写点什么

使用基于速率的 AWS WAF 规则保护网站和服务

  • 2019-11-13
  • 本文字数:1258 字

    阅读完需:约 4 分钟

使用基于速率的 AWS WAF 规则保护网站和服务

AWS WAF (Web 应用程序防火墙) 可帮助您的应用程序防御涉及恶意或错误格式请求的很多种应用程序层攻击。我在介绍此服务的第一篇文章 (New – AWS WAF) 中讲过,您可以定义与跨站点脚本、IP 地址、SQL 注入、大小或内容限制匹配的规则:



当传入请求符合规则时,将调用操作。操作可以是允许、阻止或只是对匹配项计数。现有规则模型非常强大,让您能够检测许多不同类型的攻击并予以响应。但是,对于只是包含大量来自某特定 IP 地址的有效请求的攻击,该规则模型无法作出响应。这些请求可能是 Web 层的 DDoS 攻击、暴力登录尝试,甚至是合作伙伴集成出错。


基于速率的新规则


现在我们将在 WAF 中增加基于速率的规则,这样您就能控制何时对黑名单添加或删除 IP 地址,并可以灵活处理异常和特殊情形:


将 IP 地址加入黑名单 – 您可以将发出请求的、速率超出所配置的速率阈值的 IP 地址加入黑名单。


IP 地址跟踪 – 您可以看到哪些 IP 地址当前被加入了黑名单。


删除 IP 地址 – 已加入黑名单的 IP 地址如果不再以高出所配置阈值的速率发出请求,则将自动从黑名单中删除。


IP 地址免审核 – 您可以在基于速率的规则中使用 IP 地址白名单免于将特定 IP 地址加入黑名单。例如,您可能希望允许可信赖的合作伙伴以较高的速率访问您的站点。


监控和报警 – 您可以通过针对每条规则发布的 CloudWatch 指标进行监控和发出警报。您可以结合基于速率的新规则和 WAF 条件实施精细的速率限制策略。例如,您可以使用基于速率的规则和与您的登录页面匹配的 WAF 条件。这样,您可以对登录页面设置较为严格的阈值 (以避免暴力密码攻击),而对于市场推广或系统状态页面设置较为宽松的阈值。阈值按照 5 分钟内来自单个 IP 地址的传入请求数定义。一旦超出此阈值,来自该 IP 地址的额外请求就会被阻止,直至请求速率降至阈值之下。


使用基于速率的规则 下面演示如何定义基于速率的规则来保护您网站的 /login 部分。首先在网页 URI 中定义一个与期望的字符串匹配的 WAF 条件:



然后,使用此条件来定义基于速率的规则 (该速率限制以 5 分钟时间段内的请求数表示,但一旦突破此限制,黑名单机制立即启动):



在定义好条件和规则之后,创建一个 Web ACL (ProtectLoginACL) 将这些都整合起来并与 AWS 资源 (在本例中为 CloudFront 分配) 关联:



然后将规则 (ProtectLogin) 与该 Web ACL 连接:



现在,将根据该规则和 Web ACL 保护该资源。您可以监控相关联的 CloudWatch 指标 (在本例中为 ProtectLoginProtectLoginACL)。您甚至可以创建 CloudWatch 警报,并使用这些警报在突破保护阈值时触发 Lambda 函数。此代码可以检查违反规则的 IP 地址,并作出业务驱动的复杂决策,比如添加一条白名单规则,对可信赖的合作伙伴或具有特殊付款计划的用户提供格外宽松的政策。


现已推出 基于速率的新规则现已提供,您可以立即开始使用!基于速率的规则与常规的规则同样定价;请参阅 WAF 定价页面了解更多信息。


本文转载自 AWS 技术博客。


原文链接:


https://amazonaws-china.com/cn/blogs/china/protect-web-sites-services-using-rate-based-rules-for-aws-waf/


2019-11-13 08:00880

评论

发布
暂无评论
发现更多内容

职场<火焰杯>测试开发大赛决赛倒计时:仅剩5天!

测吧(北京)科技有限公司

测试

MacOS远程管理软件哪款好?Royal TSX mac破解版

理理

axure RP10(原型设计软件)

理理

FILE+POS 方式 GreatSQL 主从复制架构给主节点磁盘扩容

GreatSQL

Sentieon应用教程:本地使用-Quick_start

INSVAST

基因数据分析 生信服务

万界星空科技MES:磷酸铁锂正极新材料生产管理系统

万界星空科技

mes 万界星空科技 新材料mes ​磷酸铁锂MES ​磷酸铁锂行业

Charles for Mac:高效过滤与重发请求,让调试工作事半功倍

Rose

阿里云获评AI基础设施服务产品力全球第二!微软、苹果卸任OpenAI董事会观察员!|AI日报

可信AI进展

人工智能

Proxyman Premium for Mac:解锁网络调试与监控的新境界

Rose

Autodesk AutoCAD 2024下载 含破解补丁 cad2024中文版安装包

理理

Microsoft Excel 2019 (excel电子表格) mac破解版

理理

SketchUp2024最新版(su建模软件,草图大师2024中文版)

理理

VMware Fusion 12 Mac版 vm虚拟机 v12.2.5激活版

理理

Hologres+Flink企业级实时数仓核心能力介绍

阿里云大数据AI技术

大数据 flink 实时数仓 hologres

MacOS停靠在菜单栏的系统监视工具Stats for mac

Rose

Intercontinental Exchange, Inc. 宣布突破性的ICE.AI将在2024年7月15日正式登场

科技热闻

Dynamic Wallpaper v18.8中文版 臻选4K高清动态壁纸

理理

GreatSQL 构建高效 HTAP 服务架构指南(主从复制)

GreatSQL

智能合约和分布式应用管理系统:技术革新与未来展望

天津汇柏科技有限公司

智能合约 分布式

职场<火焰杯>测试开发大赛决赛倒计时:仅剩5天!

测试人

软件测试

中信出版集团携手火山引擎,共塑数智出版新生态

新消费日报

Intercontinental Exchange, Inc. 宣布突破性的ICE.AI将在2024年7月15日正式登场

科技汇

人类警惕!AI是个大骗子!

博文视点Broadview

华为音乐与一样音乐达成版权合作,李荣浩经典歌曲强势登录

最新动态

使用基于速率的 AWS WAF 规则保护网站和服务_语言 & 开发_亚马逊云科技 (Amazon Web Services)_InfoQ精选文章