AWS WAF 的工作原理 - AWS WAF、AWS Firewall Manager、AWS Shield Advanced 和 AWS Shield 网络安全分析器
了解新的控制面板

介绍 AWS WAF 的全新控制台体验

现在,您可以使用更新后的体验访问控制台中任意位置的 AWS WAF 功能。有关更多详细信息,请参阅 使用更新的控制台体验

AWS WAF 的工作原理

您可以使用 AWS WAF 控制受保护资源响应 HTTP(S) web 请求的方式。为此,您可以定义 web 访问控制列表(web ACL),然后将其与要保护的一个或多个 web 应用程序资源相关联。关联的资源会将传入的请求转发给 AWS WAF,以便 web ACL 进行检查。

新控制台简化了 web ACL 的配置过程。该控制台引入了保护包,以简化设置,同时保持对安全规则的完全控制。

保护包是 web ACL 的新位置,简化控制台中的 web ACL 管理,但保护包不会更改底层 web ACL 功能。使用标准控制台或 API 时,仍可直接使用 web ACL。

在保护包(web ACL)中,您可以创建规则以定义要在请求中查找的流量模式,并指定要对匹配的请求执行哪些操作。操作选择包括以下内容:

  • 允许请求转到受保护的资源以进行处理和响应。

  • 阻止请求。

  • 计算请求数量。

  • 运行验证码或对请求进行质询检查,以验证人类用户和标准浏览器的使用情况。

AWS WAF 组件

以下是 AWS WAF 的核心组件:

  • web ACL:您使用 web 访问控制列表(web ACL)来保护一组 AWS 资源。您可以创建 web ACL 并通过添加规则来定义其保护策略。规则可定义检查 web 请求的条件,并指定对符合条件的请求采取的行动。您还可以为 web ACL 设置默认操作,指示是阻止还是允许通过规则尚未阻止或允许的任何请求。有关 web ACL 的更多信息,请参阅 在 AWS WAF 中配置保护

    web ACL 是一种 AWS WAF 资源。

  • 保护包(Web ACL):在新控制台中,保护包是 web ACL 的新位置。设置过程中,提供有关应用程序和资源的信息。AWS WAF 建议使用根据场景量身定制的保护包,然后创建 web ACL,其中包含所选择保护包(web ACL)定义的规则、规则组和操作。有关保护包(web ACL)的更多信息,请参阅 在 AWS WAF 中配置保护

    保护包(web ACL)是一种 AWS WAF 资源。

  • 规则:每条规则都包含定义检查条件的语句,还包含在 web 请求满足条件时要执行的操作。当 web 请求满足条件时,这是一个匹配。您可以配置规则来阻止匹配请求、允许请求通过、对请求进行计数,或者对使用验证码拼图或静默客户端浏览器质询的请求运行机器人控制功能。有关规则的更多信息,请参阅 AWS WAF 规则

    规则不是 AWS WAF 资源。规则仅存在于保护包(web ACL)或规则组的上下文中。

  • 规则组:您可以直接在保护包(web ACL)中定义规则,也可以在可重复使用的规则组中定义规则。AWS托管规则和 AWS Marketplace 卖家提供托管规则组供您使用。您还可以定义自己的规则组。有关规则组的更多信息,请参阅 AWS WAF 规则组

    规则组是一种 AWS WAF 资源。

  • web ACL 容量单位(WCU):AWS WAF 使用 WCU 计算和控制运行规则、规则组和保护包(web ACL)或 web ACL 所需的操作资源。

    WCU 不是 AWS WAF 资源。WCU 仅存在于保护包(web ACL)、规则或规则组的上下文中。

了解新的控制面板

新推出的控制面板可通过以下可视化方式统一了解您的安全态势:

流量洞察建议:AWS 威胁情报会监控您前 2 周的允许流量,分析漏洞,并提供以下信息:

  • 基于流量的规则建议

  • 特定于应用程序的安全建议

  • 保护优化指导

摘要:显示指定时间段内所有流量的请求计数。您可以使用以下标准筛选流量数据:

  • 规则:按保护包中的单个规则进行筛选。

  • 操作:显示对流量采取的特定操作(例如“允许”、“阻止”、“验证码”和“质询”)计数。

  • 流量类型:仅显示特定流量类型(例如反 DDoS 或机器人)的计数。

  • 时间范围:从预定义的时间范围中进行选择,也可以设置自定义范围。

  • 当地时间或 UTC 时间:您可以设置首选的时间格式。

保护活动:可视化显示您的保护规则及其顺序如何影响终止操作。

  • 通过规则的流量:显示通过规则的流量。从顺序规则视图切换到非顺序规则视图,查看规则顺序如何影响结果。

  • 规则操作及其结果:显示规则在指定时间段内对流量采取的终止操作。

操作总计:一张图表,可视化显示指定时间范围内对请求采取的总操作次数。使用叠加过去 3 小时选项,将当前时间段与之前 3 小时的时间窗口进行比较。可按如下条件筛选数据:

  • 允许操作

  • 操作总数

  • 验证码操作

  • 质询操作

  • 阻断操作

所有规则:一张图表,可视化显示保护包中所有规则的指标。

  • 使用叠加过去 3 小时选项,将当前时间段与之前 3 小时的时间窗口进行比较。

概述控制面板:提供安全状态的全面、图形化视图,包括以下内容:

  • 流量特征:按来源、攻击类型或发送请求的客户端设备类型查看流量概览。

  • 规则特征:按十大最常见规则及终止操作对攻击进行的分类。

  • 机器人:可视化显示机器人活动、检测、类别及机器人相关信号标签。

  • 反 DDoS:概述已检测和已缓解的第 7 层 DDoS 活动。