Memulai dengan AWS WAF - AWS WAF, AWS Firewall Manager, dan AWS Shield Advanced

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Memulai dengan AWS WAF

Tutorial ini menunjukkan cara menggunakanAWS WAFuntuk melakukan tugas berikut:

  • MengaturAWS WAF.

  • Buat daftar kontrol akses web (Web ACL) menggunakan wizard diAWS WAFkonsol.

  • PilihAWSsumber daya yang Anda inginkanAWS WAFuntuk memeriksa permintaan web untuk. Tutorial ini mencakup langkah-langkah untuk Amazon CloudFront. Prosesnya pada dasarnya sama untuk REST API Amazon API Gateway, Application Load Balancer,AWS AppSyncGraphQL API, atau kolam pengguna Amazon Cognito.

  • Tambahkan aturan dan grup aturan yang ingin Anda gunakan untuk memfilter permintaan web. Misalnya, Anda dapat menentukan alamat IP yang berasal dari permintaan dan nilai dalam permintaan yang hanya digunakan oleh penyerang. Untuk setiap aturan, Anda harus menentukan cara menangani permintaan web yang cocok. Anda dapat memblokirnya, mengizinkannya, menghitungnya, atau menyisipkanCAPTCHAmemeriksa terhadap mereka. Anda menentukan tindakan untuk setiap aturan yang Anda tentukan di dalam ACL web dan untuk setiap aturan yang Anda tentukan di dalam grup aturan.

  • Tentukan tindakan default untuk ACL web, baikBlockatauAllow. Ini adalah tindakan yangAWS WAFmengambil ketika permintaan web tidak cocok dengan salah satu aturan.

catatan

AWSbiasanya menagih Anda kurang dari US $0,25 per hari untuk sumber daya yang Anda buat selama tutorial ini. Ketika Anda selesai dengan tutorial, kami sarankan Anda menghapus sumber daya untuk mencegah menimbulkan biaya yang tidak perlu.

Langkah 1: Mengatur AWS WAF

Jika Anda sudah mendaftarAkun AWSdan menciptakan pengguna IAM seperti yang dijelaskan dalamPengaturanpergi keLangkah 2: Buat ACL Web.

Jika tidak, pergi kePengaturandan melakukan setidaknya dua langkah pertama. (Anda dapat melewati alat pengunduhan untuk saat ini karena topik Memulai ini berfokus pada penggunaanAWS WAFkonsol.)

Langkah 2: Buat ACL Web

YangAWS WAFkonsol memandu Anda melalui proses konfigurasiAWS WAFuntuk memblokir atau mengizinkan permintaan web berdasarkan kriteria yang Anda tentukan, seperti alamat IP tempat asal permintaan atau nilai-nilai dalam permintaan. Pada langkah ini, Anda membuat ACL web. Untuk informasi lebih lanjut tentangAWS WAFACL webDaftar kontrol akses web (web ACL).

Untuk membuat ACL web

  1. Masuk keAWS Management Consoledan membukaAWS WAFkonsol dihttps://console.aws.amazon.com/wafv2/.

  2. DariAWS WAFhalaman rumah, pilihBuat ACL web.

  3. UntukNama, masukkan nama yang ingin Anda gunakan untuk mengidentifikasi ACL web ini.

    catatan

    Anda tidak dapat mengubah nama setelah Anda membuat ACL web.

  4. (Opsional) UntukDeskripsi - opsional, masukkan deskripsi yang lebih panjang untuk ACL web jika Anda mau.

  5. UntukCloudWatch nama metrik, ubah nama default jika berlaku. Ikuti panduan di konsol untuk karakter yang valid. Nama tidak dapat berisi karakter khusus, spasi, atau nama metrik yang dicadangkanAWS WAF, termasuk “Semua” dan “Default_Action.”

    catatan

    Anda tidak dapat mengubah CloudWatch nama metrik setelah Anda membuat ACL web.

  6. UntukJenis sumber daya, PilihCloudFrontdistribusi. YangWilayahsecara otomatis terisi keGlobal (CloudFront)untuk CloudFront distribusi.

  7. (Opsional) UntukTerkaitAWSsumber daya - opsional, PilihTambahkanAWSsumber daya. Di kotak dialog, pilih sumber daya yang ingin Anda kaitkan, lalu pilihTambahkan.AWS WAFmengembalikan Anda keJelaskan web ACL dan terkaitAWSsumber dayahalaman.

  8. Pilih Selanjutnya.

Langkah 3: Menambahkan aturan pencocokan string

Pada langkah ini, Anda membuat aturan dengan pernyataan string match dan menunjukkan apa yang harus dilakukan dengan permintaan yang cocok. Sebuah pernyataan aturan pertandingan string mengidentifikasi string yang Anda inginkanAWS WAFuntuk mencari dalam permintaan. Biasanya, string terdiri dari karakter ASCII yang dapat dicetak, tetapi Anda dapat menentukan karakter apa pun dari heksadesimal 0x00 hingga 0xFF (desimal 0 hingga 255). Selain menentukan string yang akan dicari, Anda menentukan komponen permintaan web yang ingin Anda cari, seperti header, string kueri, atau badan permintaan.

Jenis pernyataan ini beroperasi pada komponen permintaan web, dan membutuhkan pengaturan komponen permintaan berikut:

  • Komponen permintaan- Bagian dari permintaan web untuk memeriksa, misalnya, string kueri atau badan.

    Awas

    Jika Anda memeriksa komponen permintaanbody,Badan JSON,Header, atauCookie, membaca tentang keterbatasan pada berapa banyak kontenAWS WAFdapat memeriksa diPenanganan oversize untuk komponen permintaan.

    Untuk informasi tentang komponen permintaan web, lihatKomponen permintaan web.

  • Transformasi teks opsional- Transformasi yang Anda inginkanAWS WAFuntuk melakukan pada komponen permintaan sebelum memeriksanya. Misalnya, Anda bisa berubah menjadi huruf kecil atau menormalkan ruang putih. Jika Anda menentukan lebih dari satu transformasi,AWS WAFmemproses mereka dalam urutan yang tercantum. Untuk informasi, lihat Transformasi teks.

Untuk informasi tambahan tentangAWS WAFaturan, lihatAturan.

Untuk membuat pernyataan aturan pertandingan string

  1. PadaMenambahkan aturan dan grup aturanhalaman, pilihTambahkan aturan,Tambahkan aturan dan grup aturan saya sendiri,Pembangun bangun bangun tidurmakaEditor visual aturan.

    catatan

    Konsol menyediakanEditor visual aturandan jugaAturan Editor JSON. Editor JSON memudahkan Anda untuk menyalin konfigurasi antara web ACL dan diperlukan untuk set aturan yang lebih kompleks, seperti yang memiliki beberapa tingkat bersarang.

    Prosedur ini menggunakanEditor visual aturan.

  2. UntukNama, masukkan nama yang ingin Anda gunakan untuk mengidentifikasi aturan ini.

  3. UntukJenispilihAturan Reguler.

  4. UntukJika permintaanpilihcocok dengan pernyataan.

    Pilihan lainnya adalah untuk jenis pernyataan aturan logis. Anda dapat menggunakannya untuk menggabungkan atau meniadakan hasil pernyataan aturan lainnya.

  5. PadaPernyataan, untukMemeriksa, buka dropdown dan pilih komponen permintaan web yang Anda inginkanAWS WAFuntuk memeriksa. Untuk contoh ini, pilihHeader.

    Bila Anda memilihHeader, Anda juga menentukan header mana yang Anda inginkanAWS WAFuntuk memeriksa. Masukkan User-Agent. Nilai ini tidak peka huruf besar kecil.

  6. UntukJenis match, pilih di mana string yang ditentukan harus muncul diUser-AgentHeader Header header

    Untuk contoh ini, pilihTepat pencocokan string. Ini menunjukkan bahwaAWS WAFmemeriksa header agen pengguna di setiap permintaan web untuk string yang identik dengan string yang Anda tentukan.

  7. UntukString untuk mencocokkan, tentukan string yang Anda inginkanAWS WAFuntuk dicari. Panjang maksimumString untuk mencocokkanadalah 200 karakter. Jika Anda ingin menentukan nilai yang dikodekan base64, Anda dapat menentukan hingga 200 karakter sebelum pengkodean.

    Untuk contoh ini, masukkanMyAgent.AWS WAFakan memeriksaUser-Agentheader dalam permintaan web untuk nilaiMyAgent.

  8. MeninggalkanTransformasi teksset keTidak ada.

  9. UntukTindakan, pilih tindakan yang Anda ingin aturan untuk mengambil ketika cocok dengan permintaan web. Untuk contoh ini, pilihJumlahdan tinggalkan pilihan lain sebagaimana adanya. Tindakan hitungan membuat metrik untuk permintaan web yang cocok dengan aturan, tetapi tidak memengaruhi apakah permintaan diizinkan atau diblokir. Untuk informasi lebih lanjut lebih lanjut lebih lanjut tentang pilihan tindakan, lihatAWS WAFtindakan aturandanAturan ACL web dan evaluasi kelompok aturan.

  10. Pilih Add rule (Tambahkan aturan).

Langkah 4: TambahkanAWSGrup aturan Aturan Terkelola

AWSAturan Terkelola menawarkan serangkaian grup aturan terkelola untuk Anda gunakan, yang sebagian besar tidak dikenai biayaAWS WAFpelanggan. Untuk informasi lebih lanjut tentang grup aturan, lihatGrup aturan. Kami akan menambahkanAWSKelompok aturan Aturan Terkelola ke ACL web ini.

Untuk menambahkanAWSGrup aturan Aturan Terkelola

  1. PadaMenambahkan aturan dan grup aturanhalaman, pilihTambahkan peraturan, dan kemudian pilihMenambahkan grup aturan terkelola.

  2. PadaMenambahkan grup aturan terkelolahalaman, memperluas daftar untukAWSgrup aturan terkelola. (Anda juga akan melihat daftar yang ditawarkanAWS Marketplacepenjual. Anda dapat berlangganan penawaran mereka dan kemudian menggunakannya dengan cara yang sama seperti untukAWSGrup aturan Aturan Terkelola.)

  3. Untuk grup aturan yang ingin Anda tambahkan, lakukan hal berikut:

    1. DiTindakankolom, nyalakanTambahkan ke web ACLberalih.

    2. Piliheditdan, dalam grup aturnAturandaftar, nyalakanTetapkan semua tindakan aturan untuk dihitungberalih. Ini menetapkan tindakan untuk semua aturan dalam kelompok aturan untuk menghitung saja. Hal ini memungkinkan Anda untuk melihat bagaimana semua aturan dalam kelompok aturan berperilaku dengan permintaan web Anda sebelum Anda menempatkan salah satu dari mereka untuk digunakan.

    3. PilihSimpan peraturan.

  4. DiMenambahkan grup aturan terkelolahalaman, pilihTambahkan peraturan. Ini akan membawa Anda kembali keMenambahkan aturan dan grup aturanhalaman.

Langkah 5: Selesaikan konfigurasi ACL web Anda

Setelah selesai menambahkan aturan dan grup aturan ke konfigurasi ACL web Anda, selesaikan dengan mengelola prioritas aturan di ACL web dan mengonfigurasi pengaturan seperti metrik, penandaan, dan pencatatan.

Untuk menyelesaikan konfigurasi ACL web Anda

  1. PadaMenambahkan aturan dan grup aturanhalaman, pilihSelanjutnya.

  2. PadaMengatur prioritas aturanhalaman, Anda dapat melihat urutan pemrosesan untuk aturan dan kelompok aturan di web ACL.AWS WAFmemproses mereka mulai dari bagian atas daftar. Anda dapat mengubah urutan pemrosesan dengan memindahkan aturan ke atas atau ke bawah. Untuk melakukan ini, pilih satu di daftar dan pilihMemindahkan ke atasatauMemindahkan ke bawah. Untuk informasi lebih lanjut tentang prioritas aturan, lihat Memproses urutan aturan dan kelompok aturan dalam ACL web.

  3. Pilih Selanjutnya.

  4. PadaMengonfigurasi metrikhalaman, untukAmazon CloudWatch metrik, Anda dapat melihat metrik yang direncanakan untuk aturan dan grup aturan Anda dan Anda dapat melihat opsi pengambilan sampel permintaan web. Untuk informasi tentang Amazon CloudWatch metrik, lihatPemantauan CloudWatch dengan Amazon. Untuk informasi tentang melihat permintaan sampel, lihatMelihat contoh permintaan web.

  5. Pilih Selanjutnya.

  6. PadaMemeriksa dan membuat ACLhalaman, tinjau pengaturan Anda, lalu pilihBuat ACL web.

Wisaya mengembalikan Anda keACL Webhalaman, di mana ACL web baru Anda terdaftar.

Langkah 6: Bersihkan sumber daya Anda

Anda sudah berhasil menyelesaikan tutorial ini. Untuk mencegah akun Anda bertambah tambahanAWS WAFbiaya, membersihkanAWS WAFobjek yang Anda buat. Atau, Anda dapat mengubah konfigurasi agar sesuai dengan permintaan web yang benar-benar ingin Anda kelolaAWS WAF.

catatan

AWSbiasanya menagih Anda kurang dari US $0,25 per hari untuk sumber daya yang Anda buat selama tutorial ini. Setelah selesai, kami sarankan Anda menghapus sumber daya untuk mencegah terjadinya biaya yang tidak perlu.

Untuk menghapus objek yangAWS WAFbiaya untuk

  1. DiACL Webhalaman, pilih ACL web Anda dari daftar dan pilihedit.

  2. PadaTerkaitAWSsumber dayatab, untuk setiap sumber daya terkait, pilih tombol radio di sebelah nama sumber daya dan kemudian pilihPutus. Ini memisahkan ACL web dari AndaAWSsumber daya

  3. Di setiap layar berikut, pilihSelanjutnyasampai Anda kembali keACL Webhalaman.

    DiACL Webhalaman, pilih ACL web Anda dari daftar dan pilihHapus.

Aturan dan pernyataan aturan tidak ada di luar grup aturan dan definisi ACL web. Jika Anda menghapus ACL web, ini akan menghapus semua aturan individual yang telah Anda tetapkan di ACL web. Ketika Anda menghapus grup aturan dari ACL web, Anda hanya menghapus referensi untuk itu.