手把手教你如何配置 AWS WAF 入门

于 2024-01-01 00:23:19 发布
阅读量1k 收藏 21
点赞数 18
分类专栏: 深造之旅 实践 文章标签: aws 网络 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dalerkd/article/details/135321116
版权

文章目录

1 前言

在这里插入图片描述

题图是Security Automations for AWS WAF 架构图。描绘了 AWS WAF 如何筛选对各种 AWS 资源的 Web 请求、存储来自 AWS WAF 的日志以及监控威胁日志。

当你开始使用WAF(Web Application Firewall)时,你便能为其后的内容提供保护。WAF不仅可以配置复杂的规则来判断请求是否为攻击或不需要的流量,还有另一种有趣的玩法:通过AWS Lambda进行动态控制。

想象一下,如果某个IP正在进行多次恶意请求,仅仅拦截单次请求可能会被对方轻易绕过。这时,我们可以借助AWS Lambda的WAF日志分析器或CloudWatch等工具进行感知,并动态地添加IP声誉列表来控制攻击源或向管理员发出警报。

AWS WAF与亚马逊的其他服务完美结合,玩法多样,绝不仅仅是静态的防护盾牌。当然,在此之前,你需要对WAF有一个基本的了解。接下来,我将通过详细的步骤,指导你配置一个全新的WAF作为起点。

2 新手第一步

假设你已经拥有一个空白的WAF:
第一步找到你的WAF:
在这里插入图片描述
在这里插入图片描述

继续让我们选择它,你的可能叫别的名字,显然这并不重要:(如果你的伙伴没有为你配置需要你自行创建一个ACL)
在这里插入图片描述

左侧的功能分页说明一下:
在这里插入图片描述

编辑规则主要看 Rules:
在这里插入图片描述

2号位置就是规则区了,3号可以手工添加一条规则:
在这里插入图片描述

3 实践

3.1 了解托管规则

我们先手工添加一条规则尝试:
你有两个选项:
Add managed rule groups:
即:添加托管规则
Add my own rules and rule groups:
添加自定义规则
在这里插入图片描述

我们会发现AWS WAF的规则是串型执行:Priority一列就是顺序。
这里列出的是AWS 付费(2023年12月31日)的3种托管规则集:
在这里插入图片描述

这里列出11种 AWS 免费的托管规则:
在这里插入图片描述

此外还提供了一些三方不同厂商提供的付费托管规则,OWASP TOP10等应有尽有:
在这里插入图片描述
在这里插入图片描述

在这里插入图片描述

总之托管规则应有尽有,但因为其面向通用场景,而不能完全适配我们自己的业务,还是需要我们动手DIY一些适合我们的规则。

3.2 编写自己的DIY规则

在这里插入图片描述

点击: Add my own rules and rule groups 添加自定义规则

默认是 Rule visual editor: 即可视化编辑器:
在这里插入图片描述

点击 Rule JSON editor 进入JSON编辑器,此模式的优点是:

  • 方便快速复制
  • 方便多级嵌套条件编写
    可视化只支持一层的逻辑判断,举个例子:
    如果 http.method == “options” ,则继续判断 如果 http.url 开头是 “/api” 则允许
    因为涉及两级判断所以只能使用 Rule JSON editor模式了。。。
    下图 显示了*** Rule JSON editor*** 模式
    在这里插入图片描述

这也就是 AWS WAF的所谓高级编辑模式了。

3.3 配置实战A,控制泛洪攻击(攻击请求速率)

只用可视模式

目标是 当用户请求 每five(5)分钟 达到 600次的时候,就Block(拒绝)对方。直到对方速度低于此速度。
(AWS的槽点在于只能 配置每5分钟。。。)

配置如下:
在这里插入图片描述
在这里插入图片描述

点击Save Rules,此时你的WAF便具有了一定的HTTP泛洪防御能力。

3.4 配置实战B:当检查到特定路径请求的时候拒绝对方的试探

actuator攻击是一种很常见的试探攻击,处理不当很可能导致信息泄露等威胁。
所以我们的WAF可以如此配置:
当请求URI中涉及 actuator则Block(阻断)
配置如下图:
在这里插入图片描述

至此你又拥有了另一个安全规则。

4 更进一步

4.1 什么是合理的规则设计?如何利用好AWS的分层结构?

现在你可以根据你的防御需求来尝试调配自己的规则了

这里提供一种WAF配置思路,结合了官方的建议:

可以从上到下添加至少如下的检查规则分别为:

  1. 白名单
  2. 黑名单
  3. 速率控制:也就是HTTP泛洪攻击防护
  4. 自定义的防护任务
  5. 托管规则

4.2 几个重要的AWS WAF 概念及简易运用

标签 和 标签组

  • 是什么
    在这里插入图片描述

  • 什么场景下使用?
    为了后面的规则能判断前面的规则是否识别出特定问题了

使用前面的例子,如果我发现对方在尝试高频率请求,可以不直接拒绝而是 使用 Count 统计,再打一个标签:high_speed)高频率,如下图:
后面的其他规则,通过通过判断是否为高频率 而进一步做出决策,例如下下图一个名为anti_attack的规则:
在这里插入图片描述

至此相比你已经了解了标签的最主要的用法。

4.3 进一步提升你的WAF防御可以考虑问题

当然你需要根据你要防护服务器的实际情况进一步完善,思考以下几个问题:

  • 能否对白名单的IP也可以进行安全检查?
    而不是因为对方是白名单,就可以放弃对它的进一步安全分析
  • 能否分级观察不同的压力情况?以辅助安全检查员做出安全决策?
  • 能否更多统一的建立对攻击流量的标签分析
  • 当你的业务是从中途开始上WAF,该如何解决冲突又不危害现有业务的正常工作?
  • 如何动态的改变WAF,通过其他AWS服务?
    使WAF能够变成的动态、有机的防御设施

4.4 管理WAF日志的方案选型心得

4.4.1 用 CloudWatch Logs Insights 分析WAF日志

优势:语法较简洁,查询快,在线趋势显示好。
缺点:比较贵,查询按次收费

4.4.2 用自建ES Kibana管理WAF日志

优势:便宜
缺点:

  1. 保存时间可能跟其他日志混合无法长期,如果你们运维解决了这个问题也还好。
  2. 需要进一步对WAF的日志做解析,ES默认是不理解WAF的自定义结构的。识别不出更进一步的字段,导致你得下载下来进一步的分析。这样失去了在线查询的意义。
4.4.3 用 AWS OpenSearch 来管理WAF日志

优势:其实它也是 Kibana。但是增加了官方的自己服务的数据解析,让你可以任意查询WAF数据。
缺点:比自建ES Kibana要有一点成本。需要租一台AWS的服务器并为此付费(建议是内存优化类型的)

dalerkd
关注
  • 18
    点赞
  • 21
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
AWS WAFv2 自动保护 API Gateway 实现指南
TechEnthusiast的博客
12-13 42
AWS WAFv2 提供了先进的 Web 应用程序防火墙功能,可帮助你保护 Web 应用程序免受 SQL 注入、跨站脚本(XSS)等常见攻击。它允许你定义自定义规则,监控应用程序的流量,并采取必要的措施来阻止潜在的威胁。总结本文,强调使用 AWS WAFv2 自动保护 API Gateway 的重要性,并鼓励读者在其应用程序中实施类似的网络安全实践。通过这份博文,读者将了解如何使用 Python 脚本自动保护 API Gateway,加强其 REST API 的安全性,提高整体网络安全水平。
AWS新手入门
07-24
Amazon -AWS 基础知识,新手入门,快速了解必备。个人推荐。
aws-waf-sqli-bypass-PoC:使用单个';'绕过AWS WAF
04-27
介绍 适用于SQlInjectionMatchTuple的AWS WAF文档( )指出:“文本转换消除了攻击者的某些异常格式在Web请求中使用,以绕过AWS WAF。如果您指定转换,则AWS WAF在检查匹配请求之前对FieldToMatch执行转换。” 更具体地说,CMD_LINE TextTransformation除其他动作外,还将“以下字符替换为空格:,;”。 此外,对于URL_DECODE xform,指示“使用此选项对URL编码的值进行解码”。 但是,我们发现,当两个独立的查询以“;”连接时,这两种xform都无法单独或组合使用来阻止注入。 SQLi绕过 从本质上讲,已发现通过使用EXPECTED_INPUT'; select * from TARGET_TABLE--形式的注入EXPECTED_INPUT'; select * from TARGET_TABLE--
aws-waf-security-automations:该解决方案自动部署单个Web访问控制列表(Web ACL)和一组AWS WAF规则,这些规则旨在过滤常见的基于Web的攻击
05-10
AWS WAF安全自动化 一种解决方案,其中包含迄今为止开发的所有AWS WAF示例-waf-active-blacklist,waf-bad-bot-blocking,waf-block-bad-behaving和waf-reputation-list。 有关完整的解决方案概述,请访问 。 档案结构 该项目由有助于解决方案功能范围的微服务组成。 这些微服务已部署到AWS Lambda中的无服务器环境。 |-deployment/ [folder containing templates and build scripts] |-source/ |-access_handler/ [microservice for processing bad bots honeypot endpoint access. This AWS Lambda function intercepts th
AWS-WAF挂载ALB.docx
01-19
aws 里挂waf防入侵,防攻击
亚马逊云科技 WAF 部署小指南(一) WAF原理、默认部署及日志存储
亚马逊云科技专栏
03-24 7175
什么是亚马逊云科技WAF?亚马逊云科技WAF是一个网页应用的防火墙服务。它能帮助保护您的网页应用或网页API应对常见的网页攻击。这些攻击会影响应用的可用性,产生安全风险,或消耗过量的计算资源。使用WAF是对网页应用增加深度防御的好办法。WAF 可以帮助应对类似SQL注入、CSS和其他常见的漏洞攻击。WAF允许您创建自己的定制规则在HTTP请求到达应用之前决定是阻断还是允许...
WAF——web安全web应用防火墙
m0_75056154的博客
03-23 1504
WAF——web安全web应用防火墙
亚马逊云科技解决方案:Amazon WAF安全自动化
亚马逊云科技专栏
05-21 819
此亚马逊云科技解决方案有何用途?本解决方案可用于自动部署一系列Amazon WAF https://www.amazonaws.cn/waf/(Web 应用程序防火墙) 规则,以过滤常见的基于 Web 的攻击。用户可以从预先配置的保护性功能中进行选择,这些功能用于定义 Amazon WAF Web 访问控制列表中包含的规则。部署完成后,Amazon WAF 可通过检查 ...
AWS WAF 的工作原理
weixin_30871701的博客
07-28 1134
您可使用 AWS WAF 控制 API 网关、Amazon CloudFront 或 应用程序负载均衡器 如何响应 Web 请求。您首先需创建条件、规则和 Web 访问控制列表 (Web ACL)。您需要定义条件、将条件合并为规则并将规则合并为 Web ACL。 条件 条件定义您希望 AWS WAFWeb 请求中监视的基本特征: 可能是恶意的脚本。攻击者会嵌入可以...
AWS征文】带你探秘 AWS WAF 如何抵挡各种***来保护你的应用安全
wangzan18的博客
08-17 1256
一、概述 什么是 WAF AWS WAF 是一种 Web 应用程序防火墙,让您能够监控转发到 一个 Amazon CloudFront 分配、一个 Amazon API Gateway REST API 或一个 应用程序负载均衡器的 HTTP(S) 请求。它有助于保护您的 Web 应用程序或 API 免受可能影响可用性、危害安全性或消耗过多资源的常见 Web ***。 使用 WAF 是向 Web ...
aws-waf-dashboard:1单击部署以创建AWS WAF仪表板
02-13
AWS WAF仪表板 描述 AWS WAF仪表板随时可以使用仪表板(在带有Kibana的Amazon Elasticsearch Service上构建),可以快速连接到现有的AWS WAF配置,并允许在可视化图中使用多个构建来可视化AWS WAF日志。 要开始使用AWS WAF仪表板,您不需要具有任何Elasticsarch甚至AWS WAF经验,只需很少的AWS知识即可。 您只需要启动一个云形成模板-即可完成所有其余工作。 整个过程大约需要30分钟(等待25分钟)。 重要的! 该解决方案适用于以下地区:东京,首尔,孟买,新加坡,悉尼,爱尔兰,伦敦,巴黎,圣保罗,北弗吉尼亚,俄亥俄州,北加利福尼亚,俄勒冈。 原因是它依赖于某些其他服务(例如Cognito)-并非在所有地区都可用。 安装 1.启动云形成模板 启动云形成模板。 使用下面的按钮。 默认情况下-您将被重定向到弗吉尼亚北部的Cl
aws-waf-logger:使用Serverless将所有AWS WAF匹配规则记录到S3和_或Loggly
04-28
AWS WAF记录器 AWS WAF是一个了不起的功能,但是实际上要注销有意义的日志可能会很痛苦。 自将其放置到位以来,我们一直希望分析流量模式以及哪些规则受到了攻击。 但是,AWS目前不提供此类日志流。 为了解决这个问题,我们创建了一个小型的预定Lambda,该Lambda查询AWS开发工具包SDK的操作以获取所有匹配项并将其存储在S3和/或。 这使我们可以查看有关WAF行动的当前和历史数据。 配置 您必须首先使用env.yml.example作为模板在env.yml指定所需的配置。 此服务使用来管理Lambda的配置,因此,只要您的计算机上存在此服务,您就可以简单地执行以下操作: $ serverless deploy -v 根据您是否配置为将日志输出到S3和/或Loggly,现在将开始查看基于检查频率的所有结果输出。 注意: GetSampledRequests仅在指定的时间
aws-waf-owasp
10-16
aws-waf-owasp,是云上的OWASP的安全防护建设指导手册,可以帮助云上用户快速启用Web安全防护策略,结合实际业务和流量深度订制WAF策略
terraform-aws-waf-global
03-12
terraform-aws-waf-global Terraform模块-创建全局WAF。 它是100%开源的,并根据许可。 用法 这只是一个基本说明。 将此存储库作为模块包含在现有Terraform代码中: module " waf-global " { source = " JamesWoolfenden/waf-global/aws " version = " 0.0.2 " ip_set = var . ip_set common_tags = var . common_tags } 要求 没有要求。 提供者 姓名 版本 ws 不适用 模组 没有模块。 资源 姓名 输入项 姓名 描述 类型 默认 必需的 acl_name ACL的名称 string "IPWhiteListWebACL"
terraform-aws-waf配置AWS Web Application防火墙
02-04
创建一个WAF并将其与应用程序负载平衡器(ALB)关联 创建以下资源: Web应用程序防火墙(WAF) 链接F5管理的OWASP规则以阻止WAF常见攻击 创建WAF规则以按源IP地址阻止请求(注意:被阻止的IP列表不受此模块管理) 创建WAF规则以按路径阻止请求(在URI中找到) 为WAF创建规则以允许主机请求(如HTTP标头中所示) 将WAF附加到应用程序负载平衡器(ALB) 地形版本 Terraform 0.13及更高版本。 将模块版本固定为〜>3.X。 将拉取请求提交到master分支。 地形0.12。 将模块版本固定为〜>2.X。 将拉取请求提交到terraform012分
1-1AWS-WAF挂载ALB.docx
10-10
1-1AWS-WAF挂载ALB.docx
AWS官方文档:AWS入门
07-11
AWS入门文档:deploy, big data,basic computing, web app host
terraform-aws-wafv2:使用AWS WAFv2和AWS托管规则集创建WAF
02-04
terraform-aws-wafv2 创建AWS WAFv2 ACL并支持以下内容 AWS托管规则集 与应用程序负载平衡器(ALB)关联 阻止IP集 全球IP速率限制 不同URL的自定义IP速率限制 自2020年12月2日起,AWS GovCloud不支持...
terraform-aws-waf-webaclv2:Terraform模块,用于使用Application Load Balancer的托管规则配置WAF V2 Web ACL
02-04
terraform-aws-waf-webaclv2:Terraform模块,用于使用Application Load Balancer的托管规则配置WAF V2 Web ACL
aws waf 功能特性
最新发布
06-07
AWS WAFWeb Application Firewall)是一种 Web 应用程序防火墙,可帮助保护您的 Web 应用程序免受常见的 Web 攻击,例如 SQL 注入、跨站点脚本和 CSRF 攻击。以下是 AWS WAF 的主要功能特性: 1. 针对 Web 攻击的保护:AWS WAF 可以检测和阻止常见的 Web 攻击,例如 SQL 注入和跨站点脚本。 2. 自定义规则:您可以创建自定义规则来检测和阻止特定的 Web 攻击。 3. 集成 AWS Shield:AWS WAF 可以与 AWS Shield 集成,以提供更强大的防护,包括分布式拒绝服务(DDoS)攻击的防护。 4. 集成 AWS CloudFormation:AWS WAF 可以与 AWS CloudFormation 集成,以实现基础架构即代码的自动化管理。 5. 支持多种 Web 应用程序:AWS WAF 支持多种 Web 应用程序,包括 Amazon CloudFront、Amazon API Gateway、AWS Application Load Balancer 等。 6. 支持日志记录和监控:AWS WAF 可以记录和监控 Web 应用程序的流量,以便您进行分析和审计。 7. 灵活的计费模型:AWS WAF 的计费模型基于 Web 请求的数量和规则的数量,提供灵活的计费方式。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值