重温 2024 年亚马逊云科技 re:Invent 的精彩瞬间,一键查看主题演讲及创新讲座的精彩回放

 ✕

此亚马逊云科技解决方案有何用途?

本解决方案可用于自动部署一系列 Amazon WAF(Web 应用程序防火墙) 规则,以过滤常见的基于 Web 的攻击。用户可以从预先配置的保护性功能中进行选择,这些功能用于定义 Amazon WAF Web 访问控制列表中包含的规则。部署完成后,Amazon WAF 可通过检查 Web 请求来保护 Application Load Balancers。您可以使用 Amazon WAF 创建自定义的、应用程序特定的规则,以阻止各种攻击模式,确保应用程序可用性、资源安全性,并防止过度消耗资源。

亚马逊云科技解决方案概述

Amazon WAF安全自动化解决方案对试图访问您的 Web 应用程序的请求提供精细控制。下图表示您可以使用该解决方案实施指南和随附的 Amazon CloudFormation 模板构建的架构。设计的核心在于 Amazon WAF Web ACL,它用作所有传入请求的集中检查和决策点。您选择激活的保护性功能将确定添加到您的 Web ACL 的自定义规则。

下图显示了您可以使用该解决方案实施指南和随附的 Amazon CloudFormation 模板自动部署的架构。

解决方案说明

  1. Amazon 托管规则 (A):此 Amazon 托管核心规则组合提供保护,避免各种常见的应用程序漏洞被利用或出现其他不必要的流量。
  2. 手动 IP 列表(B 和 C): 此组件可创建两个特定的 Amazon WAF 规则,从而使您可以手动插入您想阻止或允许的 IP 地址。
  3. SQL 注入 (D) 和 XSS (E):此解决方案可配置两个本机 Amazon WAF 规则,这些规则旨在防止 URI、查询字符串或请求正文中的常见 SQL 注入或跨站点脚本 (XSS) 模式。
  4. HTTP 泛洪攻击 (F):此组件有助于防止由来自特定 IP 地址的大量请求组成的攻击,如 Web 层 DDoS 攻击或暴力登录尝试。此功能的支持阈值是 5 分钟之内少于 100 个请求。
  5. 扫描程序和探测器 (G):此组件可解析应用程序访问日志,以搜索可疑行为,例如源生成的异常错误量。然后,它将在客户定义的时间段内阻止这些可疑的源 IP 地址。
  6. IP 声誉列表 (H):此组件是 IP 列表解析器 Amazon Lambda 函数,可每小时检查第三方 IP 声誉列表,以获取要阻止的新范围。
  7. 不良 Bot (I):此组件可自动设置蜜罐,它是一种安全机制,旨在引诱并转移试图进行的攻击。

Amazon WAF安全自动化

版本 3.2.0
上次更新日期:2022 年 4月
作者:亚马逊云科技

预计部署时间:15 分钟

功能特性

可参考的最佳实践

您可以直接使用 Amazon WAF Security Automations 解决方案,或将其用作参考构建您自己的 WAF 规则集。

识别并阻止跨站点脚本 (XSS) 攻击

此解决方案可配置两个本机 Amazon WAF 规则,这些规则旨在防止 URI、查询字符串或请求正文中的常见 SQL 注入或 XSS 模式。

日志分析

激活后,Amazon CloudFormation 可预置一个 Amazon Athena 查询和一个计划的 Amazon Lambda 函数,负责编排 Athena 执行,处理结果输出并更新 Amazon WAF。

快速配置 WAF 规则

Amazon CloudFormation 模板自动启动并配置您选择要在初次部署期间包括的 Amazon WAF 设置和保护性功能。
探索所有亚马逊云科技解决方案

浏览我们针对常见架构问题使用亚马逊云科技构建的解决方案组合。

了解更多 
查找合作伙伴

查找亚马逊云科技认证的咨询和技术合作伙伴,以帮助您入门。

了解更多 
开始在控制台中构建

注册并开始探索我们的服务。

开始使用 
关闭
1010 0766
由光环新网运营的
北京区域
1010 0966
由西云数据运营的
宁夏区域
关闭
由光环新网运营的
北京区域
由西云数据运营的
宁夏区域