马逊网站). 此URL重写规则转换外部主机名(网站)到API网关主机名。SecureSphere反向代理配置应如下所示(图7):图7:SecureSphere反向代理规则。点击放大图像。首先URL重写规则(apig)生效,然后API网关流量(Host=fznty25z54.execute)生效-美国api.us-东-1。亚马逊网站)路由到CloudFront端点(内部主机名=d2we3m806cjgh0)。cloudfront.net).限制对API网关的访问在这一点上,你有你的公共域名(网站)通过SecureSphere WAF。但是,海外游戏ddos防御,您仍然有一个可以绕过securespherewaf的公共API网关端点。awsapi网关不支持安全组来限制IP访问,但是您可以使用它的授权特性来解决这个问题。通过SecureSphere的流量总是来自SecureSphere堆栈中的公共NAT网关EIP。您需要在API网关中创建一个"自定义授权器",它只允许访问这些IP地址(图8):图8:限制对SecureSphere堆栈公共IP的访问的自定义Lambda授权器(52.55.64.33)需要为应用程序中的每个方法设置授权,但是如果您已经在使用IAM授权,则可以很容易地添加IP条件。附加说明AWS出站流量(来自VPC)可能会很昂贵。如果您有大量的静态内容,请考虑提供对S3的直接访问(或存储内容的任何位置),并绕过WAF以减少双跳和收费。如果API网关充当HTTP通信的代理,则可以将WAF放在API网关和HTTP端点之间。更常见的是,API网关面向Lambda函数或其他AWS服务,因此需要将WAF放在API网关之前。有AWS API网关替代方案(如Apigee)支持VPC集成,从而允许更传统的外围安全架构。awsapi网关很可能在将来引入对类似架构的支持。最后,请记住,网络安全现状,创建一个"public SecureSphere stack"将使您能够灵活地对SecureSphere进行安全控制,并可以灵活地将WAF和应用程序端点分离。您正在创建自己的SaaS WAF解决方案,可以为任何web端点提供保护—无论它在何处或何处。

版权保护: 本文由 DDOS防御专家 原创,转载请保留链接: /ddos/39334.html

DDoS防御专家简介孤之剑
国内资深白帽子二十人组成员,前BAT资深网络安全工程师,知名网络安全站点板块大神,每年提交Google及微软漏洞,原sina微博负载插件开发者,现在整体防御复合攻击长期接受1-4.7T攻击,CC防护自主开发指纹识别系统,可以做到99.9999%的无敌防御。
  • 文章总数
  • 5411430访问次数
  • 建站天数

    DDOS防御

    ddos防御

    cc防护

    web安全

    高防服务器

    高防cdn


    QQ客服

    400-0797-119

    X