什麼AWS WAF、AWSShield 和AWS Firewall Manager? - AWS WAF、AWS Firewall Manager 與 AWS Shield Advanced

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

什麼AWS WAF、AWSShield 和AWS Firewall Manager?

AWS WAF是一種 Web 應用程式防火牆,可讓您監控轉發到 Amazon CloudFront 分佈、Amazon API Gateway REST API、Application Load Balancer 或AWS AppSyncGraphQL API。AWS WAF也可讓您控制對內容的存取。根據您指定的條件,例如請求源自於此的 IP 地址或查詢字串的值、Amazon CloudFront、Amazon API Gateway、Application Load Balancer 或AWS AppSync使用請求的內容或 HTTP 403 狀態碼 (禁止) 回應請求。當封鎖請求時,您也可以設定 CloudFront 傳回自訂錯誤頁面。

在最簡單的層級,AWS WAF 可讓您選擇以下其中一個行為:

  • 允許您指定的要求以外的所有要求— 當您想要 Amazon CloudFront、亞馬 Amazon API Gateway、Application Load Balancer 或AWS AppSync,為公有網站提供內容,但您也想封鎖攻擊者的請求。

  • 封鎖您指定的要求以外的所有要求— 當您想為受限制的網站提供內容,該網站的使用者可透過 web 請求識別,如用於瀏覽網站 IP 地址。

  • 計算符合您指定內容的要求— 當您想讓根據 web 請求的新屬性允許或封鎖請求,您可以先設定AWS WAF來計算符合這些屬性的要求,而不允許或封鎖這些要求。這可讓您確定您未意外設定 AWS WAF 封鎖所有到您的網站的流量。當您對所指定屬性的正確性有信心時,您可以變更行為,以允許或封鎖請求。

使用 AWS WAF 有多種好處:

  • 使用您指定的條件擁有額外保護不受 web 攻擊。使用 web 請求的特性,可讓您定義條件,如下:

    • 發出請求的 IP 地址。

    • 發出請求的國家/地區。

    • 請求標頭中的值。

    • 字串,會出現在請求,特定字串或符合一般運算式 (regex) 模式的字串。

    • 請求的長度。

    • SQL 程式碼的存在很可能為惡意 (稱為 SQL injection)。

    • 指令碼的存在很可能為惡意 (稱為跨網站指令碼)。

  • 規則,可以允許、封鎖或計數符合指定條件的 web 請求。或者,規則可以封鎖或計數不僅只符合指定條件的 web 請求,還有在任五分鐘內超過指定數量的請求。

  • 規則,您可以重複在多個 web 應用程式上使用。

  • 來自 AWS 和 AWS Marketplace 賣家的受管規則群組。

  • 即時指標和採樣的 Web 請求。

  • 使用 AWS WAF API 自動化管理。

AWS Shield

您可以使用 AWS WAF web 存取控制清單 (Web ACL),協助將分散式拒絕服務 (DDoS) 攻擊的影響降至最小。對於針對 DDoS 攻擊的額外保護,AWS還提供AWS Shield Standard和AWS Shield Advanced。AWS Shield Standard已自動包含在內,對於您已支付的費用,此無需額外費用AWS WAF和您的其他AWS服務。AWS Shield Advanced提供擴展對 DDoS 攻擊的保護,保護 Amazon EC2 執行個體、Elastic Load Balancing 器、CloudFront 分佈、Route 53 託管區域和AWS Global Accelerator加速器。AWS Shield Advanced會產生額外費用。

如需 AWS Shield Standard 和 AWS Shield Advanced 的詳細資訊,請參閱「AWS Shield」。

AWS Firewall Manager

AWS Firewall Manager簡化您多個帳號和資源的 AWS WAF 管理及維護,AWS WAF規則,AWS Shield Advanced保護和 Amazon VPC 安全群組。Firewall Manager 服務會自動在帳戶和資源中套用規則和其他安全保護,甚至在您新增帳戶和資源時也可套用。

如需防火牆管理員的詳細資訊,請參閱AWS Firewall Manager