什麼是AWS WAF、AWS和 ShieldAWS Firewall Manager? - AWS WAF、AWS Firewall Manager 與 AWS Shield Advanced

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

什麼是AWS WAF、AWS和 ShieldAWS Firewall Manager?

AWS WAF是一種 Web 應用程式防火牆,可讓您監控轉送至 Amazon 的 HTTP 和 HTTPS 請求 CloudFront 分佈、Amazon API Gateway REST API、Application Load Balancer 或AWS AppSyncGraphQL API。AWS WAF也可讓您控制對內容的存取。根據您指定的條件,例如請求源自於此的 IP 地址或查詢字串的值、Amazon CloudFront、Amazon API Gateway、Application Load Balancer 或AWS AppSync使用請求的內容或 HTTP 403 狀態碼 (禁止) 回應請求。您還可以配置 CloudFront 在請求被封鎖時返回自訂錯誤頁面。

在最簡單的層級,AWS WAF 可讓您選擇以下其中一個行為:

  • 允許除指定的請求以外的所有請求— 當您需要 Amazon CloudFront、Amazon API Gateway、Application Load Balancer 或AWS AppSync為公共網站提供內容,但您也想封鎖攻擊者的請求。

  • 阻止除您指定的請求以外的所有請求— 當您想為受限制的網站提供內容,該網站的使用者可透過 web 請求識別,如用於瀏覽網站 IP 地址。

  • 對符合您的條件的請求進行計數— 您可以使用計數操作跟蹤 Web 流量,而無需修改您的處理方式。您可以將其用於常規監控,也可以測試新的 Web 請求處理規則。當您想讓根據 web 請求的新屬性來允許或封鎖請求,您可以首先設定AWS WAF來計算與這些屬性匹配的請求。這樣,您就可以在實施新的允許或阻止操作之前確認新的配置設置。

  • 執行CAPTCHA檢查符合您的條件的請求— 您可以實現CAPTCHA控件,以幫助減少流向受保護資源的機器人流量。

使用 AWS WAF 有多種好處:

  • 使用您指定的條件提供額外保護不受 web 攻擊。使用 web 請求的特性,可讓您定義條件,如下:

    • 發出請求的 IP 地址。

    • 發出請求的國家/地區。

    • 請求標頭中的值。

    • 字串,會出現在請求,特定字串或符合正則表達式 (regex) 模式的字串。

    • 請求的長度。

    • SQL 程式碼的存在很可能為惡意 (稱為 SQL injection)。

    • 指令碼的存在很可能為惡意 (稱為跨網站指令碼)。

  • 規則,可以允許、封鎖或計數符合指定條件的 web 請求。或者,規則可以封鎖或計數不僅符合指定條件,還在任 5 分鐘期間內超過指定請求數量的 web 請求。

  • 規則,您可以重複在多個 web 應用程式上使用。

  • 來自 AWS 和 AWS Marketplace 賣家的受管規則群組。

  • 即時指標和採樣的 Web 請求。

  • 使用 AWS WAF API 自動化管理。

AWS Shield

您可以使用AWS WAFweb 存取控制清單 (web ACL),幫助將分散式拒絕服務 (DDoS) 攻擊的影響降至最小。若要額外保護 DDoS 攻擊,AWS還提供AWS Shield Standard和AWS Shield Advanced。AWS Shield Standard是自動附加的項目,除了已支付的費用,無任何附加成本AWS WAF和您的其他AWS服務。AWS Shield Advanced為您的 Amazon EC2 實例、Elastic Load Balancing 負載均衡器、 CloudFront 分佈、Route 53 託管區域和AWS Global Accelerator標準加速器。AWS Shield Advanced會產生額外費用。

如需 AWS Shield Standard 和 AWS Shield Advanced 的詳細資訊,請參閱「AWS Shield」。

AWS Firewall Manager

AWS Firewall Manager簡化您多個帳號和資源的管理和維護,以實現各種保護,包括AWS WAF、AWS Shield Advanced、Amazon VPC 安全羣組、AWS Network Firewall和 Amazon Route 53 Resolver DNS 防火 使用 Firewall Manager,您只需設定一次保護,服務會自動在帳號和資源中套用,甚至在您新增帳號和資源時也可套用。

如需防火牆管理員的詳細資訊,請參閱AWS Firewall Manager