找独服以前AWS总是提供空白的WAF过滤引擎,然后将引擎开放给第三方传统安全厂商,比如F5、Fortinet等安全公司。第三方制造商进行管理
AWS市场上的规则订阅。
应用在市场上销售订阅的规则。各厂商发布的订阅规则每条收费10 ~ 30美元。订阅规则采用“黑箱”模式,即不公开规则的内部保护能力是厂商的秘密。这种方法的优点是:灵活性好,处理能力强,可以关联CDN、ELB等组件,可用性自然高。
AWS WAF V2管理规则:https://www.hkt4.com/zt/20205-06/
注:就这样,国内几个本地朋友一直在提供云厂商自己维护的规则列表,可以一键开启防护,不需要订阅第三方。
EC主机参考AMI+硬件制造商的虚拟化版本
此外,AWS实现WAF的另一种方式是通过Marketplace购买AMI。即在EC2虚拟机上运行一个软件版本的防火墙软件,可以理解为F5、Paloalto等硬件盒子的虚拟机版本。然后,通过NLB将流量发送到该EC2实例进行流量过滤和清洗,然后将干净的流量发送到应用服务器所在的EC2。这样就可以享受到全功能的硬件体验,硬件盒子的管理界面和功能配置高度一致。这种方式的优点:体验与过去使用的硬件盒子高度一致,功能非常强大,厂商涵盖方方面面,包括思科、Fortinet、Checkpoint、Paloalto等等。缺点:天然没有。它需要多个ec2在不同的AZ上运行以实现高可用性,并且还需要NLB来调度流量。EC2网络限制了大带宽处理能力。
注:通过这种方式,中国的几个本地朋友提供本地厂商的虚拟防火墙镜像,如沈心和吕蒙。
一、AWS新产品——AWS管理托管规则
2019年底,AWS在上述第一种实现模式“空白WAF引擎+第三方托管的规则”的基础上,发布了由AWS管理的订阅规则,被称为第二代WAF。
V2 .在这个版本中,WAF控制台接口提供了一系列由AWS自己维护的保护规则供订阅。这种实现模式,通过这种方式,极大的方便了使用,不需要关联第三方应用。当然,这个订阅规则也是一个黑箱模型,具体的规则列表并不对外公开。
同时,合作伙伴原有的订阅规则继续存在,可以相互补充。
第二,Wordpress的兼容性问题
这个规则上线后放在wordpress上保护体验,发现有些规则与wordpress不兼容,会影响正常使用,包括发帖、上传图片等操作。错误可能表现为:发帖失败、JSON报告无效、图片上传失败等。
故障排除错误是代码错误还是WAF拦截可以从WAF控制台引擎开始。如下图所示,进入WEB。
ACLs界面,看到页面底部会显示最近的规则拦截(有几分钟的延迟)。
看日志可以通过源IP、访问地址、时间判断是用户正常访问触发、恶意攻击扫描触发,还是自适应错误触发。确定要查哪个后,再看规则,是触发拦截的规则。比如文章“AWS # awsmanagerudulescoonruleset # CrosssiteScripting _ body”如上图所示。
接下来,进入规则界面,找到触发规则的“AWSManagedRulesCommonRuleSet”,它位于下面截图的顶部。单击右上角的编辑按钮。
在编辑界面中,从列表中找到链接的规则,并将其设置为覆盖。在下面的截图中,也有一个红色规则以类似的方式被检测到,需要跳过。
这时还需要注意的是,页面顶部有一个统一的按钮,用于编辑规则:启用计数。
模式2 .请注意,此开关需要处于关闭模式。只修改下面个别规则的skip,不要修改整个规则的动作。否则,整个规则中的所有规则都会变成计数而不拦截。
单击页面底部的保存。
现在再去Wordpress试试刚才触发拦截的操作,就可以正常通过了。
至此,AWS WAF V2已经为wordpress设置了一个绕过规则。
评论前必须登录!
注册