我在Avi Vantage背后有一个遭受DDOS攻击的网站。我在一个安全组中拥有Web服务器,允许来自外部世界的完整HTTP / S访问,这是(我认为)DDOS攻击的来源(即,不是通过VIP)。
如何配置安全组,以便Controller和/或服务引擎可以通过HTTP / S访问服务器,但外部世界无法访问它?
答案 0 :(得分:3)
大卫 设置与后端服务器关联的SG,以便只允许来自VPC和VPC-VPN网络的流量(如果有的话)。
<强>的Rule1 类型:所有流量 协议:全部 端口:全部 来源:10.20.0.0/16(VPC-VPN network cidr)
<强>规则2 类型:所有流量 协议:全部 端口:全部 来源:10.150.0.0/16(VPC cidr)
由于Avi SEs将在此VPC中,因此他们将凭借规则2获准。如果您需要从公司网络直接访问后端服务器,您将凭借rule1被允许。
答案 1 :(得分:1)
您可以使用AWS Cloudfront和/或WAF(Web应用程序防火墙)来保护您的服务免受攻击。亚马逊有几个博客详细介绍了如何配置服务器以获得更好的保护。