什麼是 AWS WAFAWS Shield 牌和 AWS Firewall Manager? - AWS WAF、 AWS Firewall Manager、和 AWS Shield Advanced
AWS WAFAWS ShieldAWS Firewall Manager

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

什麼是 AWS WAFAWS Shield 牌和 AWS Firewall Manager?

您可以使用AWS WAFAWS Shield、和AWS Firewall Manager一起建立全方位的安全性解決方案。 AWS WAF 是一種 Web 應用程式防火牆,可用來監控使用者傳送至應用程式的 Web 要求,以及控制對內容的存取。 AWS Shield 針對網路和傳輸層 (第 3 層和第 4 層) 和應用程式層 (第 7 層) 的 AWS 資源提供分散式拒絕服務 (DDoS) 攻擊的保護。 AWS Firewall Manager 提供跨帳戶和資源的保護管理,例如 AWS WAF 和 Shield Advanced,即使添加了新資源也是如此。

AWS WAF

AWS WAF 是一種 Web 應用程式防火牆,可讓您監控轉寄至受保護 Web 應用程式資源的 HTTP 和 HTTPS 要求。您可以保護下列資源類型:

  • Amazon CloudFront 分佈

  • Amazon API Gateway 其他 API

  • Application Load Balancer

  • AWS AppSync GraphQL API

  • Amazon Cognito 使用者集區

  • AWS App Runner 服務

  • AWS 驗證存取實例

AWS WAF 可讓您控制內容的存取權。根據您指定的條件 (例如請求來源的 IP 位址或查詢字串的值),受保護的資源會以要求的內容、HTTP 403 狀態碼 (禁止) 或自訂回應來回應要求。

在最簡單的層級中, AWS WAF 可讓您選擇下列其中一個行為:

  • 允許除您指定的請求以外的所有請求 — 當您希望 Amazon CloudFront、Amazon API Gateway、應用程式負載平衡器 AWS AppSync、Amazon Cognito 或 AWS 已驗證存取權限為公用網站提供內容時,這非常有用,但您也想封鎖攻擊者的請求。 AWS App Runner

  • 封鎖除您指定的要求以外的所有要求 — 當您想要提供受限制網站的內容時,這個網站的使用者可以容易透過網頁要求中的屬性識別 (例如他們用來瀏覽網站的 IP 位址) 提供內容時,這會很有用。

  • 計算符合條件的請求 — 您可以使用Count動作來追蹤網路流量,而無需修改處理方式。您可以將其用於一般監視,也可以測試新的 Web 請求處理規則。當您想要根據 Web 要求中的新屬性來允許或封鎖要求時,您可以先設定 AWS WAF 為計算符合這些屬性的要求。這可讓您在切換規則以允許或封鎖相符要求之前,先確認新的組態設定。

  • 針對符合條件的請求執行 CAPTCHA 或挑戰檢查 — 您可以針對要求實作 CAPTCHA 和無聲挑戰控制,以協助減少機器人流量到受保護的資源。

使用 AWS WAF 有幾個好處:

  • 使用您指定的準則抵禦 Web 攻擊的其他防護。您可以使用 Web 請求的特性來定義條件,如下所示:

    • 發出請求的 IP 地址。

    • 發出請求的國家/地區。

    • 請求標頭中的值。

    • 要求中出現的字串,可能是符合規則運算式 (regex) 模式的特定字串或字串。

    • 請求的長度。

    • SQL 程式碼的存在很可能為惡意 (稱為 SQL injection)。

    • 指令碼的存在很可能為惡意 (稱為跨網站指令碼)。

  • 可允許、封鎖或計算符合指定條件的 Web 要求的規則。或者,規則可以封鎖或計算不僅符合指定條件,而且在一分鐘或五分鐘內超過指定要求數目的 Web 要求。

  • 規則,您可以重複在多個 web 應用程式上使用。

  • 來自 AWS 和 AWS Marketplace 賣家的受管規則群組。

  • 即時指標和採樣的 Web 請求。

  • 使用 AWS WAF API 進行自動化管理。

如果您希望對添加到資源的保護進行細微控制,那麼 AWS WAF 單獨可能是正確的選擇。如需有關的更多資訊 AWS WAF,請參閱AWS WAF

AWS Shield

您可以使用 AWS WAF Web 存取控制清單 (Web ACL),將分散式拒絕服務 (DDoS) 攻擊的影響降到最低。為了防止 DDoS 攻擊的額外保護, AWS 還提供 AWS Shield Standard 和 AWS Shield Advanced。 AWS Shield Standard 除了您已經支付的費用 AWS WAF 和其他 AWS 服務之外,會自動包含在內,無需額外費用。

AWS Shield Advanced 為您的 Amazon EC2 執行個體、Elastic Load Balancing 負載平衡器、 CloudFront 分發、Route 53 託管區域和 AWS Global Accelerator 標準加速器提供擴充的 DDoS 攻擊保護。 AWS Shield Advanced 會產生額外費用。Shield 進階選項和功能包括自動應用程式層 DDoS 緩解、進階事件可見性,以及 Shield 牌回應團隊 (SRT) 的專屬支援。如果您擁有高可見度的網站,或者容易經常遭受 DDoS 攻擊,請考慮購買 Shield Advanced 提供的其他保護。有關其他訊息,請參閱AWS Shield Advanced 功能和選項決定是否訂閱 AWS Shield Advanced 及套用其他保護

AWS Firewall Manager

AWS Firewall Manager 簡化您跨多個帳戶和資源的管理和維護任務,以提供各種保護 AWS WAF AWS Shield Advanced,包括 Amazon VPC 安全群組和 Amazon Route 53 解析器 DNS 防火牆。 AWS Network Firewall使用 Firewall Manager,您只需設定一次保護,服務就會自動將其套用至您的帳戶和資源,即使您新增了新的帳戶和資源也一樣。

如需防火牆管理員的詳細資訊,請參閱AWS Firewall Manager