当前位置：首页 > news >正文

AWS WAF实战、优势对比和缺陷解决

news 2026/2/7 11:54:37

文章目录

- 挑战和目标
- AWS WAF的优势
- AWS WAF的不足
- 我是怎么做的?
- 什么是比较好的AWS WAF设计?

笔者为了解决公司Web站点防御性问题，较为深入的研究AWS WAF的相关规则。面对上千万的冲突，笔者不得设计出一种能漂亮处理冲突数据WAF规则。
AWS WAF

AWS WAF开发人员在线指南

挑战和目标

笔者意图引进WAF，但运维同学折腾了几个月都没有开启WAF成功，面临有以下挑战和目标：

解决大量与现有业务的冲突
尽可能的Block掉攻击流量
风险操作统一管理(统一给一个标签出来)方便我们监控

笔者只能接管WAF的配置权限，设计WAF规则，并最终解决了相关落地问题。

AWS WAF的优势

高度可配置相对阿里来说
纯JSON语言 DSL(领域内语言)

AWS WAF的不足

缺乏可视化编辑能力
非常容易漏，即一个请求没有经过深度检测就被放过的可能
这里举个例子，如果我们检查一个请求具有客户端特征，如果我们选择了Accept就意味着这个请求将被特赦，无法再对其进行任何检查。
所以Accept动作是一个非常风险的设计动作。特别是当你的WAF已经设计比较复杂的时候。
对于官方的托管规则存在以下问题：
三个问题其实是一个问题，如何关闭特定托管子项，AWS的托管规则子项仅存在这种选择: Count,Accept,Block。想关都不关不掉。

a. 无法重复两次使用同一种托管规则
b. 无法删除被打上的标签
c. 无法关闭托管规则的子项：真乃一荣俱荣，一损俱损
如果无法关闭特定标签,后面就无法直接使用特定的命名空间进行判断.
因为拖管规则命名空间被一些需要根据业务关闭而又无法关闭的标签给污染了,导致后面每次使用该命名空间要么都要判断排除,要么就不能使用该命名空间,而需要独立使用子项(可能包含了数十种子项).
总之就是自虐.
当然我们做了解决:通过自定义的Filter规则,来替代AWS的特定拖管规则,在Filter规则里对特定不符合业务的子托管规则进行剔除操作.
在线编辑功能，只能两层(横向)
超出的部分就只能在线编辑,JSON的提示真是非人语言

我是怎么做的?

解决可视化问题
制作了可视化工具，能解析AWS 的WAF JSON.
特别是对Accept/Block/Count的目标和各规则之间关系进行了解析和展示.
关闭特定托管规则子项
过自定义的Filter规则,来替代AWS的特定拖管规则,在Filter规则里对特定不符合业务的子托管规则进行剔除操作.
在线编辑只能两层
只能强行用复制粘贴方法了.在一个规则里测试好,再复制出来.
幸亏我22层规则是纵向的,横向的只有2-3层的样子.

什么是比较好的AWS WAF设计?

我认为做到以下几点可称为好的AWS WAF设计：

流量过滤器
干掉纯IP流量
如果你的服务器不需要支持纯IP连接的话.纯IP真是万恶之源.
给优先用户一些标签
给登录用户一个标签,给公司出去流量一个标签
对托管规则做一个适合业务的裁剪(通过上面提到Filter规则)
集中管理
也就是各层判断根据判断结果打标签,一概不做Block.
等所有标签决策投票完毕后,有任何问题的,继续走:Will_Ban层
由决策层统一做判断:
比如是我们的保护路径或者登录用户我们就纳入Manual层,做记录,放行
其他自然流入最底的Tail_End进行Block.

最终笔者将以上5点扩展为具体规则，编写一个22层的WAF来解决了相关问题。

AWS WAF实战、优势对比和缺陷解决

文章目录挑战和目标AWS WAF的优势AWS WAF的不足我是怎么做的?什么是比较好的AWS WAF设计? 笔者为了解决公司Web站点防御性问题，较为深入的研究AWS WAF的相关规则。面对上千万的冲突，笔者不得设计出一种能漂亮处理冲突数据WAF规则。 AWS WAF开发人员在…...

编程日记 2023/8/25 0:14:07

13，【设计模式】代理

代理代理支持任意参数的简单代理实现代理代理的本质是函数指针代理分为单播，多播，动态多播（ue4中提出的） 单播：在网络通信中，单播是一种一对一的通信方式多播：在网络通信中，…...

编程日记 2023/8/25 0:13:06

基于IDEA使用maven创建hibernate项目

1、创建maven项目 2、导入hibernate需要的jar包 <dependency><groupId>org.hibernate</groupId><artifactId>hibernate-core</artifactId><version>5.4.1.Final</version></dependency><!--…...

编程日记 2023/8/25 0:12:05

使用Termux在安卓手机上搭建Hexo博客网站，并发布到公网访问

文章目录 1. 安装 Hexo2. 安装cpolar内网穿透3. 公网远程访问4. 固定公网地址 Hexo 是一个用 Nodejs 编写的快速、简洁且高效的博客框架。Hexo 使用 Markdown 解析文章，在几秒内，即可利用靓丽的主题生成静态网页。下面介绍在Termux中安装个人hexo博客并…...

编程日记 2023/8/25 0:11:04

宝塔杀死 java服务 netstat -tlnp | grep :7003 kill 2205698

7003 是端口 netstat -tlnp | grep :7003 kill 2205698...

编程日记 2023/8/25 0:10:03

Python3 数据类型转换

Python3 数据类型转换有时候，我们需要对数据内置的类型进行转换，数据类型的转换，一般情况下你只需要将数据类型作为函数名即可。 Python 数据类型转换可以分为两种： 隐式类型转换 - 自动完成显式类型转换 - 需要使用类型函数来…...

编程日记 2023/8/25 0:09:02

Cookie 和 Session 的工作流程

目录一、Cookie是什么？ 二、Session是什么? 三、Cookie的工作流程四、Session的工作流程五、Session和Cookie的区别和联系一、Cookie是什么？ Cookie是一种在网站和用户之间交换信息的机制。它是由Web服务器发送给用户浏览器的小型文本文件&#xff…...

编程日记 2023/8/25 0:08:00

AutoSAR配置与实践（基础篇）3.6 BSW的WatchDog功能

3.6 BSW的WatchDog功能一、WatchDog功能介绍1.1 WatchDog 模块组成1.2 内外部看门狗区别和原理1.3 常见看门狗校验方式一、WatchDog功能介绍 1.1 WatchDog 模块组成 WatchDog 即看门狗功能。这个看门狗不是真正看家的狗，而是软件的一个模块，但是因为功能类似故以此起名。主…...

编程日记 2023/8/25 0:06:59

运维高级第6次作业

1.安装docker服务，配置镜像加速器 Docker安装与镜像加速器配置_ZRSAI的博客-CSDN博客 2.下载系统镜像（Ubuntu、 centos） 执行该命令后，Docker会自动从Docker Hub镜像库中下载Ubuntu镜像，并将其保存到本地计算机上: [ro…...

编程日记 2023/8/25 0:05:58

MongoDB使用GridFS存储大数据（Java）

MongoDB 是一个灵活的 NoSQL 数据库，能够存储大量的数据。但是，当涉及到特别大的数据项，比如大文件、视频或大型图片时，MongoDB 提供了一个特殊的方法来存储这些数据：GridFS。简介： 1. 什么是 GridFS&am…...

编程日记 2023/8/25 0:04:57

内网穿透实战应用-windwos10系统搭建我的世界服务器，内网穿透实现联机游戏Minecraft

文章目录 1. Java环境搭建2.安装我的世界Minecraft服务3. 启动我的世界服务4.局域网测试连接我的世界服务器5. 安装cpolar内网穿透6. 创建隧道映射内网端口7. 测试公网远程联机8. 配置固定TCP端口地址8.1 保留一个固定tcp地址8.2 配置固定tcp地址 9. 使用固定公网地址远程联机 …...

编程日记 2023/8/25 0:03:56

pytorch基于ray和accelerate实现多GPU数据并行的模型加速训练

在pytorch的DDP原生代码使用的基础上，ray和accelerate两个库对于pytorch并行训练的代码使用做了更加友好的封装。以下为极简的代码示例。 ray ray.py #codingutf-8 import os import sys import time import numpy as np import torch from torch import nn im…...

编程日记 2023/8/25 0:02:55

[蓝帽杯 2022 初赛]domainhacker

打开流量包，追踪TCP流，看到一串url编码放到瑞士军刀里面解密最下面这一串会觉得像base64编码删掉前面两个字符就可以base64解码依次类推，提取到第13个流，得到一串编码其中里面有密码导出http对象发现最后有个1.rar文件不出…...

编程日记 2023/8/25 0:01:53

在 Pytorch 中使用 TensorBoard

机器学习的训练过程中会产生各类数据，包括 “标量scalar”、“图像image”、“统计图diagram”、“视频video”、“音频audio”、“文本text”、“嵌入Embedding” 等等。为了更好地追踪和分析这些数据，许多可视化工具应运而生，比如之前介绍的…...

编程日记 2023/8/25 0:00:52

Grafana Dashboard 备份方案

文章目录 Grafana Dashboard 备份方案引言工具简介支持的组件要求配置备份安装使用 pypi 安装grafana备份工具配置环境变量使用Grafana Backup Tool 进行备份恢复备份 Grafana Dashboard恢复 Grafana Dashboard结论Grafana Dashboard 备份方案引言每个使用 Grafana 的同学都…...

编程日记 2023/8/24 23:59:51

#导入工具包 from scipy.spatial import distance as dist from collections import OrderedDict import numpy as np import argparse import time import dlib import cv2FACIAL_LANDMARKS_68_IDXS OrderedDict([("mouth", (48, 68)),("right_eyebrow",…...

编程日记 2023/8/24 23:58:50

2023-08-24力扣每日一题

链接： 1267. 统计参与通信的服务器题意： 同行同列可以发生通信，求能发生通信的机器数量解： 标记每行/每列的机器个数即可实际代码： #include<bits/stdc.h> using namespace std; class Solution { pub…...

编程日记 2023/8/24 23:57:48

蚂蚁数科持续发力PaaS领域，SOFAStack布局全栈软件供应链安全产品

8月18日，记者了解到，蚂蚁数科再度加码云原生PaaS领域，SOFAStack率先完成全栈软件供应链安全产品及解决方案的布局，包括静态代码扫描Pinpoint、软件成分分析SCA、交互式安全测试IAST、运行时防护RASP、安全洞察Appinsight等&#x…...

编程日记 2023/8/24 23:56:47

Java后端开发面试题——消息中间篇

RabbitMQ-如何保证消息不丢失交换机持久化： Bean public DirectExchange simpleExchange(){// 三个参数：交换机名称、是否持久化、当没有queue与其绑定时是否自动删除 return new DirectExchange("simple.direct", true, false); }队列持久化…...

编程日记 2023/8/24 23:55:41