西部数码网站管理助手v4.0,手机上编写html的软件,教育类网站开发模板,公司手机网站建设公司文章目录 1 前言2 新手第一步3 实践3.1 了解托管规则3.2 编写自己的DIY规则3.3 配置实战A#xff0c;控制泛洪攻击#xff08;攻击请求速率#xff09;3.4 配置实战B#xff1a;当检查到特定路径请求的时候拒绝对方的试探 4 更进一步4.1 什么是合理的规则设计#xff1f;如… 文章目录 1 前言2 新手第一步3 实践3.1 了解托管规则3.2 编写自己的DIY规则3.3 配置实战A控制泛洪攻击攻击请求速率3.4 配置实战B当检查到特定路径请求的时候拒绝对方的试探 4 更进一步4.1 什么是合理的规则设计如何利用好AWS的分层结构4.2 几个重要的AWS WAF 概念及简易运用标签 和 标签组 4.3 进一步提升你的WAF防御可以考虑问题4.4 管理WAF日志的方案选型心得4.4.1 用 CloudWatch Logs Insights 分析WAF日志4.4.2 用自建ES Kibana管理WAF日志4.4.3 用 AWS OpenSearch 来管理WAF日志 1 前言 题图是Security Automations for AWS WAF 架构图。描绘了 AWS WAF 如何筛选对各种 AWS 资源的 Web 请求、存储来自 AWS WAF 的日志以及监控威胁日志。
当你开始使用WAFWeb Application Firewall时你便能为其后的内容提供保护。WAF不仅可以配置复杂的规则来判断请求是否为攻击或不需要的流量还有另一种有趣的玩法通过AWS Lambda进行动态控制。
想象一下如果某个IP正在进行多次恶意请求仅仅拦截单次请求可能会被对方轻易绕过。这时我们可以借助AWS Lambda的WAF日志分析器或CloudWatch等工具进行感知并动态地添加IP声誉列表来控制攻击源或向管理员发出警报。
AWS WAF与亚马逊的其他服务完美结合玩法多样绝不仅仅是静态的防护盾牌。当然在此之前你需要对WAF有一个基本的了解。接下来我将通过详细的步骤指导你配置一个全新的WAF作为起点。
2 新手第一步
假设你已经拥有一个空白的WAF 第一步找到你的WAF
继续让我们选择它你的可能叫别的名字显然这并不重要如果你的伙伴没有为你配置需要你自行创建一个ACL
左侧的功能分页说明一下
编辑规则主要看 Rules
2号位置就是规则区了3号可以手工添加一条规则
3 实践
3.1 了解托管规则
我们先手工添加一条规则尝试 你有两个选项 Add managed rule groups: 即添加托管规则 Add my own rules and rule groups: 添加自定义规则
我们会发现AWS WAF的规则是串型执行Priority一列就是顺序。 这里列出的是AWS 付费2023年12月31日的3种托管规则集
这里列出11种 AWS 免费的托管规则
此外还提供了一些三方不同厂商提供的付费托管规则OWASP TOP10等应有尽有 总之托管规则应有尽有但因为其面向通用场景而不能完全适配我们自己的业务还是需要我们动手DIY一些适合我们的规则。
3.2 编写自己的DIY规则 点击 Add my own rules and rule groups 添加自定义规则
默认是 Rule visual editor: 即可视化编辑器
点击 Rule JSON editor 进入JSON编辑器此模式的优点是
方便快速复制方便多级嵌套条件编写 可视化只支持一层的逻辑判断举个例子 如果 http.method “options” 则继续判断 如果 http.url 开头是 “/api” 则允许 因为涉及两级判断所以只能使用 Rule JSON editor模式了。。。 下图 显示了*** Rule JSON editor*** 模式
这也就是 AWS WAF的所谓高级编辑模式了。
3.3 配置实战A控制泛洪攻击攻击请求速率
只用可视模式
目标是 当用户请求 每five(5)分钟 达到 600次的时候就Block拒绝对方。直到对方速度低于此速度。 AWS的槽点在于只能 配置每5分钟。。。
配置如下
点击Save Rules此时你的WAF便具有了一定的HTTP泛洪防御能力。
3.4 配置实战B当检查到特定路径请求的时候拒绝对方的试探
actuator攻击是一种很常见的试探攻击处理不当很可能导致信息泄露等威胁。 所以我们的WAF可以如此配置 当请求URI中涉及 actuator则Block阻断 配置如下图
至此你又拥有了另一个安全规则。
4 更进一步
4.1 什么是合理的规则设计如何利用好AWS的分层结构
现在你可以根据你的防御需求来尝试调配自己的规则了
这里提供一种WAF配置思路结合了官方的建议
可以从上到下添加至少如下的检查规则分别为
白名单黑名单速率控制也就是HTTP泛洪攻击防护自定义的防护任务托管规则
4.2 几个重要的AWS WAF 概念及简易运用
标签 和 标签组 是什么 什么场景下使用 为了后面的规则能判断前面的规则是否识别出特定问题了
使用前面的例子如果我发现对方在尝试高频率请求可以不直接拒绝而是 使用 Count 统计再打一个标签high_speed)高频率如下图 后面的其他规则通过通过判断是否为高频率 而进一步做出决策例如下下图一个名为anti_attack的规则
至此相比你已经了解了标签的最主要的用法。
4.3 进一步提升你的WAF防御可以考虑问题
当然你需要根据你要防护服务器的实际情况进一步完善思考以下几个问题
能否对白名单的IP也可以进行安全检查 而不是因为对方是白名单就可以放弃对它的进一步安全分析能否分级观察不同的压力情况以辅助安全检查员做出安全决策能否更多统一的建立对攻击流量的标签分析当你的业务是从中途开始上WAF该如何解决冲突又不危害现有业务的正常工作如何动态的改变WAF通过其他AWS服务 使WAF能够变成的动态、有机的防御设施
4.4 管理WAF日志的方案选型心得
4.4.1 用 CloudWatch Logs Insights 分析WAF日志
优势语法较简洁查询快在线趋势显示好。 缺点比较贵查询按次收费
4.4.2 用自建ES Kibana管理WAF日志
优势便宜 缺点
保存时间可能跟其他日志混合无法长期如果你们运维解决了这个问题也还好。需要进一步对WAF的日志做解析ES默认是不理解WAF的自定义结构的。识别不出更进一步的字段导致你得下载下来进一步的分析。这样失去了在线查询的意义。
4.4.3 用 AWS OpenSearch 来管理WAF日志
优势其实它也是 Kibana。但是增加了官方的自己服务的数据解析让你可以任意查询WAF数据。 缺点比自建ES Kibana要有一点成本。需要租一台AWS的服务器并为此付费建议是内存优化类型的
