如何 AWS WAF 运作 - AWS WAF、 AWS Firewall Manager AWS Shield Advanced、和 AWS Shield 网络安全总监
了解新的控制面板

引入全新的主机体验 AWS WAF

现在,您可以使用更新的体验访问控制台中任意位置的 AWS WAF 功能。有关更多详细信息,请参阅使用控制台

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

如何 AWS WAF 运作

您可以使用 AWS WAF 控制受保护的资源如何响应 HTTP (S) Web 请求。为此,您可以定义 web 访问控制列表(web ACL),然后将其与要保护的一个或多个 web 应用程序资源相关联。关联的资源会将传入的请求转发给,以便 Web ACL AWS WAF 进行检查。

新控制台简化了 web ACL 的配置过程。该控制台引入了保护包,以简化设置,同时保持对安全规则的完全控制。

保护包是 Web 的新位置,可简 ACLs 化控制台中的 Web ACL 管理,但它们不会更改底层 Web ACL 功能。使用标准控制台或 API 时,您仍然可以直接使用 Web ACLs。

在保护包(web ACL)中,您可以创建规则以定义要在请求中查找的流量模式,并指定要对匹配的请求执行哪些操作。操作选择包括以下内容:

  • 允许请求转到受保护的资源以进行处理和响应。

  • 阻止请求。

  • 计算请求数量。

  • 运行验证码或对请求进行质询检查,以验证人类用户和标准浏览器的使用情况。

AWS WAF 组件

以下是以下内容的核心组成部分 AWS WAF:

  • web ACLs — 使用 Web 访问控制列表 (Web ACL) 来保护一组 AWS 资源。您可以创建 web ACL 并通过添加规则来定义其保护策略。规则可定义检查 web 请求的条件,并指定对符合条件的请求采取的行动。您还可以为 web ACL 设置默认操作,指示是阻止还是允许通过规则尚未阻止或允许的任何请求。有关 Web 的更多信息 ACLs,请参阅在中配置保护 AWS WAF

    Web ACL 是一种 AWS WAF 资源。

  • 保护包 (Web ACL)-在新控制台中,保护包是您的 Web 的新位置 ACLs。在设置过程中,您需要提供有关您的应用程序和资源的信息。 AWS WAF 推荐根据您的场景量身定制的保护包,然后创建一个 Web ACL,其中包含由您选择的保护包 (Web ACL) 定义的规则、规则组和操作。有关保护包 (Web ACLs) 的更多信息,请参阅在中配置保护 AWS WAF

    保护包 (Web ACL) 是一种 AWS WAF 资源。

  • 规则:每条规则都包含定义检查条件的语句,还包含在 web 请求满足条件时要执行的操作。当 web 请求满足条件时,这是一个匹配。您可以配置规则来阻止匹配请求、允许请求通过、对请求进行计数,或者对使用验证码拼图或静默客户端浏览器质询的请求运行机器人控制功能。有关规则的更多信息,请参阅 AWS WAF 规则

    规则不是 AWS WAF 资源。规则仅存在于保护包(web ACL)或规则组的上下文中。

  • 规则组-您可以直接在保护包(Web ACL)中或在可重复使用的规则组中定义规则。 AWS 托管规则和 AWS Marketplace 卖家提供托管规则组供您使用。您还可以定义自己的规则组。有关规则组的更多信息,请参阅 AWS WAF 规则组

    规则组是一种 AWS WAF 资源。

  • Web ACL 容量单位 (WCUs) — AWS WAF 用于 WCUs 计算和控制运行规则、规则组、保护包 (Web ACLs) 或 Web 所需的操作资源 ACLs。

    WCU 不是 AWS WAF 资源。WCU 仅存在于保护包(web ACL)、规则或规则组的上下文中。

了解新的控制面板

新推出的控制面板可通过以下可视化方式统一了解您的安全态势:

流量洞察建议 — AWS 威胁情报会监控您前 2 周的允许流量,分析漏洞,并提供以下信息:

  • 基于流量的规则建议

  • 特定于应用程序的安全建议

  • 保护优化指导

摘要:显示指定时间段内所有流量的请求计数。您可以使用以下标准筛选流量数据:

  • 规则:按保护包中的单个规则进行筛选。

  • 操作:显示对流量采取的特定操作(例如“允许”、“阻止”、“验证码”和“质询”)计数。

  • 流量类型-仅显示特定流量类型(例如反 DDo S或机器人)的计数。

  • 时间范围:从预定义的时间范围中进行选择,也可以设置自定义范围。

  • 当地时间或 UTC 时间:您可以设置首选的时间格式。

AI 流量分析 — 提供对 AI 机器人和代理活动的全面可见性:

  • 机器人识别-机器人名称、组织和验证状态。

  • 意图分析 — AI 代理的目的和行为模式。

  • 访问模式-最常访问 URLs 和端点。

  • 时间趋势-按时间和历史趋势(0-14 天)划分的活动模式。

  • 流量特征 — AI 流量的流量、分布和异常检测。

保护活动:可视化显示您的保护规则及其顺序如何影响终止操作。

  • 通过规则的流量:显示通过规则的流量。从顺序规则视图切换到非顺序规则视图,查看规则顺序如何影响结果。

  • 规则操作及其结果:显示规则在指定时间段内对流量采取的终止操作。

操作总计:一张图表,可视化显示指定时间范围内对请求采取的总操作次数。使用叠加过去 3 小时选项,将当前时间段与之前 3 小时的时间窗口进行比较。可按如下条件筛选数据:

  • 允许操作

  • 操作总数

  • 验证码操作

  • 质询操作

  • 阻断操作

所有规则:一张图表,可视化显示保护包中所有规则的指标。

  • 使用叠加过去 3 小时选项,将当前时间段与之前 3 小时的时间窗口进行比较。

概述控制面板:提供安全状态的全面、图形化视图,包括以下内容:

  • 流量特征:按来源、攻击类型或发送请求的客户端设备类型查看流量概览。

  • 规则特征:按十大最常见规则及终止操作对攻击进行的分类。

  • 机器人:可视化显示机器人活动、检测、类别及机器人相关信号标签。

  • Ant DDo i-S — 检测到并缓解的第 7 层 DDo S 活动概述。