1.什么是 AWS WAF?
AWS WAF 这款 Web 应用程序防火墙允许您配置规则,根据您定义的条件允许、阻止或监视(计数) Web 请求,从而帮助保护 Web 应用程序免受攻击。这些条件包括 IP 地址、HTTP 标头、HTTP 正文、URI 字符串、SQL 注入和跨站脚本。
2.AWS WAF 如何阻止或允许流量?
当底层服务收到针对您网站的请求时,会将这些请求转发至 AWS WAF,依据您的规则进行检查。一旦有请求符合您在规则中定义的条件,AWS WAF 便根据您定义的操作,要求底层服务阻止或允许相应的请求。
3.AWS WAF 如何保护我的网站或应用程序?
AWS WAF 与 Amazon CloudFront 和 Application Load Balancer (ALB) 紧密集成,AWS 客户通常使用这些服务为其网站和应用程序交付内容。当您在 Amazon CloudFront 上使用 AWS WAF 时,您的规则会在世界各地靠近最终用户的所有 AWS 边缘站点中运行。这意味着安全保护无需以牺牲性能为代价。被阻止的请求会在其到达您 Web 服务器之前被阻断。当您在 Application Load Balancer 上使用 AWS WAF 时,您的规则将在区域中运行,并且可用于保护面向 Internet 的和内部的负载均衡器。
4.我能用 AWS WAF 来保护未托管于 AWS 的网站吗?
可以,AWS WAF 与 Amazon CloudFront 集成,而后者支持 AWS 之外的自定义来源。
5.AWS WAF 能帮助阻止哪些类型的攻击?
AWS WAF 能保护您的网站,免受 SQL 注入和跨站脚本 (XSS) 这类常见攻击技巧的侵袭。此外,您还能自定义规则,阻止来自特定用户代理、恶意机器人或内容抓取程序的攻击。要了解更多示例,请参阅 AWS WAF 开发人员指南。
6.我能否获得我账户发起的所有 AWS WAF API 调用的历史记录,用于安全性、操作性或合规性审核?
可以。要获得由您的账户发起的所有 AWS WAF API 调用的历史记录,只需在 CloudTrail 的 AWS 管理控制台中打开 AWS CloudTrail 即可。有关更多信息,请访问 AWS CloudTrail 主页或参阅 AWS WAF 开发人员指南。
7.AWS WAF 是否支持 IPv6?
支持,AWS WAF 对 IPv6 的支持使其可检查来自 IPv6 和 IPv4 地址的 HTTP/S 请求。
8.IPSet 是否符合支持 IPv6 的 AWS WAF Rule 条件?
符合,您可为新型及现有 WebACL 设置新的 IPv6 匹配条件,具体请参阅文档。
9. 如果适用,我是否可以在 AWS WAF 采样请求中看到 IPv6 地址出现?
可以。如果适用,采样请求将显示 IPv6 地址。
10.可以将 IPv6 与所有的 AWS WAF 功能搭配使用吗?
可以。您可以使用适用于 IPv6 和 IPv4 流量的所有现有功能,且不会对服务的性能、可扩展性或可用性造成显著影响。
11. AWS WAF 支持哪些服务?
AWS WAF 可以部署在 Amazon CloudFront、Application Load Balancer (ALB) 和 Amazon API Gateway 上。部署在 Amazon CloudFront 上时,它可以成为您的内容分发网络 (CDN) 的一部分,保护您在边缘站点的资源和内容。部署在 Application Load Balancer 时,它可以保护您在 ALB 后方运行的原始 Web 服务器。部署在 Amazon API Gateway 上时,它可以保护您的 REST API。
12. 哪些区域可以在 ALB 上使用 AWS WAF?
以下 AWS 区域支持在 ALB 上使用 AWS WAF。
13.AWS WAF 是否符合 HIPAA 要求?
符合,AWS 已对其 HIPAA 合规性计划进行扩展,其中已将 AWS WAF 作为一项符合 HIPAA 要求的服务包括进来。如果您已与 AWS 签订商业合伙协议 (BAA),则可以使用 AWS WAF 来保护您的 Web 应用程序免受常见的网络攻击。有关更多信息,请参阅 HIPAA 合规性。
14.AWS WAF 如何定价? 是否有任何预付费用?
AWS WAF 根据您创建的 Web 访问控制列表 (Web ACL) 数量、您为每个 Web ACL 添加的规则数量以及您收到的 Web 请求数量收费。无需预先承诺。AWS WAF 费用是 Amazon CloudFront 定价、Application Load Balancer (ALB) 定价和/或 Amazon API Gateway 定价之外的额外费用。
15.AWS WAF 中基于速率的规则是什么?
基于速率的规则是可在 AWS WAF 中配置的一类新规则。借助此功能,您可以指定客户端 IP 在持续更新的连续 5 分钟周期内允许的 Web 请求数量。如果一个 IP 地址违反配置的限制,系统将阻止新请求,直到请求速率降至配置的阈值以下。
16.基于速率的规则与常规 AWS WAF 规则有何区别?
基于速率的规则与常规规则类似,只多了一项功能:配置基于速率的阈值。例如,如果基于速率的规则的阈值设置为 2000,该规则将阻止在过去 5 分钟的间隔内请求数量多于 2000 的所有 IP。基于速率的规则也可以包含适用于常规规则的任何其他 AWS WAF 条件。
17.基于速率的规则如何收费?
基于速率的规则与常规 AWS WAF 规则的收费方式相同,每月每 WebACL 每条规则 1 USD
18.基于速率的规则的使用案例有哪些?
以下是客户使用基于速率的规则可以处理的一些热门使用案例:
- 我想将超出配置的阈值速率(在每个连续 5 分钟的周期内可在 Web 请求中配置)的 IP 地址列入黑名单或对其进行计数
- 我想知道哪些 IP 地址因超出配置的阈值速率而被列入黑名单
- 我希望已添加到黑名单的 IP 地址在不再违反配置的阈值速率时自动从黑名单中删除
- 我不希望基于速率的规则将某些高流量源 IP 范围列入黑名单
19.是否有现有的匹配条件能与基于速率的规则兼容?
可以。基于速率的规则与现有的 AWS WAF 匹配条件兼容。这样,您可以进一步细化匹配条件,将基于速率的缓解限制为网站的特定 URL 或来自特定引用站点(或用户代理)的流量,或者添加其他自定义匹配条件。
20.我能否使用基于速率的规则缓解 Web 层 DDoS 攻击?
可以。这种全新的规则类型旨在抵御 Web 层 DDoS 攻击、暴力登录尝试和不良机器人等使用案例。
21.基于速率的规则提供哪些可见性功能?
基于速率的规则支持常规 AWS WAF 规则目前提供的所有可见性功能。此外,它们还将呈现由基于速率的规则阻止的 IP 地址。
22.我能否使用基于速率的规则限制对我的某部分网页的访问权限?
可以。示例如下:假设您要限制对网站登录页面的请求。为此,您可以将以下字符串匹配条件添加到基于速率的规则:
- 要筛选的请求段是“URI”.
- 匹配类型是“开头为”。
- 一个匹配值为“/login”(需要是可以在 Web 请求的 URI 部分识别登录页面的任意值)
此外,您要指定一个速率限制,如每 5 分钟 15000 个请求。将这条基于速率的规则添加到 Web ACL,即可按 IP 地址限制对您的登录页面的请求,并且不会影响站点的其余部分。
23.能否不让基于速率的规则将某些高流量源 IP 范围列入黑名单?
可以。为此,您可以在基于速率的规则内设置 IP 白名单条件。
24.IP 地理位置数据库的准确程度如何?
国家/地区查找数据库的 IP 地址准确性因地区而异。根据最近的测试,我们所提供的 IP 地址与国家/地区映射的总体准确性为 99.8%。
1.什么是 AWS WAF 托管规则?
AWS WAF 托管规则是一种轻松部署预配置规则的方法,可以保护您的应用程序免受常见应用程序漏洞的威胁,如 OWASP、机器人或常见漏洞和披露 (CVE) 等。所有托管规则都由 AWS Marketplace 安全卖家自动更新。
2.如何订购托管规则?
您可以从 AWS WAF 控制台或 AWS Marketplace 订购由 Marketplace 安全卖家提供的托管规则。所有订购的托管规则都可供您添加到 AWS WAF Web ACL。
3.可以将托管规则和现有的 AWS WAF 规则一起使用吗?
可以,您可以将托管规则和自定义 AWS WAF 规则一起使用。您可以将托管规则添加到现有的 AWS WAF Web ACL,而您可能已在其中添加了自己的规则。
4.一个托管规则是否有多个 AWS WAF 规则?
是的,每个托管规则都有多个 AWS WAF 规则。规则的数量取决于每个安全卖家和他们的 Marketplace 产品。
5.添加到现有 AWS WAF 的托管规则是否有数量限制?
托管规则中的规则数量不会影响您的 AWS WAF 限制。但是,添加到 Web ACL 的每个托管规则都将视为一个规则。
6.如何禁用托管规则?
您可以随时将托管规则添加到 Web ACL,或者将其从 Web ACL 中删除。您从任何 Web ACL 解除托管规则的关联后,托管规则将被禁用。
7. 如何测试托管规则?
AWS WAF 允许您为托管规则配置“计数”操作,该操作可以统计与托管规则中的规则匹配的 Web 请求的数量。您可以查看经计数的 Web 请求数量,预估您启用托管规则后,被阻止的 Web 请求数量。
1.我能配置自定义错误页面吗?
可以,您能配置 CloudFront,在请求受阻止时显示自定义的错误页面。要了解更多信息,请参阅 CloudFront 开发人员指南
2.AWS WAF 要用多久才能让我的规则全面生效?
经过初始设置后,添加或更改规则通常需要一分钟左右的时间即可在世界各地全面生效。
3.我能如何验证我的规则是否有效?
AWS WAF 提供两种不同的方式,帮助您确认您的网站受保护情况:您可以在 CloudWatch 获取每分钟的指标,同时您也可以从 AWS WAF API 或管理控制台中获取 Web 请求采样。您可以通过查阅这些信息,查阅到所有被阻止、获允许或经计数的请求,同时能看到每个请求是符合哪条规则(例如,此 Web 请求因符合 IP 地址条件而受阻止,等等)。有关更多信息,请参阅 AWS WAF 开发人员指南。
4.怎样测试我的规则?
AWS WAF 允许您为规则配置“计数”操作,统计符合您规则条件的 Web 请求数量。您可以查看经计数的 Web 请求数量,来预估您启用规则后,实际会被阻止或获允许的 Web 请求数量。
5.实时指标和 Web 请求采样会储存多长时间?
实时指标储存在 Amazon CloudWatch 中。借助 Amazon CloudWatch,您可以根据需要配置事件过期的时间。Web 请求采样最多会储存三个小时。
6.AWS WAF 能检查 HTTPS 流量吗?
可以。AWS WAF 能帮助保护应用程序,且能够检查通过 HTTP 或 HTTPS 传输的 Web 请求。