AWS WAF 的工作原理

您可使用 aws waf 控制 api 閘道器、amazon cloudfront 或應用程式負載均衡器如何響應 web 請求。您首先需建立條件、規則和 web 訪問控制列表 (web acl)。您需要定義條件、將條件合併為規則並將規則合併為 web acl。

條件

條件定義您希望 aws waf 在 web 請求中監視的基本特徵：

某些條件採用多個值。例如，您可以在 ip 條件中指定最多 10,000 個 ip 位址或 ip 位址範圍。

規則

您可將條件合併為規則，以精確鎖定要允許、阻止或計數的請求。aws waf 提供了兩種型別的規則：

常規規則

常規規則僅使用條件來鎖定特定請求。例如，根據您發現的來自某個攻擊者的最近請求，您可以建立乙個規則，其中包含以下條件：

當乙個規則中包括多個條件時，如本例所示，aws waf 會查詢匹配所有條件的請求，—即，它通過and將條件合併在一起。

基於速率的規則

基於速率的規則類似於常規規則，但增加了速率限制。基於速率的規則會每五分鐘統計一次來自指定 ip 位址的請求。如果請求數超過速率限制，則規則會觸發操作。

您可以將條件與速率限制結合起來。這樣，如果請求匹配所有條件，且請求數在任一五分鐘週期內超過速率限制，則規則將觸發 web acl 中所指定的操作。

例如，基於您發現的來自某個攻擊者的最近請求，您可以建立乙個基於速率的規則，包含如下條件：

在此基於速率的規則中，您還定義了乙個速率限制。在本例中，假設您建立了速率限制 15000。當請求既符合上述兩個條件又超過每 5 分鐘 15000 個請求的速率限制時，將觸發在 web acl 中定義的該規則的操作 (阻止或計數)。

不符合上述兩個條件的請求不會計入速率限制，也不會被此規則阻止。

還要將ratelimit指定為 15000。

通過向 web acl 中新增此基於速率的規則，您可以將請求限制在登入頁面，而不影響**其餘部分。

重要應至少向常規規則中新增乙個條件。不含任何條件的常規規則不能匹配任何請求，因此，也永遠不會觸發該規則的操作 (允許、計數、阻止)。

但是，對於基於速率的規則而言，條件是可選的。如果您沒有在基於速率的規則中新增任何條件，aws waf 則假定所有請求都匹配該規則，因此，當請求來自同乙個 ip 位址時，將計入速率限制中。若來自同一 ip 位址的請求數超過速率限制，則會觸發規則的操作 (計數或阻止)。

web acl

在您將條件合併為規則之後，您可將規則合併為 web acl。在其中可定義每個規則的操作—允許、阻止或計數—和預設操作：

每個規則的操作

當 web 請求匹配乙個規則中的所有條件時，aws waf可以阻止該請求，或者允許將該請求**到 api 閘道器 api、cloudfront 分配或應用程式負載均衡器。您可以指定希望 aws waf 為每個規則執行的操作。

aws waf 按照規則列出的順序，將請求與 web acl 中的規則進行比較。aws waf 隨後執行與請求匹配的第乙個規則關聯的操作。例如，如果某個 web 請求與允許請求的乙個規則以及阻止請求的另乙個規則匹配，則 aws waf 會根據先列出的規則來允許或阻止該請求。

如果您要先測試新規則，然後再開始使用它，則還可以將 aws waf 配置為對滿足規則的所有條件的請求進行計數。與允許或阻止請求的規則一樣，對請求進行計數的規則受其在 web acl 的規則列表中的位置的影響。例如，如果乙個 web 請求匹配允許請求的規則，同時又匹配另乙個對請求進行計數的規則，那麼如果允許請求的規則先列出，則不對請求進行計數。

預設操作

此預設操作決定 aws waf 是允許還是阻止不匹配 web acl 中任何規則中所有條件的請求。例如，假設您建立乙個 web acl，並僅新增您在前面定義的規則：

如果某個請求不滿足該規則中的所有三個條件，並且預設操作是allow，則 aws waf 會將該請求**到 api 閘道器、cloudfront 或應用程式負載均衡器，服務會使用請求的物件進行響應。

僅當有請求既不滿足第乙個規則的所有三個條件，也不滿足第二個規則的乙個條件時，aws waf 才執行預設操作。

下圖顯示 aws waf 如何檢查規則並基於這些規則執行操作。

AWS WAF 的工作原理

簡述hdfs工作原理 HDFS的工作原理

ogg mysql的原理 OGG工作原理

SNMP的工作原理

AWS WAF 的工作原理

簡述hdfs工作原理 HDFS的工作原理

ogg mysql的原理 OGG工作原理

SNMP的工作原理

相關推薦