AWS WAF实战、优势对比和缺陷解决

这篇具有很好参考价值的文章主要介绍了AWS WAF实战、优势对比和缺陷解决。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。


笔者为了解决公司Web站点防御性问题,较为深入的研究AWS WAF的相关规则。面对上千万的冲突,笔者不得设计出一种能漂亮处理冲突数据WAF规则。
AWS WAF实战、优势对比和缺陷解决,aws,网络,云计算

AWS WAF开发人员在线指南

挑战和目标

笔者意图引进WAF,但运维同学折腾了几个月都没有开启WAF成功,面临有以下挑战和目标:

  • 解决大量与现有业务的冲突
  • 尽可能的Block掉攻击流量
  • 风险操作统一管理(统一给一个标签出来)方便我们监控

笔者只能接管WAF的配置权限,设计WAF规则,并最终解决了相关落地问题。

AWS WAF的优势

  1. 高度可配置 相对阿里来说
  2. 纯JSON语言 DSL(领域内语言)

AWS WAF的不足

  1. 缺乏可视化编辑能力
    非常容易漏,即一个请求没有经过深度检测就被放过的可能
    这里举个例子,如果我们检查一个请求具有客户端特征,如果我们选择了Accept就意味着这个请求将被特赦,无法再对其进行任何检查。
    所以Accept动作是一个非常风险的设计动作。特别是当你的WAF已经设计比较复杂的时候。

  2. 对于官方的托管规则存在以下问题:
    三个问题其实是一个问题,如何关闭特定托管子项,AWS的托管规则子项仅存在这种选择: Count,Accept,Block。想关都不关不掉。

    a. 无法重复两次使用同一种托管规则
    b. 无法删除被打上的标签
    c. 无法关闭托管规则的子项:真乃一荣俱荣,一损俱损
    如果无法关闭特定标签,后面就无法直接使用特定的命名空间进行判断.
    因为拖管规则命名空间被一些需要根据业务关闭而又无法关闭的标签给污染了,导致后面每次使用该命名空间要么都要判断排除,要么就不能使用该命名空间,而需要独立使用子项(可能包含了数十种子项).
    总之就是自虐.
    当然我们做了解决:通过自定义的Filter规则,来替代AWS的特定拖管规则,在Filter规则里对特定不符合业务的子托管规则进行剔除操作.

  3. 在线编辑功能,只能两层(横向)
    超出的部分就只能在线编辑,JSON的提示真是非人语言

我是怎么做的?

  1. 解决可视化问题
    制作了可视化工具,能解析AWS 的WAF JSON.
    特别是对Accept/Block/Count的目标和各规则之间关系进行了解析和展示.
  2. 关闭特定托管规则子项
    过自定义的Filter规则,来替代AWS的特定拖管规则,在Filter规则里对特定不符合业务的子托管规则进行剔除操作.
  3. 在线编辑只能两层
    只能强行用复制粘贴方法了.在一个规则里测试好,再复制出来.
    幸亏我22层规则是纵向的,横向的只有2-3层的样子.

什么是比较好的AWS WAF设计?

我认为做到以下几点可称为好的AWS WAF设计:

  1. 流量过滤器
  2. 干掉纯IP流量
    如果你的服务器不需要支持纯IP连接的话.纯IP真是万恶之源.
  3. 给优先用户一些标签
    给登录用户一个标签,给公司出去流量一个标签
  4. 对托管规则做一个适合业务的裁剪(通过上面提到Filter规则)
  5. 集中管理
    也就是各层判断根据判断结果打标签,一概不做Block.
    等所有标签决策投票完毕后,有任何问题的,继续走:Will_Ban层
    由决策层统一做判断:
    比如是我们的保护路径或者登录用户我们就纳入Manual层,做记录,放行
    其他自然流入最底的Tail_End进行Block.

最终笔者将以上5点扩展为具体规则,编写一个22层的WAF来解决了相关问题。文章来源地址https://www.toymoban.com/news/detail-656762.html

到了这里,关于AWS WAF实战、优势对比和缺陷解决的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • AWS亚马逊云注册图文详细教程,多币种充值优势分析

    一、介绍。 AWS(亚马逊云)还是很不错的,特别是拿热销的云服务器EC2来说,实例类型就分为了通用、计算优化、内存优化、加速计算、存储优化几个方面进行分类,满足用户多方面的需求,而且具有很多附加功能,帮助用户部署、管理和扩展应用程序。AWS代付代充值,可以

    2024年02月02日
    浏览(49)
  • 阿里云和AWS对比研究三——存储产品对比

    ​ 所谓的云计算的”传统业务“其实就是存储和计算这两大块了。总体来说这两部分是整个云计算服务的基础构件,所有的其他衍生的服务很多都需要基于存储和计算这两部分的内容。计算机技术最本质的功能就是计算和存储。 ​ 云存储服务的对象存储又是储存服务中最重

    2024年01月22日
    浏览(48)
  • Google Cloud 与 AWS对比

    1.1:计算服务 每个云平台都提供各种计算服务。 如果您想要完全灵活地管理用于运行您的应用程序的操作系统、软件和硬件,您需要使用基础架构即服务选项。但是,有了灵活性,您就会承担很多责任。 如果您想减少您的责任(关于扩展、可用性和持久性),您可能希望在

    2024年02月06日
    浏览(47)
  • 专访丨AWS量子网络中心科学家Antía Lamas谈量子计算

    ​ Antía Lamas Linares(图片来源: 网络) 47岁的Antía Lamas Linares出生于西班牙西北部的圣地亚哥德孔波斯特拉。她在当地学习物理学,然后在牛津大学和加利福尼亚继续深造。后来,她在新加坡领导了亚马逊网络服务(AWS)量子网络中心。 近年来,她致力于研究量子计算,这个

    2024年02月05日
    浏览(51)
  • AWS和阿里云对比研究二—阿里云

    相比于AWS,阿里云的诞生相对晚了很多。当时,亚马逊的AWS在美国已经非常成功。阿里在2008年的时候首次提出了去IOE的口号,而阿里云的起点也是那年的10月。彼时无论是阿里还是国内的其他互联网企业都极为依赖于IBM的小型机,EMC的存储和Oracle的数据库。这些小型机,存储

    2024年02月11日
    浏览(59)
  • 云原生-AWS EC2使用、安全性及国内厂商对比

    本文通过实操,介绍了EC2的基本使用,并在功能、安全性上与其他厂商进行对比。 EC2(Elastic Compute Cloud)是AWS云中的服务器,提供按需、可扩展的计算能力。本文以Linux为例。下图是EC2的位置。 Instance就是EC2,它被Security group(安全组)保护着,持久性存储使用了EBS( Elastic Block St

    2024年02月08日
    浏览(52)
  • 向量数据库X云计算驱动大模型落地电商行业,Zilliz联合AWS探索并贡献成熟解决方案

    近日,由Zilliz 联合亚马逊云科技举办的【向量数据库 X 云计算 驱动大模型落地电商行业】活动在上海落幕,获得业内专业人士的广泛好评。 众所周知,大模型技术的发展正加速对千行万业的改革和重塑,向量数据库作为大模型的海量记忆体、云计算作为大模型的大算力平台

    2024年02月08日
    浏览(43)
  • AWS基于x86 vs Graviton(ARM)的RDS MySQL性能对比

    这是一个系列。在前面,我们测试了阿里云经济版(“ARM”)与标准版的性能/价格对比;华为云x86规格与ARM(鲲鹏增强)版的性能/价格对比。现在,再来看看AWS的ARM版本的RDS情况 在2018年,AWS首次推出Graviton EC2实例,2020年7月AWS RDS正式支持Graviton 2的实例,就在前两天,在最

    2024年02月05日
    浏览(40)
  • AWS Lambda函数实战

    实战效果:开发一个函数,它会关注事件中的某个名字,并返回“Hello名字!”。如果输入事件没有提供名字,则函数返回一个更加通用的问候语“Hello World!”。 AWS Lambda接口可以通过AWS命令行或可在服务器、浏览器及移动设备上运行的AWS软件开发包(SDK)来调用。 首先要在

    2024年01月22日
    浏览(61)
  • AWS Cognito 实战指南

    Amazon Cognito 是 AWS 提供的一项身份验证和访问控制服务,适用于构建安全的用户身份验证和访问控制功能。本指南将介绍如何使用 AWS Cognito 创建用户池和身份池,并在 Java 、 Python 和JavaScript应用程序中实现用户注册和登录功能。 登录 AWS 控制台。 在服务列表中选择 \\\"Cognito\\\"。

    2024年01月22日
    浏览(57)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包