使用流量过滤规则阻止 DoS、DDoS 及复杂攻击

Last update: Wed Jul 23 2025 00:00:00 GMT+0000 (Coordinated Universal Time)

创建对象：

了解如何在 AEM as a Cloud Service（AEMCS）管理的 CDN 中使用 流量过滤规则 阻止拒绝服务攻击（DoS）、分布式拒绝服务攻击（DDoS）以及复杂攻击。

这些攻击会导致 CDN 流量激增，并可能影响 AEM Publish 服务（即源站）的流量，进而影响网站的响应能力和可用性。

本文概述了为您的 AEM 网站提供的默认防护机制，并说明了如何通过自定义配置扩展这些防护能力。另外还介绍了如何分析流量模式，如何配置标准流量过滤规则以有效阻止此类攻击。

AEM as a Cloud Service 中的默认防护机制

让我们了解一下您的 AEM 网站的默认 DDoS 防护：

缓存： 借助良好的缓存策略，DDoS 攻击的影响将更为有限，因为内容分发网络能够阻止大部分请求流向源站，从而避免性能下降。
自动扩展： 尽管 AEM 的 Author 和 Publish 服务仍可能受到流量突然大幅增加的影响，但它们能够自动扩展，以应对流量激增的情况。
阻止： 如果来自特定 IP 地址的流量超过 Adobe 根据每个 CDN 接入点 (PoP) 定义的速率，则 Adobe CDN 将会阻止该流量到达源站。
警报： 当流量超过特定速率时，操作中心会发送有关源站流量激增的警报通知。当任何给定 CDN PoP 的流量超过 Adobe 定义的 每个 IP 地址的请求速率时，会触发此警报。请参阅流量过滤规则警报，以了解更多详情。

这些内置保护措施应被视为组织将 DDoS 攻击对性能的影响降至最低的能力的基准。由于每个网站的性能特征各不相同，在未达到 Adobe 设定的速率限制前网站性能可能就已下降，因此建议通过 自定义配置 扩展默认防护能力。

让我们来看看客户可以采取的另外一些推荐措施，以保护其网站免受 DDoS 攻击：

实施 Adobe 推荐的标准流量过滤规则，通过记录请求和触发警报识别潜在的恶意流量模式。
启用 WAF-DDoS 防护 或 增强安全性 附加功能，并实施 Adobe 推荐的 WAF 流量过滤规则，以防御利用高级协议或载荷手法发起的复杂攻击。
通过配置请求转换规则，忽略无关查询参数，从而提升缓存覆盖率。