1.什麼是 AWS WAF?
AWS WAF 是一種 Web 應用程式防火牆,可讓您設定規則以根據定義的條件允許、封鎖或監控 (計數) Web 請求,協助保護 Web 應用程式不受攻擊。這些條件包括 IP 地址、HTTP 標頭、HTTP 內文、URI 字串、SQL injection 和跨網站指令碼。
2.AWS WAF 如何封鎖或允許流量?
當基礎服務收到網站的請求後,會將這些請求轉送到 AWS WAF 以針對您的規則進行檢查。如果請求符合規則所定義的條件,AWS WAF 會指示基礎服務根據您定義的動作封鎖或允許請求。
3.AWS WAF 如何保護我的網站或應用程式?
AWS WAF 與 Amazon CloudFront 和 Application Load Balancer (ALB) 緊密整合,這兩者是 AWS 客戶常用來交付其網站和應用程式內容的服務。當您在 Amazon CloudFront 上使用 AWS WAF 時,您的規則會在靠近最終使用者的全球所有 AWS 節點中執行。這表示不需要犧牲效能來提升安全性。封鎖的請求會在抵達您的 Web 伺服器前就被阻擋。當您在 Application Load Balancer 上使用 AWS WAF 時,您的規則會在區域中執行,並可用來保護與網際網路連接與內部的負載平衡器。
4.是否可以使用 AWS WAF 保護不在 AWS 託管的網站?
是,AWS WAF 與 Amazon CloudFront 整合,可支援 AWS 外的自訂來源。
5.AWS WAF 可協助我阻擋哪些類型的攻擊?
AWS WAF 有助於保護您的網站不受 SQL injection 和跨網站指令碼 (XSS) 等常見攻擊技術的攻擊。此外,您可以建立規則,封鎖來自特定使用者代理程式、不良 Bot 或內容清除程式的攻擊。若要查看範例,請參閱 AWS WAF Developer Guide。
6.是否能取得我的帳戶上所有 AWS WAF API 呼叫的歷史記錄,以用於安全、操作或合規稽核?
是。要取得針對您帳戶發出的所有 AWS WAF API 呼叫歷史記錄,您只需在 CloudTrail AWS 管理主控台中開啟 AWS CloudTrail。如需詳細資訊,請瀏覽 AWS CloudTrail 首頁或參閱 AWS WAF Developer Guide。
7.AWS WAF 是否支援 IPv6?
是,支援 IPv6 讓 AWS WAF 能夠檢查來自 IPv6 和 IPv4 地址的 HTTP/S 請求。
8.AWS WAF 規則的 IPSet 相符條件是否支援 IPv6?
是,根據此文件,您可以為新的和現有的 WebACL 設定新 IPv6 相符條件。
9. 如果適用,AWS WAF 範例請求中是否會顯示 IPv6 地址?
是。適合時,範例請求會顯示 IPv6 地址。
10.IPv6 是否可以搭配所有 AWS WAF 功能使用?
是。您可以在 IPv6 和 IPv4 流量使用所有現有功能,對服務的效能、可擴展性或可用性不會有任何明顯的變更。
11. AWS WAF 支援哪些服務?
AWS WAF 可以部署在 Amazon CloudFront、Application Load Balancer (ALB) 和 Amazon API Gateway。做為 Amazon CloudFront 的一部分,它可以是在節點保護資源和內容的內容分發網路 (CDN) 的一部分。做為 Application Load Balancer 的一部分,它可以保護在 ALB 後執行的原始 Web 伺服器。做為 Amazon API Gateway 的一部分,它可以協助保護 REST API 的安全。
12. 哪些區域在 ALB 上提供 AWS WAF?
ALB 上的 AWS WAF 在以下 AWS 區域提供。
13.AWS WAF 是否符合 HIPAA 資格?
是,AWS 已經擴展其 HIPAA 合規計劃,將 AWS WAF 納入 HIPAA 合格服務。如果您擁有與 AWS 共同履行的商業夥伴協議 (BAA),可以使用 AWS WAF 保護 Web 應用程式不受常見 Web 入侵程式的侵擾。如需詳細資訊,請參閱 HIPAA 合規。
14.AWS WAF 定價如何計算? 是否有預付費用?
AWS WAF 的費用是根據建立的 Web 存取控制清單 (Web ACL) 數、為每個 Web ACL 所新增的規則數,以及收到的 Web 請求數來收費。沒有預付款項。AWS WAF 費用是在 Amazon CloudFront 定價、Application Load Balancer (ALB) 定價和/或 Amazon API Gateway 定價費用之外另外收取。
15.什麼是 AWS WAF 中以速率為基礎的規則?
以速率為基礎的規則是可在 AWS WAF 中設定的新規則類型。這個功能可讓您指定用戶端 IP 在隨後持續更新的 5 分鐘期間內允許的 Web 請求數。如果 IP 地址違反設定的限制,在請求率降至低於設定的閾值之前,會封鎖新的請求。
16.以速率為基礎的規則相較於一般 AWS WAF 規則有何不同?
以速率為基礎的規則和一般規則類似,但多了一項功能:能夠設定以速率為基礎的閾值。例如,如果以速率為基礎的規則閾值設為 (假設) 2,000,該規則會封鎖在過去 5 分鐘間隔內有超過 2,000 個請求的所有 IP。以速率為基礎的規則也可包含一般規則可用的任何其他 AWS WAF 條件。
17.以速率為基礎的規則費用為何?
以速率為基礎的規則和一般 AWS WAF 規則的費用相同,也就是每月每 WebACL 每個規則 1 USD
18.以速率為基礎的規則有哪些使用案例?
以下是客戶可使用以速率為基礎的規則解決的一些常見使用案例:
- 我想在 IP 地址超過設定的閾值率時計算或將該 IP 地址列入拒絕名單 (可在每個後續 5 分鐘期間內的 Web 請求設定)
- 我想知道目前有哪些 IP 地址因為超過設定的閾值率而被列入拒絕名單
- 我希望已新增到拒絕名單的 IP 地址當不再違反設定的閾值率時自動移除
- 我希望以速率為基礎的規則能豁免特定高流量來源 IP 範圍,不要將其加入拒絕名單
19.現有的比對條件是否與以速率為基礎的規則相容?
是。以速率為基礎的規則與現有的 AWS WAF 比對條件相容。這可讓您進一步精簡比對條件,並將以速率為基礎的降低限制在您網站的特定 URL 或來自特定推薦網站 (或使用者代理器) 的流量,或新增其他自訂比對條件。
20.是否可以使用以速率為基礎的規則降低 Web 層 DDoS 攻擊?
是。這個新規則類型的設計就是要保護您不受 Web 層 DDoS 攻擊、暴力登入嘗試和不良 Bot 等使用案例的威脅。
21.以速率為基礎的規則提供哪些可見性功能?
以速率為基礎的規則支援一般 AWS WAF 規則目前可使用的所有可見性功能。此外,可以看到以速率為基礎的規則封鎖的 IP 地址。
22.是否可使用以速率為基礎的規則限制對網頁特定部分的存取?
是。請參考以下範例。假設您希望限制對您網站的登入頁面發出的請求數。要達到這個目的,您可以在以速率為基礎的規則新增以下字串比對條件:
- 要篩選的請求部分是 "URI"。
- 比對類型是 "Starts with"。
- 要比對的值是 "/login" (這必須能夠在 Web 請求的 URI 部分識別登入頁面)
另外還要指定速率限制,假設為每 5 分鐘 15,000 個請求。將這個以速率為基礎的規則新增到 Web ACL 將會限制每個 IP 地址對您登入頁面的請求,但不影響網站的其他部分。
23.以速率為基礎的規則是否能豁免特定高流量來源 IP 範圍,不要將其加入拒絕名單?
可以。您可以在以速率為基礎的規則中加入 IP 允許名單條件以達到此目的。
24.GeoIP 資料庫的準確度如何?
IP 地址的國家/地區查詢資料庫準確度會視地區而有所不同。根據最近的測試結果,我們的整體 IP 地址國家/地區對應準確度為 99.8%。
1.什麼是 AWS WAF 受管規則?
AWS WAF 受管規則是部署預先設定規則的簡單方式,這些規則可保護應用程式不受應用程式漏洞等常見威脅的侵害,例如 OWASP、機器人或常見漏洞和入侵程式 (CVE)。所有受管規則會由 AWS Marketplace 安全性賣方自動更新。
2.如何訂閱受管規則?
您可以從 AWS WAF 主控台或 AWS Marketplace 訂閱 Marketplace 安全性賣方提供的受管規則。所有訂閱的受管規則將供您新增到 AWS WAF Web ACL。
3.受管規則是否可與現有的 AWS WAF 規則一起使用?
是,受管規則可與您自訂的 AWS WAF 規則一起使用。您可將受管規則新增到已加入您自己規則的現有 AWS WAF Web ACL。
4.一個受管規則是否可有多個 AWS WAF 規則?
是,每個受管規則可有多個 AWS WAF 規則。規則數量取決於每個安全性賣方及其 Marketplace 產品。
5.新增到現有 AWS WAF 的受管規則數目是否有限制?
受管規則內的規則數目不會影響 AWS WAF 限制。但是新增到 Web ACL 的每個受管規則會當作 1 個規則計算。
6.如何停用受管規則?
您可隨時在 Web ACL 中新增或移除受管規則。受管規則中斷與任何 Web ACL 的關聯時即停用。
7. 如何測試受管規則?
AWS WAF 允許您為受管規則設定「計數」動作,它會計算符合受管規則內規則的 Web 請求數。您可以查看計算所得的 Web 請求數,以預估如果啟用受管規則將封鎖的 Web 請求數。
1.我是否可以設定自訂錯誤頁面?
是,您可以設定 CloudFront,在封鎖請求時顯示自訂錯誤頁面。如需詳細資訊,請參閱 CloudFront Developer Guide
2.AWS WAF 需要多久的時間才能將規則傳播出去?
完成初始設定、新增或變更規則後,通常只需約一分鐘即可將規則傳播到世界各地。
3.如何查看規則是否運作?
AWS WAF 提供兩種方法,供您查看網站受保護的情況:CloudWatch 可提供一分鐘指標,而 AWS WAF API 或管理主控台則可提供採樣的 Web 請求。透過這些方法,您可以查看已封鎖、允許或計算的請求,以及指定的請求符合哪個規則 (亦即 Web 請求是因 IP 地址條件而封鎖,或是其他原因)。如需詳細資訊,請參閱 AWS WAF 開發人員指南。
4.如何測試規則?
AWS WAF 可讓您為規則設定「計數」動作,也就是計算符合規則條件的 Web 請求數。您可以查看計算所得的 Web 請求數,以預估如果啟用規則將封鎖或允許的 Web 請求數。
5.即時指標和採樣的 Web 請求會存放多久的時間?
即時指標存放在 Amazon CloudWatch 中。使用 Amazon CloudWatch 可以設定要讓事件到期的時間期間。採樣的 Web 請求則最多存放三個小時。
6.AWS WAF 是否可以檢查 HTTPS 流量?
是。AWS WAF 可協助保護應用程式,以及檢查透過 HTTP 或 HTTPS 傳輸的 Web 請求。