此亚马逊云科技解决方案有何用途？

本解决方案可用于自动部署一系列 Amazon WAF https://www.amazonaws.cn/waf/（Web 应用程序防火墙） 规则，以过滤常见的基于 Web 的攻击。用户可以从预先配置的保护性功能中进行选择，这些功能用于定义 Amazon WAF Web 访问控制列表中包含的规则。部署完成后，Amazon WAF 可通过检查 Web 请求来保护 Application Load Balancers。您可以使用 Amazon WAF 创建自定义的、应用程序特定的规则，以阻止各种攻击模式，确保应用程序可用性、资源安全性，并防止过度消耗资源。

请查看实施指南：https://aws-gcr-solutions.s3.cn-north-1.amazonaws.com.cn/aws-waf-security-automations/latest/docs.zh.pdf

亚马逊云科技解决方案概述

Amazon WAF安全自动化解决方案对试图访问您的 Web 应用程序的请求提供精细控制。下图表示您可以使用该解决方案实施指南和随附的 Amazon CloudFormation 模板构建的架构。设计的核心在于 Amazon WAF Web ACL，它用作所有传入请求的集中检查和决策点。您选择激活的保护性功能将确定添加到您的 Web ACL 的自定义规则。

下图显示了您可以使用该解决方案实施指南和随附的 Amazon CloudFormation 模板自动部署的架构。

• Amazon 托管规则 (A)：此 Amazon 托管核心规则组合提供保护，避免各种常见的应用程序漏洞被利用或出现其他不必要的流量。

• 手动 IP 列表(B 和 C): 此组件可创建两个特定的 Amazon WAF 规则，从而使您可以手动插入您想阻止或允许的 IP 地址。

• SQL 注入 (D) 和 XSS (E)：此解决方案可配置两个本机 Amazon WAF 规则，这些规则旨在防止 URI、查询字符串或请求正文中的常见 SQL 注入或跨站点脚本 (XSS) 模式。

• HTTP 泛洪攻击 (F)：此组件有助于防止由来自特定 IP 地址的大量请求组成的攻击，如 Web 层 DDoS 攻击或暴力登录尝试。此功能的支持阈值是 5 分钟之内少于 100 个请求。

• 扫描程序和探测器 (G)：此组件可解析应用程序访问日志，以搜索可疑行为，例如源生成的异常错误量。然后，它将在客户定义的时间段内阻止这些可疑的源 IP 地址。

• IP 声誉列表 (H)：此组件是 IP 列表解析器 Amazon Lambda 函数，可每小时检查第三方 IP 声誉列表，以获取要阻止的新范围。

• 不良 Bot (I)：此组件可自动设置蜜罐，它是一种安全机制，旨在引诱并转移试图进行的攻击。

Q/A 问答

1

这个解决方案适用于什么场景？

A：所有需要使用 Amazon WAF 来为 Application Load Balancer 过滤常见 Web 攻击的业务场景，尤其是当客户需要自动部署常见的安全策略，从而轻松提高安全防护和节约时间的时候。

2

这个方案是如何运作的？

A：这个解决方案会部署一组 Amazon WAF Web ACL 规则，包含IP规则、XSS规则、SQL注入规则等，来过滤基于Web的攻击。解决方案还会部署多个Amazon Lambda函数，或在分析S3中存储的访问日志后触发，或通过CloudWatch周期性触发，来及时更新这些Web ACL规则。除此之外，如果客户启用Bat Bot功能，解决方案还会部署一个Amazon API Gateway和一个Amazon Lambda函数，作为蜜罐引诱并转移机器人试图进行的攻击。

3

这个解决方案的用户体验是什么样的？

A：客户只需要部署CloudFormation，就可以拥有自动升级的全套Amazon WAF规则，在无需人工干预的情况下自动防护常见Web攻击。客户可以在Amazon WAF服务中查看实时的ACL规则。

4

这个方案的使用成本如何？

A：您需要支付在运行此解决方案时使用的服务的费用。运行此解决方案的总费用主要取决于接收、存储和处理的数据量、Amazon API Gateway 接收的请求数量和 Amazon Lambda 调用数量。我们建议通过 Amazon Cost Explorer 创建预算，以帮助管理费用。有关完整详细信息，请参阅此解决方案中使用的各项服务的定价页面。

5

如何快速开始使用这个方案？

A：在为计划保护的ALB启用日志功能后，记录对应的S3存储桶名称。之后直接启动CloudFormation，输入S3存储桶名称并设置其他参数，启动部署，等待大约15分钟直到部署完成即可。

6

这个方案后续开发量是多少？

A：该解决方案部署后即可使用，无需开发。由于这是一个开源解决方案，因此，如果开箱即用的功能不符合您的要求，您可以根据GitHub中的源代码进行自定义。

7

这个方案可以在任何亚马逊云科技区域部署吗？

A：此方案目前只支持在亚马逊云科技中国区域（北京区域，宁夏区域）部署。

8

我可以将 Amazon WAF Security Automations

解决方案融入到我的现有 Web 应用程序防火墙

策略当中吗？

A：可以。您可以将现有规则和此解决方案创建的规则聚合为一个单一的 Web 访问控制列表 (ACL)。请注意，个别 Web ACL 受规则限制（现在称为配额）的约束；请参阅 Amazon WAF 开发人员指南了解详情。

https://docs.aws.amazon.com/waf/latest/developerguide/limits.html

9

我可以使用这些解决方案为多个 Web 应用程序

提供保护吗？

A：可以。在部署 Amazon WAF Security Automations 解决方案以后，您可以将其 Web ACL（以及解决方案所包含的所有规则）与多个 Web 应用程序关联。

10

能否扩展 AWS WAF Security Automations 

的功能？

A：可以。您可以修改及自定义任何一种解决方案提供的所有规则。在初始配置过程中，可使用模板参数来控制规则行为和 Amazon Lambda 功能的代码。

11

这些解决方案可以与我的第三方 Web 应用程序

防火墙集成吗？

A：不可以。这些规则特定于 Amazon WAF 服务。

听说，点完下面4个按钮

就不会碰到bug了！