什么是 Amazon WAFAmazon Shield Advanced、和 Amazon Firewall Manager? - Amazon WAFAmazon Firewall Manager、和 Amazon Shield Advanced
Amazon WAFShield AdvancedAmazon Firewall Manager
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

什么是 Amazon WAFAmazon Shield Advanced、和 Amazon Firewall Manager?

您可以Amazon Firewall Manager结合使用Amazon WAFAmazon Shield、和来创建全面的安全解决方案。 Amazon WAF 是一种 Web 应用程序防火墙,可用于监控最终用户向您的应用程序发送的 Web 请求并控制对您的内容的访问。Shield Advanced 可在网络和传输层(第 3 层和第 4 层DDoS)以及应用层(第 7 层)提供针对 Amazon 资源的分布式拒绝服务 () 攻击的保护。 Amazon Firewall Manager 即使添加了新资源,也可跨账户 Amazon WAF 和资源管理和 Shield Advanced 等保护。

什么是 Amazon WAF?

Amazon WAF 是一个 Web 应用程序防火墙,允许您监控HTTP和转发到受保护的 Web 应用程序资源的HTTPS请求。您可以保护以下资源类型:

  • 亚马逊 CloudFront 配送

  • 亚马逊API网关 REST API

  • 应用程序负载均衡器

  • Amazon AppSync GraphQL API

  • Amazon Cognito 用户池

  • Amazon App Runner 服务

  • Amazon 已验证访问实例

Amazon WAF 允许您控制对内容的访问权限。根据您指定的条件,例如请求来源的 IP 地址或查询字符串的值,您的受保护资源会使用请求的内容、HTTP 403 状态代码(禁止)或自定义响应来响应请求。

在最简单的层面上, Amazon WAF 允许您选择以下行为之一:

  • 允许除您指定的请求之外的所有请求 — 当您希望 Amazon CloudFront、Amazon Gateway、Applic API ation Load Balancer、 Amazon App Runner、Amazon Cognito 或 Amazon 已验证访问权限为公共网站提供内容,但又想阻止攻击者的请求时,这很有用。 Amazon AppSync

  • 阻止您指定的请求之外的所有请求 当您要为其用户可通过 Web 请求中的属性(如他们用于浏览网站的 IP 地址)轻松识别的受限网站提供内容时,此行为很有用。

  • 统计符合您条件的请求 – 您可以使用 Count 操作来跟踪您的 Web 流量,而无需修改处理方式。您可以用它来进行常规监控,也可以用来测试您的新 Web 请求处理规则。当你想根据 Web 请求中的新属性允许或阻止请求时,可以先配置 Amazon WAF 为计算与这些属性匹配的请求。这样,您就可以在将规则切换为允许或阻止匹配请求之前确认新的配置设置。

  • 对符合您条件的请求进行检查CAPTCHA或质询检查 — 您可以针对请求实施CAPTCHA和静默质询控制,以帮助减少流向受保护资源的机器人流量。

使用 Amazon WAF 有几个好处:

  • 使用您指定的条件针对 Web 攻击提供额外保护。您可以使用 Web 请求的如下特征来定义条件:

    • 请求源自的 IP 地址。

    • 请求源自的国家/地区。

    • 请求标头中的值。

    • 出现在请求中的字符串 (特定字符串或与正则表达式 (regex) 模式匹配的字符串)。

    • 请求的长度。

    • 存在可能为恶意的SQL代码(称为SQL注入)。

    • 存在可能是恶意的脚本 (称为跨站点脚本)。

  • 规则可以允许、阻止或统计满足指定条件的 Web 请求。或者,规则可以阻止或计算不仅满足指定条件,而且在一分钟或五分钟内超过指定数量的请求的 Web 请求。

  • 可以重复用于多个 Web 应用程序的规则。

  • 来自 Amazon 和 Amazon Web Services Marketplace 卖家的托管规则组。

  • 实时指标和采样的 Web 请求。

  • 使用. 进行自动管理 Amazon WAF API。

如果您希望对添加到您的资源的保护进行精细控制,单独使用 Amazon WAF 可能是正确的选择。有关的更多信息 Amazon WAF,请参阅Amazon WAF

什么是 Amazon Shield Advanced?

您可以使用 Amazon WAF Web 访问控制列表 (WebACLs) 来帮助最大限度地减少分布式拒绝服务 (DDoS) 攻击的影响。为了进一步防范攻DDoS击, Amazon 还提供 Amazon Shield Standard 和 Amazon Shield Advanced。 Amazon Shield Standard 自动包含在内,除了您已支付的费用和其他 Amazon 服务外,不收取 Amazon WAF 任何额外费用。

Shield Advanced 为您的亚马逊EC2实例、Elastic Load Balancing 负载均衡器、 CloudFront 分配、Route 53 托管区域和 Amazon Global Accelerator 标准加速器提供扩展的DDoS攻击保护。Shield Advanced 会产生额外冲锋。Shield Advanced 选项和功能包括自动应用层DDoS缓解、高级事件可见性以及 Shield 响应团队的专门支持(SRT)。如果您拥有高知名度的网站或容易受到频繁DDoS攻击,请考虑购买 Shield Advanced 提供的额外保护。有关其他信息,请参阅Amazon Shield Advanced 功能和选项决定是否订阅 Amazon Shield Advanced 和应用其他保护

什么是 Amazon Firewall Manager?

Amazon Firewall Manager 简化跨多个账户和资源的管理和维护任务,以实现各种保护,包括 Amazon WAF Amazon Shield Advanced、Amazon VPC 安全组和网络ACLs以及 Amazon Route 53 Resolver Fi DNS rewall。 Amazon Network Firewall使用 Firewall Manager 一次设置好保护措施,该服务就会自动将其应用于您的账户和资源,即使添加新资源和账户时也是如此。

有关 Firewall Manager 的更多信息,请参阅 Amazon Firewall Manager