什麼是 AWS WAFAWS Shield AdvancedAWS Shield 網路安全主管 AWS Firewall Manager? - AWS WAFAWS Firewall Manager、 AWS Shield Advanced和 AWS Shield 網路安全主管
AWS WAFShield AdvancedAWS Shield 網路安全主管AWS Firewall Manager

推出 的新主控台體驗 AWS WAF

您現在可以使用更新後的體驗,在主控台的任何位置存取 AWS WAF 功能。如需詳細資訊,請參閱使用更新的主控台體驗

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

什麼是 AWS WAFAWS Shield AdvancedAWS Shield 網路安全主管 AWS Firewall Manager?

您可以使用 AWS WAFAWS ShieldAWS Firewall Manager一起建立全面的安全解決方案。 AWS WAF 是一種 Web 應用程式防火牆,可用來監控最終使用者傳送到應用程式的 Web 請求,以及控制對內容的存取。Shield Advanced 可在網路和傳輸層 (第 3 層和第 4 層) 和應用程式層 (第 7 層) 上針對 AWS 資源的分散式拒絕服務 (DDoS) 攻擊提供保護。 AWS Firewall Manager 提供跨帳戶和資源的 AWS WAF 和 Shield Advanced 等保護管理,即使新增了新的資源也一樣。

什麼是 AWS WAF?

AWS WAF 是一種 Web 應用程式防火牆,可讓您監控轉送至受保護 Web 應用程式資源的 HTTP 和 HTTPS 請求。您可以保護下列資源類型:

  • Amazon CloudFront 分佈

  • Amazon API Gateway REST API

  • Application Load Balancer

  • AWS AppSync GraphQL API

  • Amazon Cognito 使用者集區

  • AWS App Runner 服務

  • AWS 已驗證的存取執行個體

  • AWS Amplify

AWS WAF 可讓您控制對內容的存取。根據您指定的條件,例如請求的 IP 地址或查詢字串的值,您的受保護資源會使用請求的內容、HTTP 403 狀態碼 (禁止) 或自訂回應來回應請求。

在最簡單的層級, AWS WAF 讓您選擇下列其中一個行為:

  • 允許除了您指定的請求之外的所有請求 – 當您希望 Amazon CloudFront、Amazon API Gateway、Application Load Balancer AWS App Runner、 AWS AppSync Amazon Cognito 或 AWS Verified Access 為公有網站提供內容時,這非常有用,但您也想要封鎖來自攻擊者的請求。

  • 封鎖您指定的請求以外的所有請求 – 當您想要為受限制網站提供內容,而其使用者可由 Web 請求中的屬性輕易識別,例如他們用來瀏覽網站的 IP 地址時,這會很有用。

  • 計數符合您條件的請求 – 您可以使用 Count動作來追蹤 Web 流量,而無需修改處理方式。您可以使用此功能進行一般監控,也可以測試新的 Web 請求處理規則。當您想要根據 Web 請求中的新屬性允許或封鎖請求時,您可以先設定 AWS WAF 來計算符合這些屬性的請求。這可讓您在切換規則以允許或封鎖相符請求之前,先確認新的組態設定。

  • 針對符合您條件的請求執行 CAPTCHA 或挑戰檢查 – 您可以針對請求實作 CAPTCHA 和無提示挑戰控制,以協助減少對受保護資源的機器人流量。

使用 AWS WAF 有幾個優點:

  • 使用您指定的條件防止 Web 攻擊的額外保護。您可以使用 Web 請求的特性來定義條件,如下所示:

    • 發出請求的 IP 地址。

    • 發出請求的國家/地區。

    • 請求標頭中的值。

    • 出現在請求中的字串,可以是符合規則表達式 (regex) 模式的特定字串或字串。

    • 請求的長度。

    • SQL 程式碼的存在很可能為惡意 (稱為 SQL injection)。

    • 指令碼的存在很可能為惡意 (稱為跨網站指令碼)。

  • 可允許、封鎖或計數符合指定條件之 Web 請求的規則。或者,規則可以封鎖或計數不僅符合指定條件的 Web 請求,也可以超過一分鐘或五分鐘內指定的請求數。

  • 規則,您可以重複在多個 web 應用程式上使用。

  • 來自 AWS 和 AWS Marketplace 賣方的受管規則群組。

  • 即時指標和採樣的 Web 請求。

  • 使用 AWS WAF API 自動化管理。

如果您想要精細控制您新增至資源的保護, AWS WAF 單獨可能是正確的選擇。如需 的詳細資訊 AWS WAF,請參閱 AWS WAF

什麼是 AWS Shield Advanced?

您可以使用 AWS WAF Web 存取控制清單 (Web ACLs),以協助將分散式阻斷服務 (DDoS) 攻擊的影響降至最低。為了針對 DDoS 攻擊提供額外保護, AWS 也會 AWS Shield Standard 自動包含 AWS Shield Standard 和 AWS Shield Advanced。除了您已支付的費用 AWS WAF 和其他 AWS 服務之外,無需額外付費。

Shield Advanced 為您的 Amazon EC2 執行個體、Elastic Load Balancing 負載平衡器、CloudFront 分佈、Route 53 託管區域和 AWS Global Accelerator 標準加速器提供擴展的 DDoS 攻擊保護。Shield Advanced 會產生額外費用。Shield Advanced 選項和功能包括自動應用程式層 DDoS 緩解、進階事件可見性,以及來自 Shield Response Team (SRT) 的專用支援。如果您擁有高可見性網站,或者容易受到頻繁的 DDoS 攻擊,請考慮購買 Shield Advanced 提供的額外保護。有關其他訊息,請參閱AWS Shield Advanced 功能和選項決定是否訂閱 AWS Shield Advanced 並套用其他保護

什麼是 AWS Shield 網路安全主管?

AWS Shield 網路安全主管透過探索您帳戶中的運算、聯網和網路安全資源,協助保護您的 AWS 環境。 網路安全主管會根據 AWS 最佳實務和威脅情報分析網路拓撲和安全組態,來評估每個資源的安全組態。為了協助您強化安全性,網路安全主管會評估其調查結果的嚴重性從低到關鍵,並分享特定的修補步驟,您可以透過 Amazon Q Developer 使用自然語言查詢進行探索。

如需 AWS Shield 網路安全主管的詳細資訊,請參閱 AWS Shield 網路安全主管 (預覽)

什麼是 AWS Firewall Manager?

AWS Firewall Manager 簡化跨多個帳戶和資源的管理和維護任務,以實現各種保護 AWS WAF AWS Shield Advanced,包括 Amazon VPC 安全群組和網路 ACLs AWS Network Firewall,以及 Amazon Route 53 Resolver DNS Firewall。使用 Firewall Manager,您只需設定一次保護,服務會自動將保護套用至您的帳戶和資源,即使您新增新帳戶和資源也一樣。

如需防火牆管理員的詳細資訊,請參閱AWS Firewall Manager