AWS 网络安全产品全景图与最佳实践
AWS 网络安全产品全景图与最佳实践
文档版本:2026-03-10
适用范围:AWS 国际区 & AWS 中国区(北京/宁夏)
📋 产品一览表
| 产品/服务 | 分类 | 核心功能 | AWS 国际区 | AWS 中国区 | 备注 |
|---|---|---|---|---|---|
| AWS Shield Standard | DDoS 防护 | L3/L4 DDoS 自动防护 | ✅ 可用 | ✅ 可用 | 所有区域默认启用 |
| AWS Shield Advanced | DDoS 防护 | 增强 DDoS 防护 + DRT 支持 | ✅ 可用 | ⚠️ 功能受限 | 中国区功能子集 |
| AWS WAF | Web 应用防火墙 | L7 HTTP/HTTPS 流量过滤 | ✅ 可用 | ✅ 可用 | 中国区仅区域级支持 |
| AWS Network Firewall | 网络防火墙 | 有状态/无状态流量检查 | ✅ 可用 | ✅ 可用 | 2024 年在中国区上线 |
| Amazon GuardDuty | 威胁检测 | 基于 ML 的智能威胁检测 | ✅ 可用 | ✅ 可用 | 中国区不支持 PrivateLink 集成 |
| AWS Security Hub | 安全态势管理 | 统一安全发现聚合 | ✅ 可用 | ✅ 可用 | 中国区不支持 Control Tower 标准 |
| Security Groups | 访问控制 | 实例级有状态防火墙 | ✅ 可用 | ✅ 可用 | 所有区域 |
| Network ACLs | 访问控制 | 子网级无状态防火墙 | ✅ 可用 | ✅ 可用 | 所有区域 |
| Route 53 Resolver DNS Firewall | DNS 安全 | 出站 DNS 查询过滤 | ✅ 可用 | ✅ 可用 | 2022 年在中国区上线 |
| AWS PrivateLink | 私有连接 | VPC 私有端点服务 | ✅ 可用 | ✅ 可用 | 所有区域 |
| VPC Endpoints | 私有连接 | AWS 服务私有访问 | ✅ 可用 | ✅ 可用 | 所有区域 |
| AWS Transit Gateway | 网络枢纽 | 集中式网络路由 | ✅ 可用 | ✅ 可用 | 中国区 VPN 功能受限 |
| Gateway Load Balancer | 流量分发 | 透明流量插入 | ✅ 可用 | ✅ 可用 | 所有区域 |
| Amazon CloudFront | CDN + 安全 | 边缘分发 + 防护 | ✅ 可用 | ✅ 可用 | 中国区为独立分区 |
| AWS Firewall Manager | 集中管理 | 多账户安全策略管理 | ✅ 可用 | ✅ 可用 | 2021 年在中国区上线 |
图例说明
- ✅ 可用:功能完整可用
- ⚠️ 功能受限:服务可用但部分功能不支持
- ❌ 不可用:服务未在该区域提供
