AWS WAF、AWS Firewall Manager 和AWS Shield Advanced PDF
Preview AWS WAF、AWS Firewall Manager 和AWS Shield Advanced
AWS WAF、AWS Firewall Manager 和 AWS Shield Advanced 开发人员指南 AWS WAF、AWS Firewall Manager 和 AWS Shield Advanced 开发人员指南 AWS WAF、AWS Firewall Manager 和 AWS Shield Advanced: 开发人员指 南 Copyright © 2022 Amazon Web Services, Inc. and/or its affiliates. All rights reserved. Amazon 的商标和商业外观不得用于任何非 Amazon 的商品或服务,也不得以任何可能引起客户混淆、贬低或诋毁 Amazon 的方式使用。所有非 Amazon 拥有的其它商标均为各自所有者的财产,这些所有者可能附属于 Amazon、与 Amazon 有关联或由 Amazon 赞助,也可能不是如此。 AWS WAF、AWS Firewall Manager 和 AWS Shield Advanced 开发人员指南 Table of Contents 什么是AWS WAF,AWSShield,和AWS Firewall Manager?........................................................................ 1 AWS Shield............................................................................................................................... 2 AWS Firewall Manager................................................................................................................ 2 我应该使用哪一种? .................................................................................................................... 2 ........................................................................................................................................ 2 设置 .................................................................................................................................................. 3 第 1 步:注册一个 AWS 账户....................................................................................................... 3 第 2 步:创建 IAM 用户.............................................................................................................. 3 第 3 步:下载工具...................................................................................................................... 5 AWS WAF......................................................................................................................................... 6 AWS WAF 的工作原理................................................................................................................ 6 AWS WAF 组件................................................................................................................. 7 AWS WAF Web ACL 容量单位 (WCU) 数.............................................................................. 7 你可以用它来保护的资源AWS WAF....................................................................................... 7 AWS WAF 入门......................................................................................................................... 8 第 1 步:设置 AWS WAF .................................................................................................... 9 第 2 步:创建 Web ACL...................................................................................................... 9 第 3 步:添加字符串匹配规则 ............................................................................................... 9 第 4 步:添加托AWS管规则规则组...................................................................................... 10 第 5 步:完成您的 Web ACL 配置 ....................................................................................... 11 第 6 步:清除资源............................................................................................................. 11 Web 访问控制列表 (ACL)........................................................................................................... 12 AWS资源如何处理来自的响应延迟AWS WAF........................................................................ 12 Web ACL 规则和规则组评估............................................................................................... 13 决定 Web ACL 的默认操作................................................................................................. 15 使用 Web ACL................................................................................................................. 15 规则组..................................................................................................................................... 21 托管规则组....................................................................................................................... 22 管理您自己的规则组 .......................................................................................................... 67 来自其他服务的规则组....................................................................................................... 69 规则 ........................................................................................................................................ 69 规则名称 .......................................................................................................................... 70 规则操作 .......................................................................................................................... 70 规则语句 .......................................................................................................................... 71 Web 请求正文、标头和 Cookies.................................................................................................. 97 IP 集和正则表达式模式集........................................................................................................... 99 创建和管理 IP 集.............................................................................................................. 99 创建和管理正则表达式模式集 ............................................................................................. 101 自定义的 Web 请求和响应 ........................................................................................................ 103 自定义请求标头插入 ......................................................................................................... 104 自定义响应..................................................................................................................... 105 支持的状态代码............................................................................................................... 107 网络请求上的标签.................................................................................................................... 108 标注工作原理.................................................................................................................. 108 语法和命名要求............................................................................................................... 109 添加标签 ........................................................................................................................ 111 与标签匹配..................................................................................................................... 111 标注匹配项示例............................................................................................................... 112 托管式保护............................................................................................................................. 114 机器人控制..................................................................................................................... 115 防止账户盗用.................................................................................................................. 126 应用程序集成.................................................................................................................. 134 AWS WAF验证码............................................................................................................ 145 记录 Web ACL 流量................................................................................................................ 150 iii AWS WAF、AWS Firewall Manager 和 AWS Shield Advanced 开发人员指南 记录 Web ACL 流量信息的定价......................................................................................... 151 AWS WAF日志记录目的地................................................................................................ 151 管理 Web ACL 的日志记录............................................................................................... 158 日志字段 ........................................................................................................................ 159 日志示例 ........................................................................................................................ 161 列出根据基于速率的规则而阻止的 IP 地址................................................................................... 169 测试和调整您的保护 ................................................................................................................. 169 测试和调整高级步骤 ......................................................................................................... 170 准备测试 ........................................................................................................................ 170 监视和优化..................................................................................................................... 171 在生产环境中启用保护...................................................................................................... 175 AWS WAF如何使用亚马逊 CloudFront 功能................................................................................. 176 AWS WAF与 CloudFront 自定义错误页面一起使用............................................................... 176 将 witAWS WAF h CloudFront 用于在您自己的 HTTP 服务器上运行的应用程序......................... 177 选择 CloudFront 响应的 HTTP 方法 ................................................................................... 177 您使用AWS WAF服务的安全性.................................................................................................. 178 数据保护 ........................................................................................................................ 178 身份和访问管理............................................................................................................... 179 日志记录和监控............................................................................................................... 194 合规性验证..................................................................................................................... 195 故障恢复能力.................................................................................................................. 196 基础设施安全性............................................................................................................... 196 AWS WAF 配额...................................................................................................................... 196 将您的AWS WAF经典资源迁移到AWS WAF................................................................................ 198 为什么要迁移到 AWS WAF?............................................................................................ 198 迁移的工作原理............................................................................................................... 199 迁移注意事项.................................................................................................................. 199 迁移 Web ACL................................................................................................................ 199 AWS WAF Classic.......................................................................................................................... 203 设置AWS WAF经典版.............................................................................................................. 203 第 1 步:注册一个 AWS 账户 ............................................................................................ 204 第 2 步:创建 IAM 用户................................................................................................... 204 第 3 步:下载工具........................................................................................................... 205 怎么样AWS WAF经典作品........................................................................................................ 206 AWS WAF经典定价................................................................................................................. 208 .................................................................................................................................... 208 开始使用AWS WAFClassic....................................................................................................... 208 第 1 步:设置AWS WAFClassic........................................................................................ 209 第 2 步:创建 Web ACL.................................................................................................. 209 第 3 步:创建 IP 匹配条件 ................................................................................................ 210 第 4 步:创建地理匹配条件 ............................................................................................... 210 第 5 步:创建字符串匹配条件............................................................................................ 210 步骤 5A:创建正则表达式条件(可选).............................................................................. 212 第 6 步:创建 SQL 注入匹配条件 ...................................................................................... 213 步骤 7:(可选) 创建其他条件............................................................................................. 214 步骤 8:创建规则并添加条件............................................................................................. 214 步骤 9:将规则添加 Web ACL.......................................................................................... 215 步骤 10:清除 资源......................................................................................................... 215 创建和配置 Web 访问控制列表 (Web ACL).................................................................................. 217 使用条件 ........................................................................................................................ 218 使用规则 ........................................................................................................................ 245 使用 Web ACL................................................................................................................ 251 使用AWS WAF与结合使用的经典规则组AWS Firewall Manager...................................................... 260 创建AWS WAF经典规则组................................................................................................ 260 从中添加和删除规则AWS WAF经典规则组........................................................................... 261 开始使用AWS Firewall Manager启用AWS WAF经典规则............................................................... 262 第 1 步:完成先决条件..................................................................................................... 262 iv AWS WAF、AWS Firewall Manager 和 AWS Shield Advanced 开发人员指南 第 2 步:创建规则........................................................................................................... 263 第 3 步:创建规则组........................................................................................................ 263 第 4 步:创建并应用AWS Firewall ManagerAWS WAF经典策略............................................. 264 教程:创建AWS Firewall Manager具有分层规则的策略.................................................................. 265 第 1 步:指定 Firewall Manager 管理员账户........................................................................ 265 第 2 步:使用 Firewall Manager 管理员账户创建规则组......................................................... 266 第 3 步:创建 Firewall Manager 策略并附加通用规则组......................................................... 266 第 4 步:添加特定于账户的规则......................................................................................... 266 结论 .............................................................................................................................. 266 记录 Web ACL 流量信息.......................................................................................................... 267 列出根据基于速率的规则而阻止的 IP 地址................................................................................... 271 操作方法AWS WAFClassic CloudFront 功能................................................................................ 271 使用AWS WAF经典搭配 CloudFront 自定义错误页面............................................................ 272 使用AWS WAF经典搭配 CloudFront 对于在您自己的 HTTP 服务器上运行的应用程序................. 272 选择 CloudFront 响应的 HTTP 方法 ................................................................................... 273 安全性................................................................................................................................... 273 数据保护 ........................................................................................................................ 274 身份和访问管理............................................................................................................... 274 日志记录和监控............................................................................................................... 294 合规性验证..................................................................................................................... 295 故障恢复能力.................................................................................................................. 296 基础设施安全性............................................................................................................... 296 AWS WAF经典配额................................................................................................................. 296 AWS Firewall Manager.................................................................................................................... 299 AWS Firewall Manager 定价..................................................................................................... 299 .................................................................................................................................... 299 AWS Firewall Manager先决条件................................................................................................ 299 第 1 步:加入并配置AWS Organizations............................................................................. 300 第 2 步:设置AWS Firewall Manager管理员账户.................................................................. 300 第 3 步:启用 AWS Config............................................................................................... 300 第 4 步:有关 Palo Alto Networks Cloud NGFW 政策,请订阅AWSMarketplace 和配置第三方设 置................................................................................................................................. 301 第 5 步:对于Network Firewall 和 DNS 防火墙策略,启用资源共享......................................... 301 第 6 步:要使用AWS Firewall Manager在默认禁用的地区...................................................... 302 管理Firewall Manager 管理员.................................................................................................... 302 更改账户 ........................................................................................................................ 302 取消账户资格变更 ............................................................................................................ 303 开始使用AWS Firewall Manager策略.......................................................................................... 303 开始使用AWS WAF策略................................................................................................... 304 开始使用AWS Shield Advanced策略................................................................................... 305 Amazon VPC 安全组策略入门.......................................................................................... 308 开始使用AWS Network Firewall策略................................................................................... 310 DNS Firewall 策略入门..................................................................................................... 311 Palo Alto Networks Cloud NGFW 政策入门......................................................................... 313 使用 AWS Firewall Manager 策略.............................................................................................. 315 .................................................................................................................................... 315 常规设置 ........................................................................................................................ 315 创建策略 ........................................................................................................................ 315 删除策略 ........................................................................................................................ 330 策略范围 ........................................................................................................................ 330 托管列表 ........................................................................................................................ 331 AWS WAF 策略.............................................................................................................. 334 AWS Shield Advanced 策略.............................................................................................. 336 安全组策略..................................................................................................................... 339 Network Firewall 策略...................................................................................................... 344 帕洛阿尔托网络云 NGFW 政策.......................................................................................... 349 DNS 防火墙策略............................................................................................................. 349 v AWS WAF、AWS Firewall Manager 和 AWS Shield Advanced 开发人员指南 Network Firewall 和 DNS 防火墙策略的资源共享.................................................................. 350 查看资源合规性 ....................................................................................................................... 351 Firewall Manager 调查结果....................................................................................................... 353 AWS WAF 策略结果........................................................................................................ 354 Shield............................................................................................................................ 354 安全组通用策略结果 ......................................................................................................... 354 安全组内容审核策略结果................................................................................................... 355 安全组使用情况审核策略结果 ............................................................................................. 355 DNS Firewall.................................................................................................................. 356 安全性................................................................................................................................... 356 数据保护 ........................................................................................................................ 356 身份和访问管理............................................................................................................... 357 日志记录和监控............................................................................................................... 373 合规性验证..................................................................................................................... 374 故障恢复能力.................................................................................................................. 374 基础设施安全性............................................................................................................... 374 AWS Firewall Manager 配额..................................................................................................... 374 可变配额 ........................................................................................................................ 375 不可变配额..................................................................................................................... 376 AWS Shield.................................................................................................................................... 378 Shield 的工作方式................................................................................................................... 379 AWS Shield Standard 概览............................................................................................... 379 AWS Shield Advanced 概览.............................................................................................. 380 DoS 攻击的例子.............................................................................................................. 382 Shield 如何检测事件........................................................................................................ 383 Shield 如何缓解事件........................................................................................................ 385 DDoS 弹性架构示例................................................................................................................. 388 Web 应用程序的 DDoS 弹性示例....................................................................................... 389 TCP 和 UDP 应用程序的 DDoS 弹性示例 ........................................................................... 390 示例 Shield 高级用例............................................................................................................... 391 开始使用 ................................................................................................................................ 391 订阅 Shield canc............................................................................................................. 392 添加和配置保护............................................................................................................... 393 配置 SRT 支持................................................................................................................ 395 DoS 控制面板 CloudWatch 和 CloudWatch 警报.................................................................. 395 SRT 支持............................................................................................................................... 395 配置Shield 响应小组 (SRT) 的访问权限............................................................................... 396 配置主动联系.................................................................................................................. 397 联系 SRT....................................................................................................................... 398 使用 SRT 配置自定义缓解措施.......................................................................................... 398 资源保护 ................................................................................................................................ 399 按资源类型提供保护 ......................................................................................................... 399 应用层(第 7 层)保护..................................................................................................... 400 使用运行状况检查配置基于运行状况的检测 .......................................................................... 405 管理资源保护.................................................................................................................. 412 保护 .............................................................................................................................. 415 跟踪保护更改.................................................................................................................. 416 对 DDoS 事件的可见性............................................................................................................ 417 全球和账户活动............................................................................................................... 417 事件 .............................................................................................................................. 418 指标 .............................................................................................................................. 421 跨账户事件可见性 ............................................................................................................ 422 响应 DDoS 事件...................................................................................................................... 423 联系应用程序层攻击的支持人员 ......................................................................................... 423 手动缓解应用层攻击 ......................................................................................................... 424 在攻击之后申请服务抵扣金额 ..................................................................................................... 425 使用 Shield 服务的安全性......................................................................................................... 425 vi AWS WAF、AWS Firewall Manager 和 AWS Shield Advanced 开发人员指南 数据保护 ........................................................................................................................ 426 身份和访问管理............................................................................................................... 427 日志记录和监控............................................................................................................... 438 合规性验证..................................................................................................................... 439 故障恢复能力.................................................................................................................. 439 基础设施安全性............................................................................................................... 439 AWS Shield Advanced 配额...................................................................................................... 439 监控 .............................................................................................................................................. 441 监控工具 ................................................................................................................................ 441 自动化工具..................................................................................................................... 441 手动工具 ........................................................................................................................ 442 使用 进行监控 CloudWatch............................................................................................... 442 使用 AWS CloudTrail 记录 API 调用.......................................................................................... 449 AWS CloudTrail 中的 AWS WAF 信息 ................................................................................ 450 AWS Shield Advanced中的 信息 CloudTrail......................................................................... 456 AWS Firewall Manager中的 信息 CloudTrail........................................................................ 458 使用 AWS WAF 和 AWS Shield Advanced API.................................................................................... 460 使用 AWS 软件开发工具包 ....................................................................................................... 460 向发出 HTTPS 请求AWS WAF或 Shield Advanced....................................................................... 460 请求 URI........................................................................................................................ 460 HTTP 标头..................................................................................................................... 460 HTTP 请求正文............................................................................................................... 461 HTTP 响应............................................................................................................................. 462 错误响应 ........................................................................................................................ 462 对请求进行身份验证 ................................................................................................................. 463 相关信息........................................................................................................................................ 464 文档历史记录.................................................................................................................................. 465 2018 年之前的更新.................................................................................................................. 475 AWS词汇表.................................................................................................................................... 477 ............................................................................................................................................... cdlxxviii vii AWS WAF、AWS Firewall Manager 和 AWS Shield Advanced 开发人员指南 什么是AWS WAF,AWSShield,和 AWS Firewall Manager? AWS WAF是一种 Web 应用程序防火墙,可让您监视转发到受保护 Web 应用程序资源的 HTTP 和 HTTPS 请求。您可以保护以下资源类型: • 亚马逊 CloudFront 分布 • Amazon API Gateway • Application Load Balancer • AWS AppSyncGraphQL • Amazon Cognito 用户池 利用 AWS WAF 还可控制对您的内容的访问。根据指定的条件(如请求源自的 IP 地址或查询字符串的 值),您的受保护资源会使用所请求的内容、使用 HTTP 状态代码 403 (Forbidden) 来响应请求。 在最基本的情况下,AWS WAF 允许您选择以下行为之一: • 允许除您指定的请求之外的所有请求— 在您想要Amazon时,这非常有用 CloudFront、Amazon API Gateway、Application Load Balancer、AWS AppSync,或者 Amazon Cognito 为公共网站提供内容,但 您也想阻止攻击者的请求。 • 阻止除您指定的请求之外的所有请求— 当您想要为受限网站提供内容时,这很有用,该网站的用户可以通 过网络请求中的属性(例如他们用来浏览该网站的 IP 地址)进行识别。 • 统计符合您条件的请求— 您可以使用计数操作来跟踪您的网络流量,而无需修改处理方式。您可以将其用 于常规监控,也可以用于测试新的 Web 请求处理规则。当您想要允许或阻止基于 Web 请求中的新属性的 请求时,可以先配置AWS WAF计算与这些属性匹配的请求数。这使您可以在实施新的允许或阻止操作之 前确认新的配置设置。 • Run(运行)CAPTCHA检查符合您条件的请求— 你可以实现CAPTCHA控制请求以帮助减少流向受保护 资源的机器人流量。 使用 AWS WAF 有几个优势: • 使用您指定的标准提供额外保护,防止 Web 攻击。您可以使用 Web 请求的特征定义标准,例如: • 请求源自的 IP 地址. • 请求源自的国家/地区。 • 请求标头中的值. • 出现在请求中的字符串,可以是特定的字符串,也可以是匹配正则表达式 (regex) 模式的字符串。 • 请求的长度. • 存在可能是恶意的 SQL 代码 (称为 SQL 注入). • 存在可能是恶意的脚本 (称为跨站点脚本). • 可以允许、阻止或计数符合指定标准的 Web 请求的规则。或者,规则可以阻止或计算在任何 5 分钟时间 段内不仅满足指定标准而且超过指定请求数的 Web 请求。 • 可以重复用于多个 Web 应用程序的规则. • 来自 AWS 和 AWS Marketplace 卖家的托管规则组。 • 实时指标和采样的 Web 请求. • 使用 AWS WAF API 的自动化管理。 1 AWS WAF、AWS Firewall Manager 和 AWS Shield Advanced 开发人员指南 AWS Shield AWS Shield 您可以使用AWS WAFWeb 访问控制列表 (Web ACL) 可帮助最大限度地减少分布式拒绝服务 (DDoS) 攻击 的影响。为了进一步防御 DDoS 攻击,AWS还提供AWS Shield Standard和AWS Shield Advanced.AWS Shield Standard自动包含在内,除了您已支付的费用外,无需支付任何额外费用AWS WAF还有你的另一 个AWS服务。AWS Shield Advanced为您的 Amazon EC2 实例、Elastic Load Balancing 衡器提供扩展的 DDoS 攻击保护 CloudFront 分布、Route 53 托管区域和AWS Global Accelerator标准加速器。AWS Shield Advanced会产生额外费用。 有关 AWS Shield Standard 和 AWS Shield Advanced 的更多信息,请参阅 AWS Shield (p. 378)。 AWS Firewall Manager AWS Firewall Manager可简化跨多个账户和多种资源的管理和维护任务,以提供多种保护,包括AWS WAF,AWS Shield Advanced、Amazon VPC 安全组、AWS Network Firewall,以及Amazon Route 53 Firewall。使用 Firewall Manager,只需设置一次保护,即使您添加新账户和资源,该服务也会自动跨账户和 资源应用防护。 有关 Firewall Manager 的更多信息,请参阅 AWS Firewall Manager (p. 299)。 我应该使用哪一种? 您可以将 AWS WAF (p. 6)、AWS Firewall Manager (p. 299) 和 AWS Shield (p. 378) 一起使用来创 建全面的安全解决方案。 一切都从 AWS WAF 入手。你可以自动化,然后简化AWS WAF管理使用AWS Firewall Manager. Shield Advanced 在以下基础上增加了其他功能AWS WAF,例如Shield 响应小组 (SRT) 的专门支持和高级报告。 如果您希望对添加到您的资源的保护进行精细控制,单独使用 AWS WAF 是正确的选择。如果您希望跨账 户使用 AWS WAF、加快您的 AWS WAF 配置或自动执行新资源的保护,请将 Firewall Manager 与 AWS WAF 结合使用。 最后,如果您拥有高知名度网站或容易受到频繁的DDoS攻击,则应考虑购买Shield Advanced提供的其他功 能。 Note 要使用 SRT 的服务,您必须订阅业务Support 计划或者“企业” Support 计划. 2 AWS WAF、AWS Firewall Manager 和 AWS Shield Advanced 开发人员指南 第 1 步:注册一个 AWS 账户 设置 本主题介绍初步步骤,例如创建AWS 账户、准备使用AWS WAFAWS Firewall Manager、和AWS Shield Advanced。我们不会因为设置此账户和其他预备项目而对您收费。您只需为使用的 AWS 服务付费。 完成这些步骤后,请参阅 AWS WAF 入门 (p. 8)以继续开始使用 AWS WAF。 Note AWS Shield Standard 随 AWS WAF 提供,无需额外设置。有关更多信息,请参阅 AWS Shield 的 工作原理 (p. 379)。 首次使用 AWS WAF 或 AWS Shield Advanced 之前,请完成以下任务: • 第 1 步:注册一个 AWS 账户 (p. 3) • 第 2 步:创建 IAM 用户 (p. 3) • 第 3 步:下载工具 (p. 5) 第 1 步:注册一个 AWS 账户 当您注册 Amazon Web Services (AWS)AWS 账户 时,您会自动注册中的所有服务AWS,包括AWS WAF。 您只需为使用的服务付费。 如果您已有AWS 账户,请跳到下一个任务。如果您还没有AWS 账户,请使用以下步骤创建。 注册 AWS 1. 打开 https://portal.aws.amazon.com/billing/signup。 2. 按照屏幕上的说明进行操作。 在注册时,您将接到一通电话,要求您使用电话键盘输入一个验证码。 当您注册 AWS 账户 时,系统将会创建一个 AWS 账户根用户。根用户有权访问该账户中的所有 AWS 服务和资源。作为安全最佳实践,请 为管理用户分配管理访问权限,并且只使用根用户执行 需要根用户 访问权限的任务。 请记下您的AWS 账户号码,因为在下一个任务中您会用到它。 第 2 步:创建 IAM 用户 要使用 AWS WAF 控制台,您必须登录以确认您有权执行 AWS WAF 操作。您可以将根证书用于您的AWS 账户,但我们建议您不要这样做。为了提高账户的安全性和控制力,我们建议您使用AWS Identity and Access Management (IAM) 执行以下操作: • 为您自己或您的企业创建 IAM 用户账户。 3
Description:The list of books you might like
