上云是大势所趋,相信很多企业已经意识到这一点,无论是已经迁移上云的还是打算上云的企业,都对数据安全尤其关注,他们对此也有一些疑问。
问题一:
想要迁移上云,但是在安全上还是有顾虑,如果遇到一些常见的网络攻击怎么办呢?
今天就跟大家说一说,针对常见的网络攻击,我们可以如何来防护?
Amazon Web Services 的 WAF 是一种 Web 应用程序防火墙,可帮助保护您的 Web 应用程序或 API 免遭常见 Web 漏洞的攻击,这些漏洞可能会影响可用性、损害安全性或消耗过多的资源。
问题二:
Amazon WAF这项服务可以帮忙解决哪些安全风险?
您可以通过适用于 Amazon WAF 的托管规则快速入门,这是由 Amazon Web Services 托管的一套预配置规则。适用于 WAF 的托管规则可以解决 OWASP 十大安全风险等,包括:SQL注入、失效的身份认证和会话管理、跨站、安全错误配置、敏感数据暴露等问题。
这些规则会随新问题的出现定期更新。Amazon WAF 包含功能全面的 API,借此您可以通过安全规则的创建、部署和维护实现自动化。
问题三:
这项服务看起来全面又实用,会不会使用起来很贵?
使用 Amazon WAF,您只需按使用量付费。定价基于您部署的规则数量和您的应用程序收到的 Web 请求数量。
问题四:
听起来不错,具体怎么实现呢?
下面和大家分享一个Demo,利用WAF 服务中的基于访问IP 指定时间内的请求速率来限制IP 的异常访问,确保网站的正常请求的访问。
架构示意图:
Amazon WAF 中规则配置:
1. 信任用户的IP被添加在白名单,允许每5分钟允许发起超过100次或100次以上的请求,具体次数可以按需求设置访问频次的梯度。
2.非信任用户的请求会被限制在100次以内,如每5分钟请求超过100次,将会被WAF规则判定为异常访问,且请求IP 会被放入黑名单禁止继续访问,确保其他正常请求的访问,保护后端服务处理正常的请求。
搭建一套如上图所示的WebServer应用集群,前端通过CloudFront 来访问。WAF具体部署配置步骤如下:
Step1.
创建WAF
Step2.
进入IP addresses 菜单
Step3.
创建条件
Step4.
设置白名单IP集
Step5.
添加信任的IP至白名单集
Step6.
重复上述步骤,创建更高级别的访问IP集的白名单(可选)
Step7.
创建Amazon WAF 规则
给对应的白名单集设置访问规则
本条规则,实现非IPListLevel1、IPListLevel2列表中的其他地址(默认地址)访问限制为100次/5mins,超过限制将会被阻挡。
继续创建其他访问规则,创建规则RateLimitLevel-1,Rate Limit :200
在IP列表中设置问IPlist-2
本条规则,实现IPListLevel2列表中的地址访问限制为500次/5mins,超过限制将会被阻挡。
Step8.
在Web Acls菜单中,创建Create Web ACL,设置Web ACL name,添加关联的Amazon Web Services资源。
Step9.
将先前创建的3条规则添加进去,点击Review and Create
Step10.
验证WAF ,在浏览器多次访问关联的Amazon Web Services资源(本案例中为CloudFront)
访问如果超过限制后会被阻挡,同时,在WAF 中可以查看到被具体规则下阻挡的IP地址。
若您对以上操作有任何疑问的地方,可以随时联系我们。伊克罗德已经获得Amazon Web Services 官方授予的 Amazon WAF 的能力认证,我们专业的技术人员可以协助您解决操作上的困难或其他技术需求。