对于大多数开发人员来说,托管在云中的 Web 应用程序或 REST API 是一种常见方案。但是,并非每个应用程序都具有相同的安全级别。将 Web 应用程序防火墙 (WAF) 添加到 Web 应用程序是提高安全性的有用方法。
在本文中,九河云将比较两个基于云的 WAF 选项:阿里云提供的 WAF 选项和 AWS WAF。
阿里云 WAF
与本地防火墙相比,在云中使用 WAF 的主要优点是设置和安装时间最短。此外,您还可以获得 24/7 全天候监控和对防火墙相关事件的自动响应,这意味着您不必担心您的员工会不断监控防火墙以处理问题。
阿里云 WAF 使用机器学习来减少误报,这是我发现该工具特别出色的功能之一。此外,月度订阅还包括保护和报告。
要开始配置 WAF,我们需要在主仪表板上。然后,找到“安全”选项和“Web 应用程序防火墙”。
这是WAF的主屏幕,在这里我们可以看到它可以保护的范围和范围。
AWS WAF
要使用 AWS WAF,首先要考虑的是创建访问控制列表 (ACL)。如果您不了解防火墙的工作原理、如何创建防火墙以及从哪里开始工作,则需要进行大量研究。最初,进入和退出的规则需要明确。对于没有经验的人来说,可以阻止所有内容或释放所有内容。您可以拥有一个带有 WAF 的整个环境,但由于错误地应用了规则,它完全不受保护。
让我们在实践中查看该工具并回顾关键点。登录该工具并搜索 AWS WAF 后,您将找到以下控制面板,其中介绍了一些基础知识:
正如我们在下面的屏幕上看到的,当我们单击“配置 Web ACL”时,最初,我们对应如何创建 ACL 以及我们可以保护哪些应用程序有一个概述。
单击“下一步”继续设置。此时,我们可以创建ACL的名称(它应该是一个清晰易懂的名称)。然后,我们可以选择 ACL 区域(无论是本地区域还是全局区域),最后选择此 ACL 将启动的资源。
在下一个屏幕中,我们可以看到每个规则的条件的创建。(如果需要,此时请做更多研究以求理解。在这一点上,我选择了一个为 SQL 注入规则创建条件的示例。我创建了名称、区域、申请类型以及根据此请求应执行的操作。
此 ACL 条件配置屏幕至关重要。如果我们在没有适当设置的情况下离开此屏幕,就像忘记关闭门上的锁一样。
以下屏幕截图显示了规则的创建过程,该规则将应用于根据定义的条件创建的 ACL。
最后一步只是完成并确认在前面步骤中所做的设置。您可以按照向导中的后续步骤完成 AWS WAF 设置。
结论
AWS WAF 功能全面,从创建和配置规则的事先通知开始,而不是防火墙。要使用 AWS WAF,您需要是熟悉防火墙的人,或者能够向了解防火墙的人请求支持。请记住,按 ACL 数量和对应用程序的访问请求数量收费。截至目前,更少的ACL意味着更低的成本,但也意味着更不安全的应用程序。
阿里云 WAF 和 AWS WAF 都是保护基于 Web 的应用程序的有用工具。如上所述,阿里云 WAF 的机器学习功能使其成为需要尽可能自动化的防火墙配置和监控以及希望避免误报的情况特别方便的工具。另一方面,AWS WAF 提供了更详细的配置选项,尽管随着这些细节的出现,学习曲线也越来越陡峭。要有效地使用 AWS WAF,您需要在 ACL 和防火墙配置方面拥有丰富的经验;对于防火墙经验较少的管理员来说,阿里云 WAF 可以说是更好的 WAF 选择。