AWS WAFv2 自动保护 API 网关实现指南

已于 2024-08-10 16:09:14 修改
阅读量411 收藏 6
点赞数 9
文章标签: 网络 云计算 aws
于 2024-08-10 16:07:40 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_85233349/article/details/141092094
版权

       欢迎来到云闪世界。Amazon WAF 是一个 Web 应用程序防火墙,可帮助保护 Web 应用程序和 API 外壳攻击。通过它,您可以配置一组规则(称为 Web 访问控制列表,即 Web ACL),基于可自定义的Web安全规则以及您定义的条件,允许、阻止或统计Web请求。

您可以使用 Amazon WAF 保护 API Gateway REST API 接收常见的 Web 漏洞攻击,例如 SQL 注入和跨站脚本攻击(XSS)。这些威胁可能会影响 API 的可用性和性能、损害安全性或消耗过多的资源例如,您可以创建规则以允许或阻止以下请求:来自指定 IP 地址范围的请求;来自 CIDR 块的请求;源自特定国家/地区或区域的请求;包含恶意 SQL 代码的请求;或者包含恶意脚本的请求。

您还可以使用 HTTP 标头、方法、查询字符串、URI 和请求正文中的指定字符串或正则表达式模式匹配的规则(限制为之前创建 64 KB)。此外,您还可以创建规则来阻止来自特定的规则用户代理、恶意机器人和内容程序会吸引攻击。例如,您可以使用基于速率的规则来指定每个客户端 IP 在尾随的、不断更新的 5 分钟内允许的 Web 请求数。

Amazon WAF 是抵御 Web 漏洞攻击的第一道防线。在 API 上启用 Amazon WAF 时,会先评估 Amazon WAF 规则,然后再评估访问控制特征,例如资源策略其他IAM 策略Lambda 授权方Amazon Cognito 授权方。例如,如果 Amazon WAF 阻止从资源策略允许的 CIDR 块进行访问,Amazon WAF 将优先进行并且不降低资源策略。

要为 API 启用 Amazon WAF,您需要执行以下操作:

  1. 使用 Amazon WAF 控制台、Amazon SDK 或 CLI 创建一个 Web ACL,其中包含 Amazon WAF 托管式规则和您自己的自定义规则的所需组合。有关更多信息,请参阅Amazon WAF 入门Web 访问控制列表(网络 ACL)
  3. API Gateway 需要区域应用程序的 Amazon WAFV2 Web ACL 或 Amazon WAF Classic Regional Web ACL。

4. 将 Amazon WAF Web ACL 与 API 阶段关联。您可以使用 Amazon WAF 控制台、Amazon SDK、CLI 或使用 API Gateway 控制台来完成此操作。

使用 API Gateway 控制台将 Amazon WAF Web ACL 与 API Gateway API 阶段相关联

要使用 API Gateway 控制台将 Amazon WAF Web ACL 与现有的 API Gateway API 阶段相关联,请按以下步骤操作:

  1. 通过以下网址登录到 Amazon API Gateway 控制台:https://console.aws.amazon.com/apigateway
  2. 选择现有 API 或创建新 API。
  3. 在主导航中,选择阶段,然后选择一个阶段。
  4. 阶段详细信息部分中,选择编辑
  5. Web应用程序防火墙(Amazon WAF)下,选择您的Web ACL。
  6. 如果您正在使用 Amazon WAFV2,请为区域应用程序选择 Amazon WAFV2 Web ACL。Web ACL 及其使用的任何其他 Amazon WAFV2 资源都必须与您的 API 位于相同区域中。
  7. 如果您使用的是 Amazon WAF Classic Regional,请选择区域 Web ACL。
  8. 选择保存更改(保存更改)

使用 Amazon CLI 将 Amazon WAF Web ACL 与 API Gateway API 级别相关联

要使用 Amazon CLI 将区域应用程序的 Amazon WAFV2 Web ACL 与现有的 API Gateway API 阶段相关,请调用associate-web-acl命令,如以下示例中所示:

aws wafv2 关联 Web ACL \ 
--web-acl-arn   arn:aws:wafv2: {区域} :111122223333 :region/webacl/test-cli/a1b2c3d4-5678-90ab - cdef- EXAMPLE11111 \ 
--resource-arn arn:aws:apigateway: {区域} ::/restapis/ 4wk1k4onj3/stages/prod

要使用 Amazon CLI 将 Amazon WAF Classic Regional Web ACL 与现有的 API Gateway API 阶段相关联,请调用associate-web-acl命令,如以下示例中所示:

aws waf-region 关联-web-acl \ 
--web-acl- id  'aabc123a-fb4f-4fc6-becb-2b00831cadcf' \ 
--resource-arn 'arn:aws:apigateway:{region}::/restapis/4wk1k4onj3/stages/prod'

使用 Amazon WAF REST API 将 Amazon WAF Web ACL 与 API 阶段相关联

要使用 Amazon WAFV2 REST API 将区域应用程序的 Amazon WAFV2 Web ACL 与现有的 API Gateway API 阶段相关联,请使用AssociateWebACL命令,如以下示例中所示:

导入 boto3 
 
wafv2  = boto3.client( 'wafv2' )
wafv2.associate_web_acl(
    WebACLArn ='arn:aws:wafv2:{区域}:111122223333:区域/webacl/test/abc6aa3b-fc33-4841-b3db-0ef3d3825b25',
    ResourceArn ='arn:aws:apigateway:{区域} :: / restapis / 4wk1k4onj3 / stages / prod'

要使用 Amazon WAF REST API 将 Amazon WAF Classic Regional Web ACL 与现有的 API Gateway API 阶段相关,请使用AssociateWebACL命令,如以下示例中所示:

导入 boto3 
 
waf  = boto3.client( 'waf-region' ) 
 
waf.associate_web_acl( 
    WebACLId= 'aabc123a-fb4f-4fc6-becb-2b00831cadcf',
    ResourceArn= 'arn:aws:apigateway:{region}::/restapis/4wk1k4onj3/stages/prod'
 )

感谢关注云闪世界。(aws 解决方案架构师 vs 开发人员&GCP 解决方案架构师 vs 开发人员)

订阅频道(https://t.me/awsgoogvps_Host)
TG交流群(t.me/awsgoogvpsHost)

#aws api 网关 cli #aws cli #aws 攻击包

数云界
关注
  • 9
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
如何使用 AWS HTTP API 创建 API 代理网关
06-22
在构建现代化的应用程序时,API 代理网关扮演着至关重要的角色,它们充当客户端与后端服务间的桥梁,确保通信的安全性和效率。AWS HTTP API 是一种简化版的 API 网关服务,专为需要快速搭建和扩展 API 的场景设计。...
terraform-aws-wafv2:使用AWS WAFv2AWS托管规则集创建WAF
02-04
terraform-aws-wafv2 创建AWS WAFv2 ACL并支持以下内容 AWS托管规则集 与应用程序负载平衡器(ALB)关联 阻止IP集 全球IP速率限制 不同URL的自定义IP速率限制 自2020年12月2日起,AWS GovCloud不支持...
aws api gateway 网关的身份和访问管理
sinat_27016095的博客
01-23 1058
AWS身份和访问管理(IAM)是一项AWS服务,帮助管理员安全地控制对AWS资源的访问。IAM管理员控制谁可以被认证(登录)和授权(拥有权限)使用API网关资源。IAM是一项AWS服务,你可以使用,无需额外收费。 Audience 你如何使用AWS身份和访问管理(IAM)是不同的,这取决于你在API Gateway所做的工作。 服务用户 - 如果你使用API Gateway服务来做你的工作,那么你的管理员就会为你提供你所需要的凭证和权限。当你使用更多的API Gateway功能来做你的工作时,你可能需要额外
使用AWSAPI Gateway实现websocket
fxtxz2的专栏
11-28 2615
AWS API Gateway的WebSocket使用
AWS(EC2)助我实现项目管理应用上云
热门推荐
小虚竹的专栏
05-23 6万+
AWS(EC2)助我实现项目管理应用上云
AWS——API Gateway
weixin_36725266的博客
05-12 3603
文章目录APIHTTP API构建操作*路由*授权集成部署——阶段REST API构建操作*资源*阶段授权方自定义域名ACM证书?API 映射VPC链接REST APIHTTP API子网?安全组? API 选择创建API的类型时,创建的是对公访问的gateway方式;并非是转发请求到内部服务器的访问方式。 HTTP API 构建 操作 路由 创建路由,匹配任意路由时,用/{proxy+},例: /member/v1/member360/forapp/auth/{proxy+} 授权 授权:访问此路由是否
AWS】使用亚马逊云服务器创建EC2实例
编码世界
01-12 9093
如今互联网发展十分迅速,有很多企业为满足自身业务的需求,对搭建一台稳定、高效的云服务器的要求越来越高。虽说国内云服务器层出不穷,比如阿里云、腾讯云、华为云等比较主流的云服务,然而有很多企业也有许多国外的的业务需求,所以对搭建海外服务器的需求也越来越多,海外服务器有很多,如何选择一个可靠的海外云服务器非常重要。亚马逊云科技推出的轻量应用服务器在选择上性价比还是很高的,它在全球范围内部署啦多个数据中心,所以不用担心服务器运行过程中卡顿等问题,它会选择就近的数据中心进行访问。
AWS API GATEWAY的使用
wfanking的博客
08-01 1390
AWS API GATEWAY
AWS系列】第七讲: AWS Serverless之API Gateway
颜淡慕潇
11-07 4008
Amazon API Gateway 是一项AWS服务,其用途类似后端接口。用于创建、发布、维护、监控和保护任意规模。类型RESTHTTP打开API gateway 控制台,点击新建到这里,一个简单的API gateway 使用流程就结束了,感觉就类似于后端的接口名aws把他细化了,一个api,可以对应一个lambda ,也可以是其他方式,具体看项目需要。
AWS API网关Region的问题
Andy Tools
02-01 3079
有些AWS 服务在某些地区是不提供的,所以使用SDK时要找对自己 Region。否则就会报下列错误: Missing region in config。 使用nodejs SDK时通过这样设定请求API区域和版本:var s3 = new AWS.S3({apiVersion: '2006-03-01', region: 'us-west-2'});或者这样:AWS.config.update(
AWS EC2手动/自动切换Elastic IP
Noah
03-16 1984
1,进入服务器设置aws configure,先到iam界面生成一个Access keys,然后到实例中配置Access keys ,在服务器上执行以下代码就可以自动更新ip。1,进入ec2控制台,选中实例然后操作->联网->管理IP地址。二,自动脚本更换实例ip地址。
API网关介绍及选型(kong)
pushiqiang的博客
07-13 9092
API网关是一个服务器,是系统的唯一入口。从面向对象设计的角度看,它与外观模式类似。API网关封装了系统内部架构,为每个客户端提供一个定制的API。它可能还具有其它职责,如身份验证、监控、负载均衡、缓存、请求分片与管理、静态响应处理。 API网关方式的核心要点是,所有的客户端和消费端都通过统一的网关接入微服务,在网关层处理所有的非业务功能。通常,网关也是提供REST/HTTP的访问API。服务端通...
jambda:AWS Lambda + API网关上的Jam-api
05-18
标题“jambda: AWS Lambda + API网关上的Jam-api”指的是一个基于AWS Lambda和API Gateway构建的服务器无状态应用框架,名为"jambda"。它专注于简化Lambda函数与API Gateway的集成,帮助开发者快速搭建和管理无...
ec2details:提供AWS EC2实例类型数据的API
05-01
ec2details 该服务提供各种格式的有关AWS EC2实例类型的详细信息。 数据是从发布的EC2服务生成的,该服务是一个巨大的(> 535M)json文件AWS,只要ec2服务发生变化(新实例,降价,其他区域等),AWS就会随时更新。 ...
AWS API网关地形
02-10
AWS Api网关Terraform 该项目创建了一个通往的api网关,并将其公开在子域api中(例如:api.example.com) 该项目使用以下AWS资源Cognito(用户群) Api网关证书管理器(导入) 53路配置您需要定义以下变量变量描述例...
【随笔】VRRP+MSTP
weixin_41997073的博客
08-06 330
VRRP 使用选择策略从路由器组中选出一台作为主控,负责 ARP 响应和 IP 数据包转发,组中的其他路由器作为备份的角色处于待命状态。当主控空路由发生故障时,备份路由器能在几秒的时间延后升级的主路由器。一个VRRP组中只能由一台处于主控角色的路由器,可以有一个或多个备份角色的路由器。开销值越低,表示该链路的传输速度越快,路由器会优先选择这些链路进行数据传输。抢占模式的意义, 当 R1 路由器中断又恢复后,则恢复 R1 的主导地位。设计采用主备模式,将VRRP组内多个路由设备都映射为一个虚拟路由设备。
【haproxy】haproxy基本配置信息
m0_64570996的博客
08-08 921
就是通过发布三层的IP地址(MIP),然后加四层的端口号,来决定哪些流量需要做负载均衡,对需要处理的流量进行NAT处理,转发至后台服务器,并记录下这个TCP或者UDP的流量是由哪台服务器处理的,后续这个连接的所有流量都同样转发到同一台服务器处理。所谓的四到七层负载均衡,就是在对后台的服务器进行负载均衡时,依据四层的信息或七层的信息来决定怎么样转发流量。Webserver1---172.25.254.10--下载ngnix!Webserver2---172.25.254.20--下载ngnix!
网络药理学:autodock tool(mgltools)实现大分子蛋白(PDB ID已知)和小分子配体的分子快速实践流程总结
最新发布
zhiaidaidai的博客
08-08 142
这里是快速实践的流程总结版(正文步骤都需要在中进行)。pocasaPDB。
如何提前预防网络威胁
dexun123的博客
08-06 718
这场攻击规模空前,据官方数据,受影响的服务器数量飙升至3800余台,波及范围广泛,尤以美、加、法、德等国的企业为重灾区。态势感知,作为一种根植于环境、动态且全局性的安全风险洞察能力,其核心在于运用安全大数据的浩瀚资源,从宏观视角深化对安全威胁的发现、理解、分析及响应能力,最终引领至精准的安全决策与行动。态势感知强调对网络安全态势的全方位、实时、动态监控与评估,旨在于攻击链条的每一个细微环节捕捉异常,无论是情报搜集的微妙动作,还是攻击尝试的初步试探,乃至数据窃取与情报回传的隐蔽行动,都难逃其敏锐的“法眼”。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值