使用 Check Point 的人工智能驱动的 WAF 即服务保护您的应用程序
导言
Web 应用程序防火墙 (WAF) 有助于保护您的 Web 应用程序和 API,但是传统 WAF 的配置和维护可能很复杂。在这篇文章中,我们演示了如何在几分钟内部署 WAF 即服务。部署 WAF 时,了解该单个 WAF 所需的要求和注意事项非常重要。传统的 WAF 部署必须考虑性能、规模、网络架构和其他问题。
Check Point CloudGuard WAF(前身为 AppSec)是 Amazon Marketplace 中提供的网络应用程序和 API 安全解决方案,通过其基于人工智能的方法简化了 WAF 的部署和管理。使用 WAF 即服务 (WAFaaS),这些注意事项已经预先设定,便于部署。此外,WAFaaS 不需要传统 WAF 所需的手动调整。
CloudGuard WAF 获得分析师认可
GigaOm Radar 报告研究了 13 种顶级应用程序和 API 安全解决方案,该报告连续第二年将 CloudGuard WAF 评为领导者。
2024-2025 年 WAF 比较项目还评估了 13 个 WAF 解决方案,该项目显示 CloudGuard WAF 的威胁检测率为 99.3%,误报率为 0.81%,使其成为项目测试中唯一一个在两个质量指标上均达到第九十九个百分位的 WAF 解决方案。
持续的 AI 学习和自动策略管理
CloudGuard WAF 的人工智能引擎根据网络流量进行自我训练,分析 API 交易,检测偏离正常情况并自动采取补救措施。这种持续的人工智能学习无需重写复杂的防火墙规则,因为 CloudGuard WAF 可以自动执行策略管理,而管理员的工作量最小。
CloudGuard WAF 还通过检测云、混合和本地环境中的每个 API 路由和端点,提供有关现有数据的上下文来保护 API。随着时间的推移,CloudGuard 的架构修订建议有助于提高安全性。
CloudGuard WAF 即服务
虽然 CloudGuard WAF 的强大功能已在 Amazon Marketplace 中提供多年,但 CloudGuard WAF 现在以服务形式提供。这种新模式显著缩短了部署时间,并支持按月付款。只需四个步骤,任何组织都可以在短短几分钟内利用 CloudGuard WAF 即服务的强大功能保护其 Web 应用程序和 API。结果对亚马逊云科技客户环境的影响几乎为零,并且无需安装和维护云基础设施服务解决方案。
解决方案概述
在本节中,我们将演示如何使用以下步骤设置 CloudGuard WAF 即服务,以保护您的 Web 应用程序。
1. 登录您的 Infinity Portal 账户。
2. 创建网络资产并证明域名的所有权。
3. 将您的网络域名连接到 CloudGuard WAF 即服务。
4. 允许从 CloudGuard WAF 即服务 IP 地址进行访问。
5. 测试对您网站的访问权限。
先决条件
要执行该解决方案,您需要完成以下先决条件。
• 拥有或创建一个 Infinity Portal 账户。
• 从 Amazon Marketplace 购买并激活 CloudGuard WAF 即服务。
• 验证受保护域的 DNS 配置的所有权。
• 拥有或创建资产的内部网址。
解决方案演练:在几分钟内在亚马逊云科技上添加 AI 驱动的 WAF 即服务安全性
要保护受 CloudGuard WAFaaS 保护的每项资产中每个域的流量,您需要执行以下四个步骤。
第 1 步 — 登录您的 Infinity Portal 账户并导航到 CloudGuard WAF,如图 1 所示。
如果你没有 Infinity Portal 账户,请按照无限门户入门指南中的步骤创建一个。
图 1 — Check Point 控制台上的 WAF
第 2 步 — 创建网络资产并证明域名的所有权
1. 导航到 "新建资产" > "Web 应用程序",创建新的 Web 资产,如图 2 所示。
图 2 — 创建新的 Web 资产
2. 如图 3 所示,在 "策略" 选项卡中,选择 "配置文件",然后选择在 "新建 Web 应用程序" 向导的步骤 1 中自动创建的 WAF 即服务配置文件。
图 3 — 选择 WebApp SaaS 配置文件
3. 对于每个待验证的网络域,选择相应的网络域并按照说明在 DNS 配置中添加具有所提供名称和值的 CNAME 记录来证明所有权,如图 4 所示。
图 4 — 证明 Web 域名所有权
您需要对每个 Web 域执行如图 4 所示的操作。例如,如果你同时保护 www. <insert your domain>net 和 api.<insert your domain>,您需要分别证明每个 Web 域的所有权,如图 5 所示。
图 5 — www <insert your domain>.net 的域配置示例
第 3 步 — 将您的 Web 域连接到 CloudGuard WAF 即服务
重要:在执行此步骤之前,请为您的网站地址禁用任何现有 Amazon CloudFront 配置。
1. 域名所有权通过验证后(最多可能需要 30 分钟),将发布 CNAME 记录。
2. 更改要保护的域的现有 DNS CNAME 记录,将其值更新为提供的字符串,如图 6 所示。
DNS 在全球传播后,流量将通过 CloudGuard WAF 即服务,然后路由到您的内部 Web 服务器。
图 6-成功进行域名验证并将现有 DNS 更新为新的 CNAME
允许从 CloudGuard WAF 即服务 IP 地址进行访问
在此步骤中,您将 IP 地址添加到内部 Web 服务器允许的访问列表中,可能需要删除不再需要的 IP 地址。
由于 DNS 传播可能需要长达 72 小时,因此我们建议仅在需要时添加 IP 地址,但在 72 小时过去且您已通过 WAF-as-a-Service 测试连接之前,不要移除对 Web 服务器的任何访问权限。
1. 对于受 CloudGuard WAF 即服务保护的每项资产,配置反向代理功能的上游 URL,以允许从 CloudGuard WAF 用户界面部署表单中提供的 IP 地址进行访问。仅允许从这些地址进行访问。
2. 如果该域名之前曾公开过,请减少可访问性,仅允许来自这些 IP 地址的流量。
3. 如果以前只能通过配置的反向代理访问该域,请将 WAF-as-a-Service IP 地址添加到访问列表中,并考虑从先前的反向代理中删除无关的 IP 地址,如图 7 所示。
图 7 — 已列入许可名单的 IP,域名已准备好测试访问权限
第 4 步 — 测试对您网站的访问权限
完成前面的步骤后,测试对您网站的访问权限。更改 DNS 记录通常需要几个小时才能在全球范围内传播,但最多可能需要 72 小时。
请务必确认自己在之前的环境中没有离开公开的域名。
结论
在这篇文章中,我们了解了 Check Point 的 CloudGuard WAF 即服务如何通过为组织提供一种强大而简化的方法来保护其数字资产,从而代表了 Web 应用程序和 API 安全的重大进步。四步部署过程显著缩短了实施时间,同时消除了基础架构管理的复杂性。无论您是想增强现有安全状况还是想实施新的 WAF 解决方案,CloudGuard WAF 即服务都通过其灵活的 Amazon Marketplace 订阅模式将高级保护、易用性和成本效益完美地结合在一起。立即浏览演示版或与 Check Point 团队联系,采取下一步措施保护您的 Web 应用程序和 API。
准备好开始了吗?
立即联系 Check Point、申请演示或在 Amazon Marketplace 中查找 Check Point CloudGuard WAF 即服务!
