AWS安全三剑客：Shield、WAF与Firewall Manager全面解析

AWS Shield vs WAF vs Firewall Manager：如何选择？

应用所有者必须确保信息的安全交换，并能够抵御各种安全威胁和攻击。为了保护应用程序免受不需要的恶意互联网流量影响，AWS提供了三项服务：Shield、Web应用程序防火墙（WAF）和Firewall Manager。

这些AWS服务组合起来，可在OSI模型的第3、4和7层提供保护。它们覆盖多个AWS服务，如CloudFront、Route53、Global Accelerator、API Gateway、弹性负载均衡（ELB）和弹性计算云（EC2）等。这包括防御DDoS攻击、恶意HTTP和HTTPS请求，以及简化具有多个AWS账户和资源的组织中的配置自动化和发布。

什么是AWS Shield？

AWS Shield保护AWS组件免受DDoS攻击。这些攻击会产生大量人为生成的请求，以破坏公共应用程序。Shield有两种版本：Standard和Advanced。

AWS Shield Standard

AWS Shield Standard默认在CloudFront、Route 53和Global Accelerator中启用，无需额外费用。

AWS Shield Standard提供针对某些攻击的保护，但缺乏自定义配置的灵活性。Shield Advanced与AWS WAF服务集成，以配置特定的保护规则。它还保护客户免受因DDoS攻击导致的用量增加而产生的额外AWS费用。受影响的客户可以申请抵扣。

AWS Shield Advanced

AWS Shield Advanced适用于CloudFront、Route 53和Global Accelerator，以及ELB、弹性IP和EC2。

AWS Shield Advanced每月费用为3,000美元，并要求签订1年订阅承诺。它提供对AWS Shield响应团队的访问，这是一个24/7的紧急支持小组，但这仅适用于同时拥有企业或业务支持级别的AWS高级支持的AWS账户，这些支持计划根据每月AWS账单有额外成本。

还有额外的数据传输费用，具体取决于受保护资源类型和传输的数据量（例如，<100 TB、400 TB和500 TB）。在最初的100 TB范围内，Shield Advanced的数据传输费用每TB可能在25到50美元之间，具体取决于受保护资源类型。这是在每个受保护资源适用的数据传输费用之外的。月费按每个AWS组织收取。因此，在一个组织内跨多个AWS账户的部署只需支付单一费用。

虽然Shield Standard保护第3层和第4层攻击，但Shield Advanced扩展了支持的AWS服务数量，并与WAF集成，提供针对第7层攻击的覆盖。

什么是AWS WAF？

Web应用程序防火墙服务专注于第7层保护。WAF的可配置功能集实时检测并阻止试图访问您的应用程序的特定流量模式。它与CloudFront分发、应用程序负载均衡器、Cognito用户池、AWS Verified Access实例、AppSync GraphQL API和API Gateway REST API交互。可以配置WAF来检测来自以下来源的流量：

• 特定IP
• 跨站脚本（XSS）
• SQL注入攻击
• IP范围或来源国家
• 超出基于速率规则的IP
• 请求体、路径、JA3/JA4指纹、查询、头部和Cookie中的内容模式

使用Firewall Manager，应用所有者可以配置适用于AWS组织内所有账户的规则。当传入流量匹配任何配置的规则时，WAF可以拒绝请求、返回自定义响应或简单地创建指标以监控适用的请求。AWS Marketplace中还提供其他规则。

它有两个主要功能：

AWS WAF Bot Control：提供专注于识别并采取措施应对遵循常见漫游器模式的请求的规则。它还可以配置为允许来自搜索引擎或正常运行状态监控工具的流量。对于常见漫游器流量，每评估100万次请求费用为1美元。针对特定漫游器的规则，每检查100万次请求费用为10美元。

AWS WAF Fraud Control：保护登录和用户创建页面免受欺诈请求。对于每月请求量在1万到200万之间的部署，欺诈控制每分析100万次请求可能花费1,000美元。

Bot Control和Fraud Control都支持配置显示CAPTCHA挑战的规则。这些挑战对于Bot Control Common每分析10,000次尝试产生额外4美元的费用，Bot Control Targeted和Fraud Control无额外费用。

WAF对每个Web访问控制列表（ACL）每月收费5美元，对Web ACL中每个配置的规则每月收费1美元。一个Web ACL可以与多个资源关联；请查看文档了解详情。

WAF每100万次请求收费0.60美元。例如，一个每秒处理10个请求的应用程序每月成本约为15美元。此外，还需考虑与规则数量和Web ACL相关的任何费用。

什么是AWS Firewall Manager？

AWS Firewall Manager旨在跨多个AWS账户和资源进行集中管理。它支持以下服务：

• WAF
• Shield Advanced
• 网络防火墙
• VPC安全组
• Route 53 Resolver DNS防火墙

使用Firewall Manager，应用所有者可以配置适用于所有账户的规则。所有者可以为账户或组织内某种类型的所有资源配置规则，例如将规则应用于所有CloudFront分发。它还支持基于资源标签应用配置。当您向账户添加新资源时，可以自动为它们分配特定的保护规则，这通过简化和自动化跨一个或多个AWS账户中多个AWS资源的关键保护功能配置来增强安全性。

大型组织有时难以保护其不断增长的配置和资源数量，Firewall Manager在这方面提供帮助。它对每个区域每个配置的策略每月收费100美元。此外，还需考虑与创建的资源相关的任何费用，例如WAF webACL、WAF规则、AWS Config规则等。拥有Shield Advanced的客户可以配置Firewall Manager，无需每个策略的额外费用。

结合使用AWS Shield Standard和WAF是中小型部署的不错选择。AWS Shield Advanced和Firewall Manager与WAF一起，是大型部署的合适选择。

如何决定哪种工具适合您的组织

虽然所有三种云安全服务为大多数AWS云部署提供了非常重要的功能，但评估它们是否适合特定应用需求很重要。受保护的OSI层是一个重要的评估领域，以及特定应用中需要保护的服务。

成本也是一个重要因素，特别是对于AWS Shield Advanced，考虑到其每月3,000美元的费用和所需的1年承诺。拥有众多账户和云资源的大型组织应认真考虑像Firewall Manager这样的服务，因为它简化了许多云组件的管理。

考虑到安全在现代云部署中的高度优先性，强烈建议评估这些AWS安全服务，并根据特定的应用和合规要求进行配置。

更多精彩内容 请关注我的个人公众号 公众号（办公AI智能小助手）
对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号（网络安全技术点滴分享）

公众号二维码

公众号二维码