本解决方案可用于自动部署一系列 Amazon WAF（Web 应用程序防火墙） 规则，以过滤常见的基于 Web 的攻击。用户可以从预先配置的保护性功能中进行选择，这些功能用于定义 Amazon WAF Web 访问控制列表中包含的规则。部署完成后，Amazon WAF 可通过检查 Web 请求来保护 Application Load Balancers。您可以使用 Amazon WAF 创建自定义的、应用程序特定的规则，以阻止各种攻击模式，确保应用程序可用性、资源安全性，并防止过度消耗资源。

亚马逊云科技解决方案概述

Amazon WAF安全自动化解决方案对试图访问您的 Web 应用程序的请求提供精细控制。下图表示您可以使用该解决方案实施指南和随附的 Amazon CloudFormation 模板构建的架构。设计的核心在于 Amazon WAF Web ACL，它用作所有传入请求的集中检查和决策点。您选择激活的保护性功能将确定添加到您的 Web ACL 的自定义规则。

下图显示了您可以使用该解决方案实施指南和随附的 Amazon CloudFormation 模板自动部署的架构。

架构描述

Amazon 托管规则 (A)：此 Amazon 托管核心规则组合提供保护，避免各种常见的应用程序漏洞被利用或出现其他不必要的流量。

手动 IP 列表(B 和 C): 此组件可创建两个特定的 Amazon WAF 规则，从而使您可以手动插入您想阻止或允许的 IP 地址。

SQL 注入 (D) 和 XSS (E)：此解决方案可配置两个本机 Amazon WAF 规则，这些规则旨在防止 URI、查询字符串或请求正文中的常见 SQL 注入或跨站点脚本 (XSS) 模式。

HTTP 泛洪攻击 (F)：此组件有助于防止由来自特定 IP 地址的大量请求组成的攻击，如 Web 层 DDoS 攻击或暴力登录尝试。此功能的支持阈值是 5 分钟之内少于 100 个请求。

扫描程序和探测器 (G)：此组件可解析应用程序访问日志，以搜索可疑行为，例如源生成的异常错误量。然后，它将在客户定义的时间段内阻止这些可疑的源 IP 地址。

IP 声誉列表 (H)：此组件是 IP 列表解析器 Amazon Lambda 函数，可每小时检查第三方 IP 声誉列表，以获取要阻止的新范围。

不良 Bot (I)：此组件可自动设置蜜罐，它是一种安全机制，旨在引诱并转移试图进行的攻击。

查看实施指南