Day22: WAF、Firewall Manager、Shield简介

What is WAF?
上一篇其实有简单带到，WAF可以帮你阻挡掉带有HTTP/HTTPS开头的L7攻击，并可以结合 Amazon CloudFront, Amazon API Gateway, Application Load Balancer一起使用。

下面简单归类三种WAF的阻挡模式，你可以选择一种使用:

1.允许所有request，但挡掉几个你所指定的
这可以用於公开的网站，但阻挡掉你已知是攻击者的request

2.挡掉所有request，但允许几个你所指定的
跟第一个相反，如果网站是有限制人观看，你可以指定IP给可以看的人

3.计算跟你指定规则的request再做调整
先不阻挡或指定所有request，而是透过WAF来计算与你指定规则相同的request，之後再加以设定允许或阻挡
在你的架构启用WAF的好处:
(1)指定阻挡/允许条件，如:IP位址、IP来源国家、request长度、防止SQL注入攻击、跨站脚本攻击
(2)规则可以重复用於多个网路应用
(3)及时显示相关资安资讯

WAF到底怎麽运作?
WAF透过以下三个要素运作
Web ACL:跟NACL的概念类似，透过加上规则(Rules)来决定是否要阻挡或是同意request进到你的架构
Rules:每条规则都包含一段定义与条件，来决定request是否符合条件
Rules Group:规则可以单独使用或包含在群组里面重复利用，你可以透过AWS托管这些规则群组

WAF Web Capacity Unit(WCU)
WAF 会透过WCU来计算和控制Web ACL、Rules和Rules Group所需的资源。当您配置Rules Group和 Web ACL 时，AWS WAF 会强制执行 WCU 限制。 WCU 不会影响 AWS WAF 检查 Web 流量的方式。

WAF 价格
上面提到WAF的三个要素，Web ACL、Rules跟Rules Group计费也是以这三个部分下去算。Web ACL USD 5/月、每一条Rules USD 1/月、每一个Rules Group USD 1/月，每一百万个request USD 0.6。
另外如果你启用AWS托管规则机器人，会固定收USD 10/月、每一百万个request USD 1。

What is Firewall Manager?
Firewall Manager 可以帮助你启用AWS Organization後的跨帐号资安管理，包含AWS WAF rules、 Shield Advanced以及VPC security groups等。Firewall Manager能在你新增帐号後自动帮你附上你已经设定好的规则。

What is Sheild?
讲到DDoS防护就不得不提Sheild，它能帮你组当掉L3、4、7的攻击，又分为Standard以及Advanced。AWS自动会帮你启用Standard，而且是免费的(佛心公司。如果启用Advanced还多帮你保护EC2 instance、ELB、 CloudFront 、Route 53和AWS Global Accelerator，如果你有订阅Business Support以上的支援方案，如果你正遭受DDoS攻击你可以联系7X24的SRT(Sheild response team)团队帮你解决，但你如果想要启用Sheild Advanced口袋得要够深才行，它需要付USD3000/月。

所以我该启用哪个呢?
本间介绍一次讲三个服务(超长，为什麽不像前几篇的篇幅一样每个服务单独介绍呢?因为三个一起用你可以达到最好的综效，你可以从加上WAF开始，如果有多个帐号可以透过Firewall Manager，在进一步想要进行DDoS防御可启用Sheild Advanced。简介先到这边，下篇开始实际布建。