一般問題
什麼是 AWS WAF?
AWS WAF 是一種 Web 應用程式防火牆,可讓您設定規則以根據定義的條件允許、封鎖或監控 (計數) Web 請求,協助保護 Web 應用程式不受攻擊。這些條件包括 IP 地址、HTTP 標頭、HTTP 內文、URI 字串、SQL injection 和跨網站指令碼。
AWS WAF 如何封鎖或允許流量?
當基礎服務收到網站的請求後,會將這些請求轉送到 AWS WAF 以針對您的規則進行檢查。如果請求符合規則所定義的條件,AWS WAF 會指示基礎服務根據您定義的動作封鎖或允許請求。
AWS WAF 如何保護我的網站或應用程式?
AWS WAF 與 Amazon CloudFront、Application Load Balancer (ALB)、Amazon API Gateway 和 AWS AppSync 緊密整合,這些是 AWS 客戶常用來交付其網站和應用程式內容的服務。當您在 Amazon CloudFront 上使用 AWS WAF 時,您的規則會在靠近最終使用者的全球所有 AWS 節點中執行。這表示不需要犧牲效能來提升安全性。封鎖的請求會在抵達您的 Web 伺服器前就被阻擋。當您在區域服務 (如 Application Load Balancer、Amazon API Gateway 和 AWS AppSync) 上使用 AWS WAF 時,您的規則會在區域中執行,並且可用於保護面向網際網路的資源以及內部資源。
是否可以使用 AWS WAF 保護不在 AWS 託管的網站?
是,AWS WAF 與 Amazon CloudFront 整合,可支援 AWS 外的自訂來源。
AWS WAF 可協助我阻擋哪些類型的攻擊?
AWS WAF 有助於保護您的網站不受 SQL injection 和跨網站指令碼 (XSS) 等常見攻擊技術的攻擊。此外,您可以建立規則,以封鎖特定使用者代理程式、特定 IP 地址或包含特定請求標頭的流量或限制其速率。 若要查看範例,請參閱 AWS WAF 開發人員指南。
AWS WAF 可使用哪些機器人緩解功能?
透過 AWS WAF 機器人控制,您可以查看和控制應用程式常見和普遍的機器人流量。使用機器人控制,您可以輕鬆地封鎖無處不在的機器人或限制其速率,例如抓取程式、掃描器和爬取程式,或者允許常見的機器人,例如狀態監視器和搜尋引擎。您可以將機器人控制受管規則群組與其他 WAF 受管規則,與您自己的自訂 WAF 規則搭配使用,以保護您的應用程式。請參閱開發人員指南中的 AWS WAF 機器人控制章節。
是否能取得我的帳戶上所有 AWS WAF API 呼叫的歷史記錄,以用於安全、操作或合規稽核?
是。要取得針對您帳戶發出的所有 AWS WAF API 呼叫歷史記錄,您只需在 CloudTrail AWS 管理主控台中開啟 AWS CloudTrail。如需詳細資訊,請瀏覽 AWS CloudTrail 首頁或參閱 AWS WAF 開發人員指南。
AWS WAF 是否支援 IPv6?
是,支援 IPv6 讓 AWS WAF 能夠檢查來自 IPv6 和 IPv4 地址的 HTTP/S 請求。
AWS WAF 規則的 IPSet 相符條件是否支援 IPv6?
是,根據此文件,您可以為新的和現有的 WebACL 設定新 IPv6 相符條件。
如果適用,AWS WAF 範例請求中是否會顯示 IPv6 地址?
是。適合時,範例請求會顯示 IPv6 地址。
IPv6 是否可以搭配所有 AWS WAF 功能使用?
是。您可以在 IPv6 和 IPv4 流量使用所有現有功能,對服務的效能、可擴展性或可用性不會有任何明顯的變更。
AWS WAF 支援哪些服務?
AWS WAF 可以部署在 Amazon CloudFront、Application Load Balancer (ALB)、Amazon API Gateway 和 AWS AppSync。做為 Amazon CloudFront 的一部分,它可以是在節點保護資源和內容的內容分發網路 (CDN) 的一部分。做為 Application Load Balancer 的一部分,它可以保護在 ALB 後執行的原始 Web 伺服器。做為 Amazon API Gateway 的一部分,它可以協助保障和保護 REST API。做為 AWS AppSync 的一部分,它可以協助保障和保護 GraphQL API。
哪些 AWS 區域提供 AWS WAF?
請參閱 AWS 區域服務表。
AWS WAF 是否符合 HIPAA 資格?
是,AWS 已經擴展其 HIPAA 合規計劃,將 AWS WAF 納入 HIPAA 合格服務。如果您擁有與 AWS 共同履行的商業夥伴協議 (BAA),可以使用 AWS WAF 保護 Web 應用程式不受常見 Web 入侵程式的侵擾。如需詳細資訊,請參閱 HIPAA 合規。
AWS WAF 定價如何計算? 是否有預付費用?
AWS WAF 的費用是根據建立的 Web 存取控制清單 (Web ACL) 數、為每個 Web ACL 所新增的規則數,以及收到的 Web 請求數來收費。沒有預付款項。AWS WAF 費用是除了 Amazon CloudFront 定價、Application Load Balancer (ALB) 定價、Amazon API Gateway 定價及/或 AWS AppSync 定價之外的費用。
什麼是 AWS WAF 中以速率為基礎的規則?
以費率為基礎的規則可以在 AWS WAF 中設定規則類型,能讓您指定用戶端 IP 在隨後持續更新的 5 分鐘期間內允許的 Web 請求數。如果 IP 地址違反設定的限制,在請求率降至低於設定的閾值之前,會封鎖新的請求。
以速率為基礎的規則相較於一般 AWS WAF 規則有何不同?
以速率為基礎的規則和一般規則類似,但多了一項功能:能夠設定以速率為基礎的閾值。例如,如果以速率為基礎的規則閾值設為 (假設) 2,000,該規則會封鎖在過去 5 分鐘間隔內有超過 2,000 個請求的所有 IP。以速率為基礎的規則也可包含一般規則可用的任何其他 AWS WAF 條件。
以速率為基礎的規則費用為何?
以速率為基礎的規則和一般 AWS WAF 規則的費用相同,也就是每月每 WebACL 每個規則 1 USD
以速率為基礎的規則有哪些使用案例?
以下是客戶可使用以速率為基礎的規則解決的一些常見使用案例:
- 我想在 IP 地址超過設定的閾值率時計算或封鎖該 IP 地址 (可在每個後續 5 分鐘期間內的 Web 請求設定)
- 我想知道目前有哪些 IP 地址因為超過設定的閾值率而被封鎖
- 我希望已封鎖的 IP 地址當不再違反設定的閾值率時自動移除
- 我希望以速率為基礎的規則能豁免特定高流量來源 IP 範圍,不要將其封鎖
現有的比對條件是否與以速率為基礎的規則相容?
是。以速率為基礎的規則與現有的 AWS WAF 比對條件相容。這可讓您進一步精簡比對條件,並將以速率為基礎的降低限制在您網站的特定 URL 或來自特定推薦網站 (或使用者代理器) 的流量,或新增其他自訂比對條件。
是否可以使用以速率為基礎的規則降低 Web 層 DDoS 攻擊?
是。這個新規則類型的設計就是要保護您不受 Web 層 DDoS 攻擊、暴力登入嘗試和不良 Bot 等使用案例的威脅。
以速率為基礎的規則提供哪些可見性功能?
以速率為基礎的規則支援一般 AWS WAF 規則目前可使用的所有可見性功能。此外,可以看到以速率為基礎的規則封鎖的 IP 地址。
是否可使用以速率為基礎的規則限制對網頁特定部分的存取?
是。請參考以下範例。假設您希望限制對您網站的登入頁面發出的請求數。要達到這個目的,您可以在以速率為基礎的規則新增以下字串比對條件:
- 要篩選的請求部分是 "URI"。
- 比對類型是 "Starts with"。
- 要比對的值是 "/login" (這必須能夠在 Web 請求的 URI 部分識別登入頁面)
另外還要指定速率限制,假設為每 5 分鐘 15,000 個請求。將這個以速率為基礎的規則新增到 Web ACL 將會限制每個 IP 地址對您登入頁面的請求,但不影響網站的其他部分。
以速率為基礎的規則是否能豁免特定高流量來源 IP 範圍,不要將其封鎖?
是。您可以透過使用單獨的 IP 比對條件來實現此目的,該條件允許請求在以費率為基礎的規則內進行。
GeoIP 資料庫的準確度如何?
IP 地址的國家/地區查詢資料庫準確度會視區域而有所不同。根據最近的測試結果,我們的整體 IP 地址國家/地區對應準確度為 99.8%。
AWS WAF 受管規則
什麼是 AWS WAF 的受管規則?
受管規則是部署預先設定規則的簡單方式,這些規則可保護應用程式不受應用程式漏洞等常見威脅的侵害,例如 OWASP、機器人或常見漏洞和入侵程式 (CVE)。適用於 AWS WAF 的 AWS 受管規則由 AWS 管理,而 AWS Marketplace 的受管規則則由第三方安全賣方管理。
如何透過 AWS Marketplace 訂閱受管規則?
您可以從 AWS WAF 主控台或 AWS Marketplace 訂閱 Marketplace 安全性賣方提供的受管規則。所有訂閱的受管規則將供您新增到 AWS WAF Web ACL。
受管規則是否可與現有的 AWS WAF 規則一起使用?
是,受管規則可與您自訂的 AWS WAF 規則一起使用。您可將受管規則新增到已加入您自己規則的現有 AWS WAF Web ACL。
新增到現有 AWS WAF 的受管規則數目是否有限制?
受管規則內的規則數目不會對您的限制計數。然而,新增至 Web ACL 的每個受管規則會當作 1 個規則計算。
如何停用受管規則?
您可隨時在 Web ACL 中新增或移除受管規則。受管規則中斷與任何 Web ACL 的關聯時即停用。
如何測試受管規則?
AWS WAF 允許您為受管規則設定「計數」動作,它會計算符合受管規則內規則的 Web 請求數。您可以查看計算所得的 Web 請求數,以預估如果啟用受管規則將封鎖的 Web 請求數。
AWS WAF 組態
我是否可以設定自訂錯誤頁面?
是,您可以設定 CloudFront,在封鎖請求時顯示自訂錯誤頁面。如需詳細資訊,請參閱 CloudFront 開發人員指南
AWS WAF 需要多久的時間才能將規則傳播出去?
完成初始設定、新增或變更規則後,通常只需約一分鐘即可將規則傳播到世界各地。
如何查看規則是否運作?
AWS WAF 提供兩種方法,供您查看網站受保護的情況:CloudWatch 可提供一分鐘指標,而 AWS WAF API 或管理主控台則可提供採樣的 Web 請求。透過這些方法,您可以查看已封鎖、允許或計算的請求,以及指定的請求符合哪個規則 (亦即 Web 請求是因 IP 地址條件而封鎖,或是其他原因)。如需詳細資訊,請參閱 AWS WAF 開發人員指南。
如何測試規則?
AWS WAF 可讓您為規則設定「計數」動作,也就是計算符合規則條件的 Web 請求數。您可以查看計算所得的 Web 請求數,以預估如果啟用規則將封鎖或允許的 Web 請求數。
即時指標和採樣的 Web 請求會存放多久的時間?
即時指標存放在 Amazon CloudWatch 中。使用 Amazon CloudWatch 可以設定要讓事件到期的時間期間。採樣的 Web 請求則最多存放 3 個小時。
AWS WAF 是否可以檢查 HTTPS 流量?
是。AWS WAF 可協助保護應用程式,以及檢查透過 HTTP 或 HTTPS 傳輸的 Web 請求。
AWS WAF 詐騙控制 - 帳戶接管防護
什麼是帳戶接管防護?
帳戶接管防護 (ATP) 是一個受管規則群組,用於監控應用程式登入頁面的流量,以偵測盜用憑證對使用者帳戶的未經授權存取。您可以使用 ATP 防範憑證填充攻擊、蠻力登入嘗試和其他異常登入活動。當有人嘗試登入您的應用程式時,ATP 會即時檢查提交的使用者名稱和密碼是否已在 Web 上的其他地方被盜用。ATP 檢查來自惡意人士的異常登入嘗試,聯繫長期監測到的請求,以協助您偵測和減輕蠻力嘗試和憑證填充攻擊。ATP 還提供選用的 JavaScript 和 iOS/Android SDK,它們可以整合到您的應用程式中,以便您取得有關嘗試登入您應用程式使用者裝置的額外遙測資訊,從而更好地保護應用程式免受機器人自動登入嘗試的影響。
帳戶接管防護如何保護受檢查的憑證?
使用者裝置和您的應用程式之間的流量,由您為用作應用程式前端的 AWS 服務設定的 SSL/TLS 協定保護,這些服務包括 Amazon CloudFront、Application Load Balancer、Amazon API Gateway 或 AWS AppSync 等。一旦使用者憑證到達 AWS WAF,AWS WAF 會檢查該憑證,然後立即對其進行雜湊處理並丟棄它,並且該憑證永遠不會離開 AWS 網路。您的應用程式中使用的 AWS 服務與 AWS WAF 之間的任何通訊在傳輸和靜態時都會加密。
帳戶接管防護與機器人控制相比如何?
機器人控制可讓您查看和控制常見和普遍的機器人流量,這些流量會消耗資源、扭曲指標、導致停機和執行其他不需要的活動。機器人控制根據已知的機器人簽章檢查各種標頭欄位和請求屬性,以偵測和分類自動機器人,例如爬取程式、掃描器和編目程式。
帳戶接管防護 (ATP) 可讓您查看和控制惡意人士盜用憑證進行的異常登入嘗試,協助您防範可能導致詐騙活動的未經授權存取。ATP 用於保護您應用程式的登入頁面。
機器人控制和 ATP 可以相互獨立使用,也可以一起使用。與機器人控制受管規則群組一樣,您可以使用 ATP 的預設規則動作來封鎖相符的請求,也可以使用 AWS WAF 緩解功能自訂 ATP 的行為。
如何開始使用帳戶接管防護和 AWS WAF?
在 AWS WAF 主控台上,建立新的 Web ACL,或者如果您已經在使用 AWS WAF,也可以修改現有的 Web ACL。您可以使用精靈來協助您設定基本設定,例如要保護的資源以及要新增的規則。系統提示新增規則時,請選取「新增受管規則」,然後從受管規則清單中選取「帳戶建立詐騙預防」。若要設定 ATP,請輸入應用程式登入頁面的 URL,並指出使用者名稱和密碼表單欄位在請求主體中的位置。
JavaScript SDK 或 Mobile SDK 提供什麼好處?
JavaScript 和 Mobile SDK 提供有關嘗試登入您應用程式使用者裝置的額外遙測資訊,可讓您更好地保護應用程式免受機器人自動登入嘗試的影響。您不一定要使用其中一個 SDK,但我們建議您這樣做以取得額外的保護。
如何自訂帳戶接管防護的預設行為?
當 ATP 判斷使用者的憑證已被盜用時,它會產生一個標籤以指示相符項。依預設,AWS WAF 會自動阻止被判斷為惡意或異常的登入嘗試 (例如,異常水準的失敗登入嘗試、屢次違規者以及來自機器人的登入嘗試)。您可以透過編寫作用於標籤的 AWS WAF 規則來變更 AWS WAF 回應相符項的方式。
AWS WAF 詐騙控制 – 帳戶建立詐騙預防
什麼是帳戶建立詐騙預防?
帳戶建立詐騙預防 (ACFP) 是付費的受管規則群組,可讓您偵測並緩解針對註冊或註冊頁面的虛假帳戶建立攻擊。您可以使用 ACFP 來防止促銷或註冊濫用,忠誠度或獎勵濫用及網路釣魚攻擊。新帳戶註冊時,ACFP 會即時驗證提交的每個憑證 (即使用者名稱和密碼)、使用的電子郵件域及其他資訊 (例如電話號碼、輸入的地址欄位),如果判斷這些資訊遭竊或信譽不佳,則會阻止註冊嘗試。此外,ACFP 還包括詐騙風險預測,您無需深入了解基於 ML 的偵測模型,即可使用這些預測。ACFP 還提供建議的 JavaScript 和 iOS/Android SDK,這些 SDK 可整合到應用程式中,為您提供額外的使用者遙測功能,以便更好地保護應用程式免受機器人自動登入嘗試的影響。
ACFP 如何與帳戶接管保護 (ATP) 相關聯?
帳戶接管會攻擊應用程序的登入頁面,目的是獲得對現有帳戶未經授權的存取,而帳戶建立詐騙針對應用程式的註冊頁面,目的是透過這些虛假帳戶進行詐騙。ATP 專注於防止憑證填充和暴力密碼破解攻擊,即攻擊者自動執行數百次登入嘗試,並在多個網站上測試遭竊的憑證。相反,ACFP 專注於防止自動詐騙,例如促銷或註冊濫用,忠誠度或獎勵濫用及網路釣魚攻擊。ACFP 和 ATP 可以相互獨立使用,也可以一起使用。
如何開始使用帳戶建立詐騙預防和 AWS WAF?
在 AWS WAF 主控台上,建立新的 Web ACL,或者如果您已經在使用 AWS WAF,也可以修改現有的 Web ACL。您可以使用精靈來協助您設定基本設定,例如要保護的資源以及要新增的規則。當提示新增規則時,選取 Add Managed Rules (新增受管規則),然後從受管規則清單中選取帳戶接管防護。要設定 ACFP,請輸入應用程式的帳戶建立和註冊頁面的 URL。此外,您還能指出使用者名稱、密碼、地址和電話號碼等表單欄位在請求正文中的位置。
ACFP 是否需要 SDK 整合?
可選,但強烈推薦。SDK 整合提供其他資訊,例如瀏覽器版本、外掛程式和畫布資料,可提高 ACP 規則的有效性。如果未使用 SDK 整合,我們會使用「挑戰」動作強制執行此操作。挑戰動作不適用於單頁應用程式 (SPA) 和原生行動應用程式,因此這些應用程式強制使用 SDK 整合。針對其他可承受頁面重新整理的應用程式 (例如 HTML 頁面),SDK 整合是選擇性的。我們支援適用於 Web 應用程式的 JS SDK,以及適用於原生行動應用程式的 Android 和 iOS SDK。
如何獲得 ACFP 效能的可見性?
您可以藉由檢閱主控台上的詐騙儀表板、WAF 完整記錄和 CloudWatch 指標,觀察 ACFP 如何保護您的應用程式。
儀表板:用於監控由 ACFP 和 ATP CloudWatch 指標分析之請求的集中式儀表板:具有 ACFP 規則群組的所有規則動作都會發出客戶可用於建立警示和通知的 CloudWatch 指標。
WAF 日誌:ACFP 分析的所有請求都會記錄在 WAF 日誌中,因此您可以使用現有日誌解決方案來查詢和分析 ACFP 管理規則的日誌。ACFP 將記錄詳細資訊 (例如,規則動作、標籤資訊和風險評分),以用於追蹤 ACFP 的有效性。
進一步了解 AWS WAF 定價