什么是 AWS WAF、AWS Shield Advanced 和 AWS Firewall Manager? - AWS WAFAWS Firewall Manager、和 AWS Shield Advanced

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

什么是 AWS WAF、AWS Shield Advanced 和 AWS Firewall Manager?

您可以结合使用 AWS WAFAWS ShieldAWS Firewall Manager 来创建全面的安全解决方案。AWS WAF 是 Web 应用程序防火墙,可以用于监视最终用户发送到应用程序的 Web 请求,并控制对内容的访问。Shield Advanced 可以在网络和传输层(第 3 层和第 4 层)以及应用程序层(第 7 层)为 AWS 资源提供分布式拒绝服务(DDoS)攻击保护。即使添加了新资源,AWS Firewall Manager 也可以跨账户和资源管理诸如 AWS WAF 和 Shield Advanced 之类的保护。

什么是 AWS WAF?

AWS WAF 是一种 Web 应用程序防火墙,让您能够监控转发到受保护 Web 应用程序资源的 HTTP 和 HTTPS 请求。您可以保护以下资源类型:

  • Amazon CloudFront 分配

  • Amazon API Gateway REST API

  • 应用程序负载均衡器

  • AWS AppSync GraphQL API

  • Amazon Cognito 用户池

  • AWS App Runner 服务

  • AWS 已验证访问实例

利用 AWS WAF,您可控制对您的内容的访问。根据指定的条件(如请求源自的 IP 地址或查询字符串的值),受保护资源会使用所请求的内容或者使用 HTTP 状态代码 403(禁止)或自定义响应来响应请求。

在最基本的情况下,AWS WAF 允许您选择以下行为之一:

  • 允许除您指定的请求之外的所有请求:当您希望 Amazon CloudFront、Amazon API Gateway、应用程序负载均衡器 AWS App Runner、Amazon Cognito AWS 或已验证访问权限为公共网站提供内容,但又想阻止攻击者的请求时,这很有用。AWS AppSync

  • 阻止您指定的请求之外的所有请求 当您要为其用户可通过 Web 请求中的属性(如他们用于浏览网站的 IP 地址)轻松识别的受限网站提供内容时,此行为很有用。

  • 统计符合您条件的请求 – 您可以使用 Count 操作来跟踪您的 Web 流量,而无需修改处理方式。您可以用它来进行常规监控,也可以用来测试您的新 Web 请求处理规则。当您要根据 Web 请求中的新属性允许或阻止请求时,首先可将 AWS WAF 配置为对与属性匹配的请求计数。这样,您就可以在将规则切换为允许或阻止匹配请求之前确认新的配置设置。

  • 对符合您条件的请求运行验证码或质询检查:您可以对请求实施验证码和静默质询控制,以帮助减少机器人流向受保护资源的流量。

使用 AWS WAF 有几个优势:

  • 使用您指定的条件针对 Web 攻击提供额外保护。您可以使用 Web 请求的如下特征来定义条件:

    • 请求源自的 IP 地址。

    • 请求源自的国家/地区。

    • 请求标头中的值。

    • 出现在请求中的字符串 (特定字符串或与正则表达式 (regex) 模式匹配的字符串)。

    • 请求的长度。

    • 存在可能是恶意的 SQL 代码 (称为 SQL 注入)。

    • 存在可能是恶意的脚本 (称为跨站点脚本)。

  • 规则可以允许、阻止或统计满足指定条件的 Web 请求。或者,规则可以阻止或统计不仅满足指定条件,还在一分钟或五分钟内超过指定请求数的 Web 请求。

  • 可以重复用于多个 Web 应用程序的规则。

  • 来自 AWS 和 AWS Marketplace 卖家的托管规则组。

  • 实时指标和采样的 Web 请求。

  • 使用 AWS WAF API 的自动化管理。

如果您希望对添加到您的资源的保护进行精细控制,单独使用 AWS WAF 可能是正确的选择。有关 AWS WAF 的更多信息,请参阅 AWS WAF

什么是 AWS Shield Advanced?

您可以使用 AWS WAF Web 访问控制列表 (Web ACL) 来帮助最大程度地降低分布式拒绝服务 (DDoS) 攻击的影响。为增加对 DDoS 攻击的防护,AWS 还提供了 AWS Shield Standard 和 AWS Shield Advanced。AWS Shield Standard 是自动包含的,除了已为 AWS WAF 和其他 AWS 服务支付的费用外,无任何附加成本。

Shield Advanced 可为您的 Amazon EC2 实例、Elastic Load Balancing 负载均衡器、CloudFront 分布、Route 53 托管区和 AWS Global Accelerator 标准加速器提供扩展的 DDoS 攻击保护。Shield Advanced 会产生额外费用。Shield Advanced 选项和功能包括应用程序层 DDoS 自动缓解、高级事件可见性以及 Shield Response Team (SRT) 的专门支持。如果您拥有高可见性网站或容易遭受频繁的 DDoS 攻击,请考虑购买 Shield Advanced 提供的额外保护。有关其他信息,请参阅AWS Shield Advanced 功能和选项决定是否订阅 AWS Shield Advanced 和应用其他保护

什么是 AWS Firewall Manager?

AWS Firewall Manager 简化了多个账户和资源的管理和维护任务,包括 AWS WAF、AWS Shield Advanced、Amazon VPC 安全组和网络 ACL、AWS Network Firewall 和 Amazon Route 53 Resolver DNS Firewall,以提供各种保护。使用 Firewall Manager 一次设置好保护措施,该服务就会自动将其应用于您的账户和资源,即使添加新资源和账户时也是如此。

有关 Firewall Manager 的更多信息,请参阅 AWS Firewall Manager