什么是Amazon WAF,AmazonShield 和Amazon Firewall Manager? - Amazon WAF、Amazon Firewall Manager 和 Amazon Shield Advanced
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

什么是Amazon WAF,AmazonShield 和Amazon Firewall Manager?

您可以Amazon Firewall Manager一起使用Amazon WAFAmazon Shield、和来创建全面的安全解决方案。 Amazon WAF是一个 Web 应用程序防火墙,可使用控制对您的内容进行的访问。 Amazon Shield在网络和传输层(第 3 层和第 4 层)以及应用层(第 7 层)提供针对Amazon资源的分布式拒绝服务 (DDoS) 攻击的保护。 Amazon Firewall Manager提供跨账户和资源的保护管理Amazon WAF,例如和 Shield Advanced,即使添加了新资源也是如此。

Amazon WAF

Amazon WAF是一个 Web 应用程序防火墙,可以监视转发到您的内容的 Web 应用程序资源应用您的规则和 HTTPS 请求。您可以保护以下资源类型:

  • 亚马逊 CloudFront 配送

  • Amazon API Gateway

  • Application Load Balancer

  • Amazon AppSyncGraphQL

  • Amazon Cognito 用户池

  • Amazon App Runner 服务

Amazon WAF让您可以控制对您的内容进行的访问。根据指定的条件 (如请求源自的 IP 地址或查询字符串的值),您的内容会使用所请求的内容或使用 HTTP 状态代码 403 (Forbidden) 来响应请求。

在最基本的情况下,Amazon WAF 允许您选择以下行为之一:

  • 允许除您指定的请求之外的所有请求 — 这在您想要 Amazon CloudFront、Amazon API Gateway、Application Load Balancer、Amazon Cognito 或Amazon App Runner为公共网站提供内容,但又想阻止攻击者的请求时很有用。Amazon AppSync

  • 阻止除您指定的请求之外的所有请求 — 这在您想要为受限制的网站提供内容时非常有用,该网站的用户可以通过网络请求中的属性(例如他们用来浏览网站的 IP 地址)来识别。

  • 统计符合您条件的请求-您可以使用该Count操作来跟踪您的网络流量,而无需修改处理方式。您可以将其用于常规监控,也可以用于测试新的 Web 请求处理规则。当您想要允许或阻止基于 Web 请求中的新属性的请求时,可以先配置Amazon WAF为计算与这些属性匹配的请求数。这使您可以在将规则切换为允许或阻止匹配请求之前确认新的配置设置。

  • 针对符合您标准的请求运行验证码或质询检查 — 您可以对请求实施验证码和静默质询控制,以帮助减少进入受保护资源的机器人流量。

使用 Amazon WAF 有几个优势:

  • 使用您指定的标准进一步防范 Web 攻击。您可以使用 Web 请求的特征定义标准,例如:

    • 请求源自的 IP 地址。

    • 请求源自的国家/地区。

    • 请求标头中的值。

    • 出现在请求中的字符串,可以是特定的字符串,也可以是与正则表达式 (regex) 模式匹配的字符串。

    • 请求的长度。

    • 存在可能是恶意的 SQL 代码 (称为 SQL 注入)。

    • 存在可能是恶意的脚本 (称为跨站点脚本)。

  • 可以允许、阻止或计数的 Web 请求。或者,规则可以阻止或统计不仅满足指定条件的 Web 请求,还可以在任意 5 分钟时段内超过指定请求数量的 Web 请求。

  • 可以重复用于多个 Web 应用程序的规则。

  • 来自 Amazon 和 Amazon Web Services Marketplace 卖家的托管规则组。

  • 实时指标和采样的 Web 请求。

  • 使用 Amazon WAF API 的自动化管理。

如果你想精细控制为资源增加的保护,那么Amazon WAF单靠自己可能是正确的选择。有关 Amazon WAF 的更多信息,请参阅 Amazon WAF

Amazon Shield

您可以使用Amazon WAF Web 访问控制列表 (Web ACL) 来帮助最大限度地减少分布式拒绝服务 (DDoS) 攻击的影响。为了进一步防御 DDoS 攻击,Amazon还提供Amazon Shield Standard和Amazon Shield Advanced。 Amazon Shield Standard除了您已经支付的费用和其他Amazon服务外,还会自动包含在内Amazon WAF,无需支付任何额外费用。

Amazon Shield Advanced为您的 Amazon EC2 实例、Elastic Load Balancing 均衡器、 CloudFront 分配、Route 53 托管区域和Amazon Global Accelerator标准加速器提供扩展的 DDoS 攻击保护。 Amazon Shield Advanced会产生额外费用。Shield Advanced 选项和功能包括自动应用层 DDoS 缓解、高级事件可见性以及Shield 响应小组 (SRT) 的专门支持。如果您拥有高知名度的网站或容易遭受频繁的DDoS攻击,请考虑购买Shield Advanced提供的额外保护。有关其他信息,请参阅Amazon Shield Advanced功能和选项决定是否订阅Amazon Shield Advanced和应用额外保护

Amazon Firewall Manager

Amazon Firewall Manager简化您在多个账户和资源上的管理和维护任务,以实现各种保护,包括Amazon WAF、、Amazon VPC 安全组和 Amazon Route 53 Resolver DNS 防火墙。Amazon Shield AdvancedAmazon Network Firewall您添加新账户和资源应用您的规则和保护。

有关 Firewall Manager 的更多信息,请参阅 Amazon Firewall Manager