1. Что такое AWS WAF?
AWS WAF – это брандмауэр интернет-приложений, предназначенный для защиты интернет-приложений от атак с помощью настройки правил, которые пропускают или блокируют сетевые запросы на основании определенных условий, а также могут осуществлять мониторинг (подсчет) таковых. Эти условия включают в себя IP-адреса, заголовки и тела HTTP, строки URI, внедренный SQL-код и межсайтовый скриптинг.

2. Каким образом AWS WAF блокирует или пропускает трафик?
Когда базовый сервис получает запросы в адрес веб-сайтов, он направляет их в AWS WAF для проверки на соответствие установленным правилам. Если запрос отвечает условию, установленному правилами, AWS WAF дает базовому сервису инструкции заблокировать или пропустить этот запрос, в соответствии с назначенным в правилах действием.

3. Каким образом AWS WAF защищает веб-сайт или приложение?
AWS WAF тесно интегрирован с Amazon CloudFront и Application Load Balancer (ALB) – теми сервисами, которые клиенты AWS обычно используют для доставки контента для своих веб-сайтов и приложений. Когда вы используете AWS WAF на Amazon CloudFront, ваши правила работают во всех периферийных местоположениях AWS, расположенных по всему миру вблизи конечных пользователей. Это означает, что безопасность обеспечивается без ущерба производительности. Заблокированные запросы перехватываются до того, как достигают веб-серверов. При использовании AWS WAF на Application Load Balancer правила работают в одном регионе и могут обеспечивать защиту как внутренних балансировщиков нагрузки, так и балансировщиков нагрузки с выходом в Интернет.

4. Можно ли использовать AWS WAF для защиты веб-сайтов, размещенных не на хостингах AWS?
Да, AWS WAF интегрирован с Amazon CloudFront, который поддерживает пользовательские источники за пределами облака AWS.

5. Защиту от каких типов атак может обеспечить AWS WAF?
AWS WAF способен защищать веб-сайты от широко распространенных способов атаки типа внедрения SQL-кода и межсайтового скриптинга (XSS). Кроме того, можно создать правила, которые способны блокировать атаки от специфических пользовательских агентов, ненужных ботов или контент-скрейперов. Примеры см. в Руководстве разработчика по AWS WAF.

6. Можно ли получить историю всех вызовов API AWS WAF, сделанных из моего аккаунта, в целях аудита использования, безопасности или соответствия требованиям?
Да. Для сохранения истории всех вызовов API AWS WAF своего аккаунта включите сервис AWS CloudTrail в соответствующем разделе Консоли управления AWS. Для получения подробных сведений посетите главную страницу сервиса AWS CloudTrail или ознакомьтесь с Руководством разработчика по AWS WAF.

7.  Поддерживает ли AWS WAF IPv6?
Да, поддержка IPv6 позволяет AWS WAF обрабатывать запросы HTTP/S с адресов IPv6 и IPv4.

8.  Поддерживает ли условие совпадения IPSet для правила AWS WAF протокол IPv6?
Да, для новых и существующих сетевых ACL могут быть созданы новые условия совпадения с адресами IPv6 в соответствии с документацией.

9. Можно ли ожидать появления IPv6 в пробных запросах AWS WAF (если применимо)?
Да. В пробных запросах будут отображаться адреса IPv6 (если применимо).

10.  Можно ли использовать IPv6 со всеми функциями AWS WAF?
Да. Все существующие функции работы с трафиком поддерживают IPv6 и IPv4 без каких-либо различий в эффективности, масштабируемости и доступности сервисов.

11.Работу с какими сервисами поддерживает AWS WAF?
AWS WAF можно развернуть на Amazon CloudFront и Application Load Balancer (ALB). При использовании с Amazon CloudFront он может быть частью сети доставки контента (CDN), защищая ресурсы и контент в периферийных местоположениях, а при использовании с Application Load Balancer он может защитить веб-серверы источника, работающие за ALB.

12. В каких регионах доступен сервис AWS WAF для ALB?
Восток США (Сев. Вирджиния), Запад США (Сев. Калифорния), Запад США (Орегон), Азия и Тихий океан (Токио) и ЕС (Ирландия)

13. Соответствует ли AWS WAF требованиям HIPAA?

Да, AWS расширила свою программу соответствия требованиям HIPAA. Теперь сервис AWS WAF соответствует требованиям HIPAA. Если вы заключили с AWS договор делового партнерства (BAA), можно использовать AWS WAF для защиты интернет-приложений от распространенных сетевых эксплойтов. Подробнее см. на странице Соответствие требованиям HIPAA.

14. Каковы принципы оплаты использования AWS WAF? Требуются ли авансовые платежи?

Стоимость сервиса AWS WAF зависит от количества созданных списков управления доступом (ACL) для сети, количества правил, добавленных для этих списков ACL, и количества получаемых сетевых запросов. Сервис не требует авансовых обязательств. Платежи за использование сервиса AWS WAF начисляются в дополнение к стоимости Amazon CloudFront и (или) стоимости Application Load Balancer (ALB).

15. Что представляет собой правило AWS WAF, основанное на частоте запросов?

Правила, основанные на частоте запросов, – это новый тип правил, которые можно настроить в AWS WAF. Они дают возможность указать количество веб-запросов, разрешенных для IP-адреса клиента за непрерывный, постоянно обновляемый 5-минутный интервал времени. Если запросы IP-адреса превышают установленное предельное значение, новые запросы будут заблокированы до тех пор, пока частота запросов не окажется ниже установленного порогового значения.

16. Чем правило, основанное на частоте запросов, отличается от обычных правил AWS WAF?

Правила, основанные на частоте запросов, аналогичны обычным правилам, с одним добавлением: есть возможность настроить пороговое значение частоты запросов. Если, например, пороговое значение для правила, основанного на частоте запросов, равно 2000, то правило блокирует все IP-адреса, которые выполнили более 2000 запросов за последний 5-минутный интервал. Правило, основанное на частоте запросов, может также содержать любое другое условие AWS WAF, которое может использоваться в обычном правиле.

17. Сколько стоит правило, основанное на частоте запросов?

Правило, основанное на частоте запросов, стоит столько же, сколько и обычное правило AWS WAF, то есть 1 USD за каждое правило из каждого веб-списка ACL в месяц.

18. Каковы примеры использования правила, основанного на частоте запросов?

Вот некоторые распространенные примеры использования клиентами правил, основанных на частоте запросов.

  • Требуется заносить в черный список или вести подсчет IP-адресов, которые превышают установленную пороговую частоту запросов (количество веб-запросов в течение непрерывного 5-минутного периода).
  • Требуется знать, какие IP-адреса заносятся в черный список из-за превышения установленной пороговой частоты запросов.
  • Требуется, чтобы IP-адреса, которые были добавлены в черный список, автоматически удалялись из него, если они перестают превышать установленную пороговую частоту запросов.
  • Требуется, чтобы определенные диапазоны IP-адресов источника с интенсивным трафиком не заносились в черный список по правилам, основанным на частоте запросов.

19. Совместимы ли существующие условия соответствия с правилом, основанным на частоте запросов?

Да. Правила, основанные на частоте запросов, совместимы с существующими условиями соответствия. Это позволяет дополнительно уточнить критерии соответствия и применить основанные на частоте запросов ограничения только к конкретным URL-адресам веб-сайта клиента или к трафику, поступающему от конкретных источников ссылок (или пользовательских агентов), или добавить другие настраиваемые критерии соответствия.

20. Можно ли использовать правило, основанное на частоте запросов, для нейтрализации DDoS-атак на сетевом уровне?

Да. Этот новый тип правил был разработан для того, чтобы защитить клиентов от DDoS-атак на сетевом уровне, от попыток входа в систему методом перебора и от нежелательных ботов.

21. Какие возможности видимости поддерживают правила, основанные на частоте запросов?

Правила, основанные на частоте запросов, поддерживают все возможности видимости, доступные для обычных правил AWS WAF. Кроме того, они обеспечивают видимость IP-адресов, заблокированных в результате работы правила, основанного на частоте запросов.

22. Можно ли использовать правило, основанное на частоте запросов, для ограничения доступа к определенным частям моей веб-страницы?

Да. Вот пример. Предположим, требуется ограничить количество запросов к странице входа на сайт. Чтобы сделать это, можно добавить в правило, основанное на частоте запросов, следующее условие сравнения строк.

  • Строка запроса, по которой будет выполняться фильтрация – «URI».
  • Тип совпадения – «Starts with».
  • Значение, с которым выполняется сравнение – «/ login» (так должно быть независимо от того, что именно идентифицирует страницу входа в строке URI веб-запроса).

Кроме того, следует указать предельное значение частоты запросов, скажем, 15 000 запросов за 5 минут. Добавление этого правила, основанного на частоте запросов, в веб-список ACL ограничит количество запросов страницы входа, приходящихся на каждый IP-адрес, не затрагивая остальные страницы сайта.

23. Можно ли блокировать занесение в черный список определенных диапазонов IP-адресов источника трафика с помощью правил, основанных на частоте запросов?

Да. Это можно сделать, указав условие «белого списка» для диапазона IP-адресов в правиле, основанном на частоте запросов.

24. Насколько точна ваша база данных географического распределения IP-адресов?

Точность отнесения IP-адреса к какой-либо стране зависит от региона. По последним данным, общая точность соответствия IP-адресов странам составляет 99,8 %.

1. Что такое управляемые правила AWS WAF?

Управляемые правила AWS WAF – удобный способ развертывания предварительно настроенных правил для защиты приложений от распространенных угроз, таких как уязвимости в приложениях (по данным проекта OWASP), боты или угрозы из общего перечня уязвимостей и рисков (CVE). Все управляемые правила автоматически обновляются продавцами средств безопасности AWS Marketplace.

2. Как подписаться на управляемые правила?

На управляемые правила, предоставляемые продавцами средств безопасности Marketplace, можно подписаться из консоли AWS WAF или из AWS Marketplace. Все управляемые правила, на которые оформлена подписка, можно добавить в веб-список контроля доступа AWS WAF.

3. Можно ли управляемые правила использовать наряду с существующими правилами AWS WAF?

Да, управляемые правила можно использовать наряду с существующими пользовательскими правилами AWS WAF. Вы можете добавить управляемые правила в свой веб-список контроля доступа AWS WAF, куда уже добавлены другие ваши правила.

4. Управляемое правило содержит несколько правил AWS WAF?

Да, каждое управляемое правило может содержать несколько правил AWS WAF. Количество правил зависит от продавца средств безопасности и его продукта в Marketplace.

5. Будут ли управляемые правила добавлены к существующему лимиту AWS WAF на количество правил?

Количество правил внутри управляемого правила не влияет на лимиты AWS WAF. Но каждое управляемое правило, добавленное к веб-списку контроля доступа, будет считаться одним отдельным правилом.

6. Как отключить управляемое правило?

Вы можете добавить управляемое правило в веб-список контроля доступа или удалить его оттуда в любой момент. Управляемые правила будут отключены после того, как вы устраните любые связи управляемого правила с веб-списками контроля доступа.

7. Как проверить управляемое правило?

AWS WAF позволяет указать действие подсчета для управляемых правил, в результате которого будет подсчитано количество сетевых запросов, отвечающих условиям правил внутри управляемого правила. Таким образом, можно посмотреть на количество сетевых запросов и оценить, сколько запросов будет заблокировано в случае активации управляемого правила.

Начните работать с AWS бесплатно

Создать бесплатный аккаунт

Получите доступ к бесплатному пакету уровень бесплатного пользования AWS в течение двенадцати месяцев и используйте возможности базовой поддержки AWS Basic Support, в том числе круглосуточный доступ к сервису поддержки клиентов, форумы поддержки и многое другое.


1. Можно ли настроить собственные страницы ошибок?
Да, можно настроить CloudFront для выдачи пользовательских страниц ошибок при блокировке запроса. Подробнее см. в Руководстве разработчика по CloudFront.

2. Сколько времени занимает у AWS WAF применение пользовательских правил?
После первоначальной настройки, добавление или изменение правил обычно требует около минуты для применения по всему миру.

3. Как можно убедиться, что правила работают?
В AWS WAF предусмотрено два разных способа контролировать защиту веб-сайта: поминутные метрики доступны в CloudWatch, а образцы сетевых запросов доступны в API AWS WAF или через консоль управления. Это позволяет увидеть, какие запросы были заблокированы, пропущены или подсчитаны, и какое правило сработало на конкретный запрос (например, что данный запрос был заблокирован по IP-адресу и т. п.). Подробные сведения см. в Руководстве разработчика по AWS WAF.

4. Как можно протестировать свои правила?
AWS WAF позволяет указать действие подсчета для правил, в результате которого будет подсчитано количество сетевых запросов, которые отвечают условиям правил. Таким образом, можно предварительно посмотреть на количество сетевых запросов и оценить, сколько запросов будет заблокировано или пропущено в случае активации конкретного правила.

5. Как долго хранятся метрики реального времени и образцы сетевых запросов?
Метрики реального времени хранятся в Amazon CloudWatch. Сервис Amazon CloudWatch позволяет настроить период времени, в течение будут сохраняться записи о событиях. Образцы сетевых запросов сохраняются до 2 часов.

6. Может ли AWS WAF контролировать трафик HTTPS?
Да. AWS WAF способен защищать приложения и может контролировать сетевые запросы по протоколам HTTP или HTTPS.