什麼是AWS WAFAWS Shield 牌和AWS Firewall Manager? - AWS WAF、AWS Firewall Manager 與 AWS Shield Advanced

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

什麼是AWS WAFAWS Shield 牌和AWS Firewall Manager?

AWS WAF是一種 Web 應用程式防火牆,可讓您監控轉送到受保護的 Web 應用程式資源的 HTTP 和 HTTPS 請求。您可以保護下列資源:

  • 亞馬遜 CloudFront 分佈

  • Amazon API Gateway REST API Gateway

  • Application Load Balancer

  • AWS AppSyncGraphQL API GGG

  • Amazon Cognito 使用者集區

AWS WAF 也可讓您控制對內容的存取。根據您指定的條件,例如請求源自於此的 IP 地址或查詢字串的值,您的資源會使用請求的內容、HTTP 403 狀態碼 (禁止) 或自訂回應的請求。

在最簡單的層級,AWS WAF 可讓您選擇以下其中一個行為:

  • 允許除您指定的請求以外的所有請求 — 當您希望 Amazon CloudFront、Amazon API Gateway、應用程式負載平衡器或 Amazon Cognito 為公用網站提供內容時,這非常有用,但您也想要封鎖攻擊者的請求。AWS AppSync

  • 封鎖除您指定的要求以外的所有要求 — 當您想要提供受限制網站的內容時,這個網站的使用者可以容易透過網頁要求中的屬性識別 (例如他們用來瀏覽網站的 IP 位址) 提供內容時,這會很有用。

  • 計算符合條件的請求 — 您可以使用Count動作來追蹤網路流量,而無需修改處理方式。您可以將其用於一般監視,也可以測試新的 Web 請求處理規則。當您想要根據 Web 要求中的新屬性來允許或封鎖要求時,您可以先設定AWS WAF為計算符合這些屬性的要求。這可讓您在切換規則以允許或封鎖相符要求之前,先確認新的組態設定。

  • 針對符合條件的請求執行 CAPTCHA 或挑戰檢查 — 您可以針對要求實作 CAPTCHA 和無聲挑戰控制,以協助減少機器人流量到受保護的資源。

使用 AWS WAF 有多種好處:

  • 使用您指定的準則抵禦 Web 攻擊的其他防護。您可以使用 Web 請求的特性來定義條件,如下所示:

    • 發出請求的 IP 地址。

    • 發出請求的國家/地區。

    • 請求標頭中的值。

    • 要求中出現的字串,可能是符合規則運算式 (regex) 模式的特定字串或字串。

    • 請求的長度。

    • SQL 程式碼的存在很可能為惡意 (稱為 SQL injection)。

    • 指令碼的存在很可能為惡意 (稱為跨網站指令碼)。

  • 規則,可讓、封鎖或計數的 Web 請求。或者,規則可以封鎖或計算不僅符合指定條件,而且在任何 5 分鐘期間超過指定要求數目的 Web 要求。

  • 規則,您可以重複在多個 web 應用程式上使用。

  • 來自 AWS 和 AWS Marketplace 賣家的受管規則群組。

  • 即時指標和採樣的 Web 請求。

  • 使用 AWS WAF API 自動化管理。

AWS Shield

您可以使用AWS WAF Web 存取控制清單 (Web ACL),將分散式拒絕服務 (DDoS) 攻擊的影響降到最低。為了防止 DDoS 攻擊的額外保護,AWS還提供AWS Shield Standard和AWS Shield Advanced。 AWS Shield Standard除了您已經支付的費用AWS WAF和其他AWS服務之外,會自動包含在內,無需額外費用。 AWS Shield Advanced為您的 Amazon EC2 執行個體、Elastic Load Balancing 負載平衡器、 CloudFront 分發、Route 53 託管區域和AWS Global Accelerator標準加速器提供擴充的 DDoS 攻擊保護。 AWS Shield Advanced會產生額外統計數的。

如需 AWS Shield Standard 和 AWS Shield Advanced 的詳細資訊,請參閱「AWS Shield」。

AWS Firewall Manager

AWS Firewall Manager簡化您跨多個帳戶和資源的管理和維護任務,以提供各種保護AWS WAFAWS Shield Advanced,包括 Amazon VPC 安全群組和 Amazon Route 53 解析器 DNS 防火牆。AWS Network Firewall使用 Firewall Manager 會自動在帳號和資源中套用,服務會自動在帳號和資源中套用,甚至在您新增帳號和資源時也可套用。

如需防火牆管理員的詳細資訊,請參閱AWS Firewall Manager