AWS WAF のアイコン

AWS WAF 热门2015年〜

保护 Web 应用免受常见攻击的 Web 应用防火墙

阅读约需 1 分钟

它能做什么

AWS WAF(Web Application Firewall)是一项保护 Web 应用免受 SQL 注入、跨站脚本(XSS)、DDoS 等常见 Web 攻击的防火墙服务。部署在 CloudFront、ALB、API GatewayAppSync 前端,根据自定义规则检查 HTTP/HTTPS 请求并允许、阻止或计数。提供 AWS 托管规则和 Marketplace 第三方规则。

使用场景

用于 Web 应用的 SQL 注入和 XSS 防护、恶意 Bot 的检测和阻止、IP 信誉列表的应用、速率限制防止暴力攻击、地理位置限制。

日常类比

可以比作 Web 应用的保镖。检查每个访客(HTTP 请求)的意图,阻止携带危险物品(恶意载荷)的访客进入,同时让正常访客顺利通过。

什么是 WAF

AWS WAF 是一项 Web 应用层(L7)防火墙服务。与 Network Firewall(网络层)不同,WAF 专门检查 HTTP/HTTPS 请求的内容(URL、头部、正文、Cookie 等)。通过 Web ACL(访问控制列表)定义规则集,对匹配的请求执行允许、阻止或计数操作。

规则与托管规则组

WAF 规则可以基于 IP 地址、地理位置、请求速率、字符串匹配、正则表达式、SQL 注入检测等条件。AWS 托管规则组提供预配置的规则集(核心规则集、已知恶意输入、Bot 控制等),无需自行编写规则即可获得基本防护。Bot Control 可以区分合法 Bot(搜索引擎)和恶意 Bot。 如需深入了解 WAF 规则的配置方法,可参考相关书籍(Amazon)

开始使用

在 WAF 控制台创建 Web ACL,添加 AWS 托管规则组(推荐从核心规则集开始)。将 Web ACL 关联到 CloudFront 分配或 ALB。在计数模式下观察规则匹配情况,确认无误后切换到阻止模式。

注意事项

  • 建议先在计数模式下观察规则匹配情况,确认无误后再切换到阻止模式
  • Bot Control 可以区分合法 Bot(搜索引擎)和恶意 Bot
共有するXB!

相关服务

Amazon CloudFront 图标Amazon CloudFront从全球边缘节点高速分发内容的 CDN 服务Amazon API Gateway 图标Amazon API Gateway轻松创建、发布、管理和监控 API 的全托管服务Elastic Load Balancing 图标Elastic Load Balancing将流量自动分发到多台服务器以提高可用性和容错性的服务AWS IAM 图标AWS IAM安全管理 AWS 资源访问权限的身份认证与授权服务

相关文章

DDoS 防护 - 通过 AWS Shield 实现多层防御的设计与运维解说通过 AWS Shield Standard 和 Shield Advanced 实现的 DDoS 防御。实践性地介绍与 CloudFront、Route 53、ALB 的集成、与 WAF 的组合以及成本保护功能。通过 AWS Firewall Manager 集中管理安全规则 - WAF 与 Security Group 的组织级部署介绍如何集中管理 Organizations 全组织的 WAF 规则、Security Group 和 Network Firewall 策略,并通过自动应用到新账户来维护组织整体的安全基线。用 AWS Shield 防御 DDoS 攻击 - Standard 与 Advanced 的选择整理 Standard 的免费 L3/L4 防御与 Advanced 的 L7 应对/SRT 支持的区别。介绍成本保护和主动参与的活用。AWS WAF 的 Bot Control 与欺诈防护 - 机器人对策与账户接管防护的实现使用 Bot Control 检测爬虫和自动化工具,使用 ATP 防止凭证填充攻击。同时介绍挑战和 CAPTCHA 的用户体验设计。

本分类的更多服务

IAM Access Analyzer 图标IAM Access Analyzer 专业检测可从外部访问的资源和未使用的访问权限的服务AWS Certificate Manager 图标AWS Certificate Manager 基础自动化 SSL/TLS 证书的配置、管理和部署的服务AWS Artifact 图标AWS Artifact 专业按需获取 AWS 合规报告和协议的服务AWS Audit Manager 专业自动化合规审计的证据收集和评估的服务AWS CloudHSM 图标AWS CloudHSM 专业使用专用硬件安全模块管理加密密钥的服务Amazon Cognito 图标Amazon Cognito 热门为 Web 和移动应用程序提供认证、授权和用户管理的服务Amazon Detective 图标Amazon Detective 专业自动分析安全检测结果并调查根本原因的服务AWS Directory Service 图标AWS Directory Service 专业在 AWS 上提供托管 Active Directory 的服务

相似的文章与服务

AWS WAF保护应用免受 SQL 注入和跨站脚本等 Web 攻击的托管 Web 应用防火墙AWS Firewall Manager对 Organizations 下多个账户和资源统一应用和管理 WAF、Shield Advanced、Security Group、Network Firewall 规则的安全管理服务AWS Network Firewall 实现 VPC 流量控制 - 有状态规则与域名过滤通过有状态/无状态规则和域名过滤控制 VPC 流量。介绍 Suricata 兼容规则和托管规则的应用方法。AWS Network Firewall对 VPC 流量进行有状态检测,提供入侵防护和域名过滤的托管网络防火墙服务AWS WAF 的 Bot Control 与欺诈防护 - 机器人对策与账户接管防护的实现使用 Bot Control 检测爬虫和自动化工具,使用 ATP 防止凭证填充攻击。同时介绍挑战和 CAPTCHA 的用户体验设计。