什麼是AWS WAF、AWSShieldAWS Firewall Manager? - AWS WAF、AWS Firewall Manager 與 AWS Shield Advanced

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

什麼是AWS WAF、AWSShieldAWS Firewall Manager?

AWS WAF是 Web 應用程式防火牆,可讓您監控轉送到受保護 Web 應用程式資源的 HTTP 和 HTTPS 請求。您可以保護下列資源類型:

  • 亞馬遜 CloudFront 分佈

  • Amazon API Gateway

  • Application Load Balancer

  • AWS AppSyncGraphQL API

  • Amazon Cognito 使用者集區

AWS WAF 也可讓您控制對內容的存取。根據您指定的條件,例如請求源自於此的 IP 地址或查詢字串的值,受保護的資源會回應請求的內容、HTTP 403 狀態碼 (禁止) 或自訂回應請求。

在最簡單的層級,AWS WAF 可讓您選擇以下其中一個行為:

  • 允許所有請求,但您指定的請求除外— 當您希望 Amazon Amazon CloudFront、Amazon API Gateway、Application Load Balancer 器、AWS AppSync,或者 Amazon Cognito 為公共網站提供內容,但您也希望阻止來自攻擊者的請求。

  • 封鎖所有要求,但您指定的要求除外— 當您想為受限制的網站提供內容時,該網站的用戶可以通過 Web 請求中的屬性(例如他們用於瀏覽網站的 IP 地址)提供內容時,此功能非常有用。

  • 計算符合您條件的請求— 您可以使用計數操作來跟踪您的網絡流量,而無需修改處理方式。您可以使用此功能進行一般監視,也可以測試新的 Web 要求處理規則。當您想要根據 Web 要求中的新屬性允許或封鎖要求時,您可以先設定AWS WAF來計算符合這些屬性的要求。這可讓您在實作新的允許或封鎖動作之前,先確認新的組態設定。

  • 執行CAPTCHA檢查符合條件的請求— 您可以實現CAPTCHA控制請求,以協助減少受保護資源的機器人流量。

使用 AWS WAF 有多種好處:

  • 使用您指定的準則抵禦 Web 攻擊的其他防護。您可以使用 Web 請求的特性來定義條件,如下所示:

    • 發出請求的 IP 地址。

    • 發出請求的國家/地區。

    • 請求標頭中的值。

    • 要求中出現的字串,可能是符合規則運算式 (regex) 模式的特定字串或字串。

    • 請求的長度。

    • SQL 程式碼的存在很可能為惡意 (稱為 SQL injection)。

    • 指令碼的存在很可能為惡意 (稱為跨網站指令碼)。

  • 規則會允許、封鎖或計數符合指定條件的 Web 請求。或者,規則可以封鎖或計算不僅符合指定條件,而且在任何 5 分鐘期間超過指定要求數目的 Web 要求。

  • 規則,您可以重複在多個 web 應用程式上使用。

  • 來自 AWS 和 AWS Marketplace 賣家的受管規則群組。

  • 即時指標和採樣的 Web 請求。

  • 使用 AWS WAF API 自動化管理。

AWS Shield

您可以使用AWS WAFWeb 存取控制清單 (Web ACL) 可協助將分散式拒絕服務 (DDoS) 攻擊的影響降到最低。為了防止 DDoS 攻擊的額外保護,AWS還提供AWS Shield Standard和AWS Shield Advanced。AWS Shield Standard自動包含在內,無需額外費用超出您已經支付的費用AWS WAF和你的另一個AWSService (服務)AWS Shield Advanced為您的 Amazon EC2 執行個體 (Elastic Load Balancing 負載平衡器) 提供擴充的 DDoS 攻擊防護, CloudFront 分佈、Route 53 託管區域和AWS Global Accelerator標準加速器。AWS Shield Advanced會產生額外費用。

如需 AWS Shield Standard 和 AWS Shield Advanced 的詳細資訊,請參閱「AWS Shield」。

AWS Firewall Manager

AWS Firewall Manager使用簡化您多個帳戶和資源的管理及維護工作,包括AWS WAF、AWS Shield Advanced、Amazon VPC 安全群組、AWS Network Firewall和 Amazon Route 53 Resolver DNS 防火墻 此服務自動在帳號和資源中套用防護,您只需設定一次防護,此服務自動在帳號和資源中套用防護,甚至在您新增帳號和資源時也可套用。

如需防火牆管理員的詳細資訊,請參閱AWS Firewall Manager