什么是Amazon WAF、AmazonShield 和Amazon Firewall Manager? - Amazon WAF、Amazon Firewall Manager 和 Amazon Shield Advanced
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

什么是Amazon WAF、AmazonShield 和Amazon Firewall Manager?

Amazon WAF是一种 Web 应用程序防火墙,让您能够监控转发到 Amazon CloudFront 分配、Amazon API Gateway REST API、Application Load Balancer 或Amazon AppSyncGraphQL API。Amazon WAF利用 还可控制对您的内容的访问。根据指定的条件(如请求源自的 IP 地址或查询字符串的值)、Amazon CloudFront、Amazon API Gateway、Application Load Balancer 或Amazon AppSync使用所请求的内容或使用 HTTP 状态代码 403(禁止)来响应请求。您还可以配置 CloudFront 以在请求被阻止时返回自定义错误页面。

在最基本的情况下,Amazon WAF 允许您选择以下行为之一:

  • 允许除指定的请求外的所有请求— 当您希望使用 Amazon CloudFront、Amazon API Gateway、Application Load Balancer 或Amazon AppSync为公共网站提供内容,但您还想阻止来自攻击者的请求。

  • 阻止除您指定的请求之外的所有请求— 当您要为其用户可通过 Web 请求中的属性 (如他们用于浏览网站的 IP 地址) 轻松识别的受限网站提供内容时,此行为很有用。

  • 计数与您指定的属性匹配的请求— 当您要基于 Web 请求中的新属性允许或阻止请求时,您可以首先配置Amazon WAF来计算与这些属性匹配的请求,而不允许或阻止这些请求。这样,您便可以确保不会意外将 Amazon WAF 配置为阻止进入网站的所有流量。当您确信已指定正确的属性后,可以更改行为以允许或阻止请求。

使用 Amazon WAF 有几个优势:

  • 使用您指定的条件针对 Web 攻击提供额外保护。您可以使用 Web 请求的如下特征来定义条件:

    • 请求源自的 IP 地址.

    • 请求源自的国家/地区。

    • 请求标头中的值.

    • 出现在请求中的字符串 (特定字符串或与正则表达式 (regex) 模式匹配的字符串)。

    • 请求的长度.

    • 存在可能是恶意的 SQL 代码 (称为 SQL 注入).

    • 存在可能是恶意的脚本 (称为跨站点脚本).

  • 规则可以允许、阻止或统计满足指定条件的 Web 请求。或者,规则可以阻止或统计不仅满足指定条件,还在任何 5 分钟周期内超过指定请求数的 Web 请求。

  • 可以重复用于多个 Web 应用程序的规则.

  • 来自 Amazon 和 Amazon Web Services Marketplace 卖家的托管规则组。

  • 实时指标和采样的 Web 请求.

  • 使用 Amazon WAF API 的自动化管理。

Amazon Shield

您可以使用 Amazon WAF Web 访问控制列表 (Web ACL) 来帮助最大程度地降低分布式拒绝服务 (DDoS) 攻击的影响。为了实现针对 DDoS 攻击的额外保护,Amazon还提供了Amazon Shield Standard和Amazon Shield Advanced。Amazon Shield Standard是自动包含的,除了已为支付的费用外,无任何附加成本Amazon WAF和您的其他Amazon服务。Amazon Shield Advanced为 Amazon EC2 实例、弹性负载均衡器、CloudFront 分配、Route53 托管区域和Amazon Global Accelerator加速器。Amazon Shield Advanced会产生额外费用。

有关 Amazon Shield Standard 和 Amazon Shield Advanced 的更多信息,请参阅Amazon Shield

Amazon Firewall Manager

Amazon Firewall Manager可简化跨多个账户和多种资源的管理和维护任务Amazon WAF规则,Amazon Shield Advanced保护和 Amazon VPC 安全组。即使您添加新的帐户和资源,Firewall Manager 服务也会自动跨账户和资源应用您的规则和其他安全保护。

有关 Firewall Manager 的更多信息,请参阅 Amazon Firewall Manager