1. 什么是 AWS WAF?
AWS WAF这款 Web 应用程序防火墙允许您配置规则,根据您定义的条件允许、阻止或监视(计数) Web 请求,从而帮助保护 Web 应用程序免受攻击。这些条件包括 IP 地址、HTTP 标头、HTTP 正文、URI 字符串、SQL 注入和跨站脚本。
2. AWS WAF 如何阻止或允许流量?
Amazone CloudFront 收到针对您网站请求的时候,会将这些请求转发至 AWS WAF,依据您的规则进行检查。一旦有请求符合您在规则中定义的条件,AWS WAF 便根据您定义的操作要求 Amazon CloudFront 阻止或允许相应的请求。
3. AWS WAF 如何保护我的网站或应用程序?
AWS 客户普遍使用 AWS 的 CDN 服务 Amazon CloudFront 来发送其网站和应用程序的内容,AWS WAF 已实现与 Amazon CloudFront 的紧密集成。您的规则会在世界各地终端用户附近的 AWS 边缘站点运行。这意味着安全保护无需以牺牲性能为代价。遭阻止的请求会在他们到达您 Web 服务器之前被阻断。
4. 我能用 AWS WAF 来保护未托管于 AWS 的网站吗?
可以,AWS WAF 与 Amazon CloudFront 集成,而后者支持 AWS 之外的自定义来源。
5. AWS WAF 能帮助阻止哪些类型的攻击?
AWS WAF 能保护您的网站,免受 SQL 注入和跨站脚本(XSS)这类常见攻击技巧的侵袭。此外,您还能自定义规则,阻止来自特定用户代理、恶意机器人或内容抓取程序的攻击。要了解更多示例,请参阅 AWS WAF 开发人员指南。
6. 我能否获得我账户发起的所有 AWS WAF API 调用的历史记录,用于安全性、操作性或合规性审核?
可以。要获得由您的账户发起的所有 AWS WAF API 调用的历史记录,只需在 CloudTrail 的 AWS 管理控制台中打开 AWS CloudTrail 即可。有关更多信息,请访问 AWS CloudTrail 主页或参阅 AWS WAF 开发人员指南。
7. AWS WAF 是否支持 IPv6?
支持,AWS WAF 对 IPv6 的支持使其可检查来自 IPv6 和 IPv4 地址的 HTTP/S 请求。
8. IPSet 是否符合支持 IPv6 的 AWS WAF Rule 条件?
符合,您可为新型及现有 WebACL 设置新的 IPv6 匹配条件,具体请参阅文档。
9.如适用,我是否可以在 AWS WAF 采样请求中看到 IPv6 地址出现?
可以。如适用,采样请求将显示 IPv6 地址。
10. 可以将 IPv6 与所有的 AWS WAF 功能搭配使用吗?
可以。您可以使用适用于 IPv6 和 IPv4 流量的所有现有功能,且不会对服务的性能、可扩展性或可用性造成显著影响。
1. 我能配置自定义错误页面吗?
可以,您能配置 CloudFront,在请求受阻止时显示自定义的错误页面。要了解更多信息,请参阅 CloudFront 开发人员指南
2. AWS WAF 要用多久才能让我的规则全面生效?
经过初始设置后,添加或更改规则通常需要一分钟左右的时间即可在世界各地全面生效。
3. 我能如何验证我的规则是否有效?
AWS WAF 含有两种不同的方式,帮助您确认您的网站受保护情况:您可以在 CloudWatch 获取每分钟的指标,同时您也可以从 AWS WAF API 或管理控制台中获取 Web 请求采样。您可以通过查阅这些信息,查阅到所有被阻止、获允许或经计数的请求,同时能看到每个请求是符合哪条规则(例如,此 Web 请求因符合 IP 地址条件而受阻止,等等)。要了解更多信息,请参阅 AWS WAS 开发人员指南。
4. 我该怎样测试我的规则?
AWS WAF 允许您为规则配置“计数”操作,统计符合您规则条件的 Web 请求数量。您可以查看经计数的 Web 请求数量,来预估您启用规则后,实际会被阻止或获允许的 Web 请求数量。
5. 实时指标和 Web 请求采样会储存多长时间?
实时指标储存在 Amazon CloudWatch 中。Amazon CloudWatch 允许您根据需要配置事件过期的时间。Web 请求采用会储存至多 2 个小时。
6. AWS WAF 能检查 HTTPS 流量吗?
能。AWS WAF 能帮助保护运行在 Amazon CloudFront 上的应用程序,且能够检查通过 HTTP 或 HTTPS 传输的 Web 请求。
