AWS 边缘服务入门

AWS WAF 是一种 Web 应用程序防火墙，可用于保护 Web 应用程序免受应用程序级威胁。应用程序级威胁包括：

• DDoS 攻击（例如，HTTP Floods），它旨在消耗您的应用程序资源，使其无法供合法用户使用。 
• 试图利用应用程序级漏洞然后进行恶意活动的攻击，例如窃取数据或以未经授权的方式使用您的资源，例如比特币挖矿。 
• 自动机器人发起的攻击，可能以不同的方式损害您的业务，例如帐户接管和内容抓取。 

要使用 AWS WAF，请在 WebACL 中创建规则，然后将其附加到需要保护的资源。全球 WebACL 可以附加到 CloudFront 发行版，区域性 WebACL 可以附加到同一区域内的资源，例如 ALB 和 API 网关。当 WAF WebACL 附加到资源时，该资源的底层服务（例如，CloudFront 或 ALB）会将 HTTP 请求的副本交给 AWS WAF 服务，以在几毫秒内评估配置的规则。根据规则评估，AWS WAF 服务指示底层服务如何处理请求（例如，阻止、转发、质询等）。请注意，AWS WAF 逻辑仅基于 HTTP 请求属性（与响应属性相对）。

新创建的 WAF WebACL 仅包含允许所有请求的默认规则，您可以向其中添加多个不同类型的规则。首先，您可以根据检查的 HTTP 请求的属性（例如，IP、标头、cookie、URL 等）创建自定义规则。也可以将规则分成规则组，以便于管理。其次，您可以添加来自 AWS 或 AWS Marketplace 供应商的托管规则，这些规则将作为可配置规则组添加到您的 WebACL 中。例如，您可以添加 AWS 托管组，例如核心规则集和匿名 IP 列表。更高级的托管规则，例如机器人控制功能和账户盗用防护，需要集成客户端 SDK。匹配时可以使用以下操作来配置规则：允许和计数（可以向上游发送标头）、屏蔽（可以使用自定义响应进行响应）、速率限制，最后使用验证码或静默质询进行质询。如果 WAF 评估已达到，则 AWS 管理规则之类的规则会发出标签，这些标签可用于后续规则的逻辑。您可以配置自己的规则来发出标签，这些标签将在 WAF 日志记录中可用。

AWS Global Accelerator 是一项联网服务，可使用 AWS 全球基础设施提高在线应用程序的性能、可靠性和安全性。由于 AWS Global Accelerator 在 OSI 模型的第 4 层运行，因此可与任何 TCP/UDP 应用程序一起使用。 示例使用案例包括：基于 UDP/TCP 的多人游戏、IP 语音和视频、物联网、视频采集和 FTP 上传，以及其他使用案例，例如 VPN、Git 和 AdTech 竞价。 

AWS Global Accelerator 可以部署在您的网络负载均衡器、应用程序负载均衡器、AWS EC2 实例和弹性 IP 之前，任何一个都可以作为应用程序的区域端点。要使用此服务，请创建一个加速器，该加速器提供两个全局静态任播 IPv4 地址，充当应用程序的固定入口点。使用 Global Accelerator，您可以在单个或多个 AWS 区域中存在多个应用程序端点，但它们都可以通过相同的任播 IP 地址访问。然后，您可以配置您的授权性 DNS 服务器，将 Web 应用程序的域名指向加速器的专用静态 IP。这些任播 IP 在所有 Global Accelerator PoP 上发布，用于将用户流量路由到最近的 PoP，然后通过 AWS 全球网络将其转发到区域端点。