過去AWS一直提供一個空白的WAF過濾引擎,然后開放引擎給第三方傳統(tǒng)安全廠家如F5、Fortinet等安全公司。第三方廠家制作 Managed
rules subscription,放在 AWS Marketplace
應(yīng)用市場里邊出售訂閱規(guī)則。每個廠家發(fā)布的訂閱規(guī)則收費10~30USD每個規(guī)則。訂閱規(guī)則采用“黑盒”模式,即對外不公布規(guī)則內(nèi)部本身有哪些防護(hù)能力,屬于廠家機密。這種方式的優(yōu)勢:彈性好,處理能力強,可以與CDN、ELB等組件關(guān)聯(lián),且天然高可用。
AWS WAF V2 Managed Rules :http://www.bxgb88.com/zt/2023-05-06/
注:這種實現(xiàn)方式,中國本土的幾家友商,一直在提供云廠商自己維護(hù)的規(guī)則列表,可以一鍵打開防護(hù),不需要訂閱第三方。
EC2+AMI+硬件廠家的虛擬化版本
此外,AWS的另一種實現(xiàn)WAF的方式,是通過Marketplace購買AMI的方式。也就是在EC2虛擬機上運行一個軟件版本的防火墻軟件,即可以理解為F5、Paloalto等硬件盒子的虛擬機版本。然后,將流量通過NLB送給這個EC2實例,進(jìn)行流量過濾和清洗,再將干凈流量送到應(yīng)用服務(wù)器所在的EC2上。這種方式,可以享受到全功能的硬件體驗,硬件盒子的管理界面、功能配置都是高度一致的。這種方式的優(yōu)勢:體驗與過去用硬件盒子高度一致,功能非常強大,廠家覆蓋全面,包括Cisco、Fortinet、Checkpoint、Paloalto等等一票國際大牌廠家。缺點:天然不高可用,需要多個EC2分別跑在不同AZ上實現(xiàn)高可用,還需要NLB調(diào)度流量,大帶寬處理能力受到EC2網(wǎng)絡(luò)限制。
注:這種實現(xiàn)方式,中國本土的幾家友商,提供的多為本土廠家的虛擬防火墻鏡像,例如深信服、綠盟等。
一、AWS新產(chǎn)品 – AWS管理的托管規(guī)則
在2019年底,AWS在以上第一種實現(xiàn)方式“空白WAF引擎+第三方托管的規(guī)則”的基礎(chǔ)上,發(fā)布了由AWS自行管理的訂閱規(guī)則,被稱為第二代WAF,即WAF
V2。在這個版本上,WAF控制臺界面提供了一系列AWS自己維護(hù)的防護(hù)規(guī)則可以訂閱。這種實現(xiàn)方式,如此,大大方便了使用,不需要再去關(guān)聯(lián)第三方應(yīng)用了。當(dāng)然,這個訂閱規(guī)則也是黑盒模型,不對外公開具體規(guī)則列表。
于此同時,原先的合作伙伴的訂閱規(guī)則繼續(xù)存在,可以作為相互的補充。
二、Wordpress兼容問題
這個規(guī)則上線后,第一時間放到了wordpress上防護(hù)體驗,發(fā)現(xiàn)一些規(guī)則與wordpress不兼容,會影響正常使用,包括:發(fā)帖、上傳圖片等多種操作。錯誤現(xiàn)象可能表現(xiàn)為:發(fā)帖失敗報告無效JSON,上傳圖片失敗等。
排查錯誤是否是代碼錯誤還是WAF攔截可以從WAF控制臺引擎入手。如下圖所示,進(jìn)入WEB
ACLs界面,看到頁面下方會顯示最近近期規(guī)則攔截的情況(有幾分鐘延遲)。
查看日志可以通過源IP、訪問地址、時間來判斷是否是用戶正常訪問觸發(fā)、還是惡意攻擊掃描觸發(fā)、還是自己調(diào)適錯誤觸發(fā)。確定了要檢查的是那一條后,看其中rules規(guī)則,即是觸發(fā)攔截的規(guī)則。例如上圖中是“AWS#AWSManagedRulesCommonRuleSet#CrossSiteScripting_BODY”這一條。
接下來進(jìn)去rules界面,找到觸發(fā)規(guī)則的“AWSManagedRulesCommonRuleSet”,在下面的截圖中處于最上方第一條。點擊右上角的Edit按鈕。
編輯界面下,從清單中,找到鏈接的規(guī)則,將其設(shè)置為override。如下截圖中還有一條紅色的也是類似方式檢查出來的規(guī)則需要被跳過。
此時還需要注意,編輯規(guī)則的頁面最上方還有一個統(tǒng)一的按鈕:Enable count
mode。注意這個開關(guān)需要處于關(guān)閉模式。只修改下方單獨規(guī)則的跳過就可以,不要修改整個rule的actions。否則整個rule里邊所有規(guī)則都將變成只計數(shù)不攔截了。
點擊頁面最下方的保存。
現(xiàn)在,再去訪問Wordpress,嘗試剛才觸發(fā)攔截的操作,即可正常通過。
至此就給AWS WAF V2設(shè)置了針對的wordpress的bypass規(guī)則。
上一篇:
如何在AWS上配置基本的VPC?
下一篇:
如何在云服務(wù)器上放置多個web網(wǎng)站?
