AWS WAF 指南（十一）：全新WAF控制台及WAF与CloudFront联动体验

保护面向公众的 Web 应用存在诸多挑战，随着威胁格局不断演变，要求企业必须能够应对复杂威胁，包括但不限于零日（Zero-day）漏洞、自动化事件以及不断变化的合规要求。在控制台中浏览并为使用场景选择最合适的防护措施要求具备安全专业知识，还需要深入理解想保护的应用程序，这往往会很复杂。好消息是AWS WAF 推出了全新的控制台体验，旨在简化安全配置。此增强界面提供一体化安全解决方案，能在您的应用环境中实现全面防护，采用简化的一页式工作流程，可将部署时间从数小时缩短至几分钟！AWS WAF 现在提供针对特定工作负载的预配置规则包、自动安全建议，以及统一仪表板以清晰查看安全状态。新控制台还提供灵活的保护级别和集成合作伙伴解决方案，不仅仅是所短部署时间， 还可以助力企业高效扩展的安全运维及可视化。

在本文中，将介绍 AWS WAF 增强控制台体验的功能，可以选择工作负载类型，自动应用专家级推荐规则组合，从而为工作负载之间提供全面防护。对于利用WAF保护CloudFront的使用场景，介绍WAF与CloudFront 联动的全新体验。

新控制台切换方法

用户进入WAF配置页面后，可以随时点击左侧菜单栏最下方的“切换WAF新控制台”（Switch to the new WAF console）切换到新控制台界面，新控制台也可随时切换回旧版控制台。新控制台与旧版控制台在功能上具有一致性，即所有 AWS WAF 功能仍然可用，只是界面不同。用户可安心迁移使用。

将 Web 应用安全部署实施步骤减少 80%

新控制台在创建保护包（WebACL）的配置步骤集中在一页上，打造了直观的工作流程，减少多页面切换的需要，降低设置复杂性。这种方法将以往复杂耗时的流程跳转为直观高效的工作流程，同时保持强大安全标准，大幅减少实施时间和潜在配置错误。用户可以在几分钟内完成原本需数小时才能完成的配置，实施时间减少了约 80%。

新控制台提供预配置的安全默认设置和文档，帮助不同技术水平的用户有效保障应用安全。启动设置过程时，您选择应用类别和关注功能（例如保护 API 或 Web 应用），AWS WAF 会自动相应定制保护参数。

通过保护包选项简化 AWS WAF 规则部署

AWS WAF 通过三种配置选项简化安全部署，均基于 AWS 安全专业知识并可立即实施。保护包提供针对不同应用类型优化的全面配置：

• 推荐（Recommended）：为所选应用类别和流量来源启用推荐防护
• 精华（Essentials）：为所选应用类别和流量来源启用必要防护
• 自选（You build it）：从可用选项中选择并自定义防护

实现仅需一步：根据安全需求选择合适的保护包。这种方式在降低配置复杂度的同时，保证了安全标准。如果用户不知道如何选择，建议选择Essentials，包含了必要的防护规则，并且成本也相对较低。用户可以根据需要对规则的ACTION进行后续调整。

用户有更细致的配置需求，可以打开定制保护包（可选）Customize protection pack (web ACL) – optional，选项，进行配置。或者使用默认选项。 这既能满足需要简化管理的用户，也能满足需要细化配置的用户。

实时监控、自动建议与防护活动可视化

新控制台配备对于流量情况更加直观的仪表板，在一个页面列出所有的保护包，让用户对所有保护包的情况一览无余。

通过将威胁检测指标、规则性能分析和可操作洞察合并到单一视图中，简化安全监控。安全团队可更快速响应威胁，无需在多个屏幕间切换。

AWS 威胁情报通过分析流量模式来增强监控能力，主动识别潜在漏洞。该服务分析包括 IP 信誉（IP reputation）、DDoS 攻击、机器人活动、匿名 IP（Anonymous IP） 来源和易受攻击的应用流量等关键流量维度。当 AWS WAF 检测到漏洞时，会推荐特定的 AWS 托管规则来增强用户的安全防护能力。

新的序列规则视图仪表板提供一览式安全洞察。它显示所选时间范围内的请求数，并汇总各防护规则及其对应的终止动作。一个突出功能是桑基图（Sankey Diagram）可视化，映射防护活动到 AWS WAF 操作（ACTION），帮助安全团队跟踪流量路径、识别规则交互模式并优化配置。

点选具体的操作（ACTION），可以选择过滤到这条规则组（Filter to this rule），查看针对该规则组的视图，显示具体规则的视图。

面向结果的仪表板，提供可操作洞察

新仪表板基于各类业务影响角度显示安全指标。左侧面板包含四大类别：流量、规则、机器人和 DDoS防护特性。右侧面板显示每个类别下的指标。在流量特性（Traffic characteristics）中，您可按国家、攻击类型和设备类型查看指标。规则特性（Rule characteristics）突出前十的托管规则标签，和被托管规则组终结的请求数量。“机器人特性”包括检测比例、机器人类别、令牌信息、协同行为信号及会话令牌等仪表板。DDoS防护（Anti-DDoS）包括DDoS的规则标签以及Challenge触发情况。 新控制台体验使您能够快速识别威胁、优化 WAF 规则，并根据具体需求保持高效安全控制。

控制台中的查询日志

新的 AWS WAF 控制台内置日志浏览器，点击右下角的尖角图表，即可打开折叠的日志浏览器。您可在控制台底部访问两种分析选项：用于详细分析的日志浏览器（Log explorer）或用于即时查看的请求抽样（Sampled requests）。日志浏览器依赖 Amazon CloudWatch 日志，提供基于规则操作和时间范围的预配置筛选器，便于快速识别模式和趋势。如未启用 CloudWatch 日志，也可通过请求抽样分析安全事件。

可用性与定价

从今天起，这些仪表板默认在 AWS WAF 控制台中可用，无需额外WAF费用，无需额外设置即可使用。如果采用 Amazon CloudWatch 日志，获得日志浏览器（Log explorer）和排名洞察（Top Insight）图表，产生的费用由CloudWatch服务收取。

与CloudFront 联动新体验

如果用户同时使用 CloudFront服务，利用AWS WAF挂载在CloudFront服务上提供保护，WAF与CloudFront联动新体验提高整体部署效率与运维效率。 在创建新的 CloudFront 分配（Distribution）时，用户可以在“Web Application Firewall（WAF）”部分点击 “启用安全保护”（Enable security protections），CloudFront 将自动为您创建一个保护包（Web ACL），并附加到此分配上，简化了操作流程。如果用户已经在 AWS WAF 中创建了保护包，也可以在 CloudFront 控制台的 Security 选项卡中，选择 “使用现有 WAF 配置”（Use existing WAF configuration），将现有规则关联到目标分配上。

启用 WAF 后，CloudFront 控制台的 安全仪表盘（Security dashboard ）将呈现实时安全指标，包括允许与拦截请求数，还有 Bot 控制功能等。无需跳转到其他控制台，即可查看整体安全状况，并对可疑流量进行快速响应。

点击管理保护（Manage protections）下的管理规则（Manage Rules），即可在无需跳转WAF控制台的情况下，直接在CloudFront面板上对WAF规则进行添加或者修改。

结论

通过融合智能监控、引导配置和轻松访问专业化解决方案，全新的WAF增强控制台帮助组织在无需经历以往高级安全管理复杂性的情况下，保持强大安全标准。在部署和运维管理阶段极大的提升了用户的使用效率和便捷性，提升了可视化运维的能力。

*前述特定亚马逊云科技生成式人工智能相关的服务目前在亚马逊云科技海外区域可用。亚马逊云科技中国区域相关云服务由西云数据和光环新网运营，具体信息以中国区域官网为准。

本篇作者