什么是Amazon WAF,AmazonShield,和Amazon Firewall Manager? - Amazon WAF、Amazon Firewall Manager 和 Amazon Shield Advanced
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

什么是Amazon WAF,AmazonShield,和Amazon Firewall Manager?

Amazon WAF是一种 Web 应用程序防火墙,可让您监视转发到受保护 Web 应用程序资源的 HTTP 和 HTTPS 请求。您可以保护以下资源类型:

  • 亚马逊 CloudFront 分布

  • Amazon API Gateway

  • Application Load Balancer

  • Amazon AppSyncGraphQL

  • Amazon Cognito 用户池

利用 Amazon WAF 还可控制对您的内容的访问。根据指定的条件(如请求源自的 IP 地址或查询字符串的值),您的受保护资源会使用所请求的内容、使用 HTTP 状态代码 403 (Forbidden) 来响应请求。

在最基本的情况下,Amazon WAF 允许您选择以下行为之一:

  • 允许除您指定的请求之外的所有请求— 在您想要Amazon时,这非常有用 CloudFront、Amazon API Gateway、Application Load Balancer、Amazon AppSync,或者 Amazon Cognito 为公共网站提供内容,但您也想阻止攻击者的请求。

  • 阻止除您指定的请求之外的所有请求— 当您想要为受限网站提供内容时,这很有用,该网站的用户可以通过网络请求中的属性(例如他们用来浏览该网站的 IP 地址)进行识别。

  • 统计符合您条件的请求— 您可以使用计数操作来跟踪您的网络流量,而无需修改处理方式。您可以将其用于常规监控,也可以用于测试新的 Web 请求处理规则。当您想要允许或阻止基于 Web 请求中的新属性的请求时,可以先配置Amazon WAF计算与这些属性匹配的请求数。这使您可以在实施新的允许或阻止操作之前确认新的配置设置。

  • Run(运行)CAPTCHA检查符合您条件的请求— 你可以实现CAPTCHA控制请求以帮助减少流向受保护资源的机器人流量。

使用 Amazon WAF 有几个优势:

  • 使用您指定的标准提供额外保护,防止 Web 攻击。您可以使用 Web 请求的特征定义标准,例如:

    • 请求源自的 IP 地址.

    • 请求源自的国家/地区。

    • 请求标头中的值.

    • 出现在请求中的字符串,可以是特定的字符串,也可以是匹配正则表达式 (regex) 模式的字符串。

    • 请求的长度.

    • 存在可能是恶意的 SQL 代码 (称为 SQL 注入).

    • 存在可能是恶意的脚本 (称为跨站点脚本).

  • 可以允许、阻止或计数符合指定标准的 Web 请求的规则。或者,规则可以阻止或计算在任何 5 分钟时间段内不仅满足指定标准而且超过指定请求数的 Web 请求。

  • 可以重复用于多个 Web 应用程序的规则.

  • 来自 Amazon 和 Amazon Web Services Marketplace 卖家的托管规则组。

  • 实时指标和采样的 Web 请求.

  • 使用 Amazon WAF API 的自动化管理。

Amazon Shield

您可以使用Amazon WAFWeb 访问控制列表 (Web ACL) 可帮助最大限度地减少分布式拒绝服务 (DDoS) 攻击的影响。为了进一步防御 DDoS 攻击,Amazon还提供Amazon Shield Standard和Amazon Shield Advanced.Amazon Shield Standard自动包含在内,除了您已支付的费用外,无需支付任何额外费用Amazon WAF还有你的另一个Amazon服务。Amazon Shield Advanced为您的 Amazon EC2 实例、Elastic Load Balancing 衡器提供扩展的 DDoS 攻击保护 CloudFront 分布、Route 53 托管区域和Amazon Global Accelerator标准加速器。Amazon Shield Advanced会产生额外费用。

有关 Amazon Shield Standard 和 Amazon Shield Advanced 的更多信息,请参阅 Amazon Shield

Amazon Firewall Manager

Amazon Firewall Manager可简化跨多个账户和多种资源的管理和维护任务,以提供多种保护,包括Amazon WAF,Amazon Shield Advanced、Amazon VPC 安全组、Amazon Network Firewall,以及Amazon Route 53 Firewall。使用 Firewall Manager,只需设置一次保护,即使您添加新账户和资源,该服务也会自动跨账户和资源应用防护。

有关 Firewall Manager 的更多信息,请参阅 Amazon Firewall Manager