Cara kerja AWS WAF - AWS WAF, AWS Firewall Manager, dan AWS Shield Advanced

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Cara kerja AWS WAF

Anda menggunakanAWS WAFuntuk mengontrol bagaimana sumber daya yang dilindungi merespons permintaan web HTTP (S). Anda melakukan ini dengan mendefinisikan daftar kontrol akses web (ACL) dan kemudian mengaitkannya dengan satu atau lebih sumber daya aplikasi web yang ingin Anda lindungi.

AWS WAF komponen

Berikut ini adalah komponen utamaAWS WAF:

  • ACL web- Anda menggunakan daftar kontrol akses (ACL) untuk melindungi setAWSsumber daya. Anda membuat ACL web dan menentukan strategi perlindungannya dengan menambahkan aturan. Aturan menentukan kriteria untuk memeriksa permintaan web dan mereka menentukan tindakan untuk mengambil permintaan yang sesuai dengan kriteria mereka. Anda juga menetapkan tindakan default untuk ACL web yang menunjukkan apakah akan memblokir atau mengizinkan permintaan apa pun yang belum diblokir atau diizinkan oleh aturan.

  • Aturan- Setiap aturan berisi pernyataan yang menentukan kriteria inspeksi, dan tindakan yang harus diambil jika permintaan web memenuhi kriteria. Ketika permintaan web memenuhi kriteria, itu cocok. Anda dapat mengonfigurasi aturan untuk memblokir permintaan yang cocok, mengizinkannya, menghitungnya, atau menjalankanCAPTCHAkontrol terhadap mereka.

  • Grup aturan- Anda dapat menggunakan aturan secara individual atau dalam kelompok aturan yang dapat digunakan kembali.AWS Aturan DikelolaAWS Marketplacepenjual menyediakan grup aturan terkelola untuk Anda gunakan. Anda juga dapat menentukan grup aturan Anda sendiri.

AWS WAFUnit kapasitas ACL web (WCU)

AWS WAFmenggunakan unit kapasitas ACL web (WCU) untuk menghitung dan mengontrol sumber daya operasi yang diperlukan untuk menjalankan aturan, grup aturan, dan ACL web.AWS WAFmemberlakukan batas WCU ketika Anda mengkonfigurasi kelompok aturan Anda dan ACL web. WCU tidak mempengaruhi caranyaAWS WAFmemeriksa lalu lintas web.

AWS WAFmenghitung kapasitas secara berbeda untuk setiap jenis aturan, untuk mencerminkan biaya relatif masing-masing aturan. Aturan sederhana dengan biaya sedikit untuk menjalankan menggunakan lebih sedikit WCU daripada aturan lebih kompleks yang menggunakan lebih banyak kekuatan pemrosesan. Misalnya, pernyataan aturan kendala ukuran menggunakan WCU lebih sedikit daripada pernyataan yang memeriksa terhadap set pola regex.

AWS WAFmengelola kapasitas untuk aturan, kelompok aturan, dan web ACL:

  • Kapasitas aturan—AWS WAFmenghitung kapasitas aturan saat Anda membuat atau memperbarui aturan. Untuk beberapa pedoman dasar untuk persyaratan kapasitas aturan, lihat daftar untuk berbagai pernyataan aturan diAWS WAFpernyataan aturan. Anda juga bisa mendapatkan gambaran tentang kapasitas yang diperlukan untuk berbagai jenis aturan diAWS WAFkonsol dengan membuat ACL web atau kelompok aturan dan menambahkan aturan individu untuk itu. Konsol menampilkan unit kapasitas yang digunakan saat Anda menambahkan aturan.

  • Kapasitas grup aturan—AWS WAFmensyaratkan bahwa setiap kelompok aturan diberi kapasitas yang tidak berubah pada saat pembuatan. Hal ini berlaku untuk grup aturan terkelola dan grup aturan yang Anda buatAWS WAF. Ketika Anda memodifikasi grup aturan, perubahan Anda harus menjaga WCU grup aturan dalam kapasitasnya. Ini memastikan bahwa ACL web yang menggunakan grup aturan tetap dalam kapasitas maksimumnya.

  • Kapasitas ACL web- Kapasitas maksimum untuk ACL web adalah 1.500, yang cukup untuk sebagian besar kasus penggunaan. Jika Anda membutuhkan lebih banyak kapasitas, hubungiAWS SupportPusat Pusat.

Sumber daya yang dapat Anda lindungiAWS WAF

Anda dapat menggunakanAWS WAFweb ACL untuk melindungi jenis sumber daya global atau regional. Anda melakukan ini dengan mengaitkan ACL web dengan sumber daya yang ingin Anda lindungi.

Amazon CloudFront distribusi

Anda dapat mengasosiasikanAWS WAFACL web ACL dengan CloudFront distribusi menggunakanAWS WAFkonsol atau API. Anda juga dapat mengaitkan ACL web dengan CloudFront distribusi saat Anda membuat atau memperbarui distribusi itu sendiri. Untuk mengkonfigurasi asosiasi diAWS CloudFormation, Anda harus menggunakan CloudFront konfigurasi distribusi. Untuk informasi tentang Amazon CloudFrontLihatMenggunakanAWS WAFuntuk Mengontrol akses ke konten Andadi dalamAmazon CloudFront Panduan Pengembang.

AWS WAFtersedia secara global untuk CloudFront distribusi, tetapi Anda harus menggunakan Wilayah AS Timur (Virginia N.) untuk membuat ACL web Anda dan sumber daya apa pun yang digunakan dalam ACL web, seperti grup aturan, set IP, dan set pola regex. Beberapa antarmuka menawarkan pilihan wilayah “Global (CloudFront)”. Memilih ini identik dengan memilih Wilayah US East (N. Virginia) atau”us-east-1“.

Sumber daya regional

Anda dapat melindungi sumber daya regional di semua Wilayah di manaAWS WAFtersedia. Anda dapat melihat daftarnya diAWS WAFtitik akhir dan kuotadi dalamAmazon Web Services Referensi Umum.

Anda dapat menggunakanAWS WAFuntuk melindungi jenis sumber daya regional berikut:

  • API REST Amazon API Gateway

  • Application Load Balancer

  • AWS AppSyncAPI GraphQL

  • Kolam pengguna Amazon Cognito

Anda hanya dapat mengaitkan ACL web ke Application Load Balancer yang ada di dalamnyaWilayah AWS. Misalnya, Anda tidak dapat mengaitkan ACL web ke Application Load Balancer yang aktifAWS Outposts.

Pembatasan pada beberapa asosiasi sumber daya

Anda dapat mengaitkan satu ACL web dengan satu atau lebihAWSsumber daya, dengan pembatasan-pembatasan berikut:

  • Anda dapat mengasosiasikan masing-masingAWSsumber daya dengan hanya satu web ACL. Hubungan antara web ACL danAWSsumber daya one-to-many.

  • Anda dapat mengaitkan web ACL dengan satu atau lebih CloudFront distribusi. Anda tidak dapat mengaitkan ACL web yang telah Anda kaitkan dengan CloudFront distribusi dengan yang lainAWSjenis sumber daya.