什么是 AWS WAF？

AWS WAF 是一种 Web 应用程序防火墙，允许您配置规则，根据您定义的条件允许、阻止或监视（计数） Web 请求，从而帮助保护 Web 应用程序免受攻击。这些条件包括 IP 地址、HTTP 标头、HTTP 正文、URI 字符串、SQL 注入和跨站脚本。

AWS WAF 如何阻止或允许流量？

当底层服务收到针对您网站的请求时，会将这些请求转发至 AWS WAF，依据您的规则进行检查。一旦有请求符合您在规则中定义的条件，AWS WAF 便根据您定义的操作，要求底层服务阻止或允许相应的请求。

AWS WAF 如何保护我的网站或应用程序？

AWS WAF 与 Amazon CloudFront 和 Application Load Balancer (ALB)、Amazon API Gateway 和 AWS AppSync 紧密集成 – AWS 客户通常使用这些服务为其网站和应用程序交付内容。当您在 Amazon CloudFront 上使用 AWS WAF 时，将在世界各地靠近最终用户的所有 AWS 边缘站点中运行您的规则。这意味着安全保护无需以牺牲性能为代价。被阻止的请求会在其到达您 Web 服务器之前被阻断。当您在 Application Load Balancer、Amazon API Gateway 和 AWS AppSync 之类的区域服务中使用 AWS WAF 时，您的规则在区域中运行，并可用于保护面向互联网的资源以及内部资源。

我能用 AWS WAF 来保护未托管于 AWS 的网站吗？

可以，AWS WAF 与 Amazon CloudFront 集成，而后者支持 AWS 之外的自定义来源。

AWS WAF 能帮助阻止哪些类型的攻击？

AWS WAF 能保护您的网站，免受 SQL 注入和跨站脚本 (XSS) 这类常见攻击技巧的侵袭。此外，您还可以创建规则来阻止特定用户代理、特定 IP 地址或包含特定请求标头的流量或限制其速率。 要了解更多示例，请参阅 AWS WAF 开发人员指南。

AWS WAF 提供了哪些机器人程序缓解功能？

AWS WAF Bot Control 为您提供了对应用程序的常见和普遍机器人流量的可见性和控制。借助 Bot Control，您可以轻松监控、阻止流行的机器人程序（例如爬网程序、扫描程序和爬虫程序）或实施速率限制，此外您还可以允许状态监控和搜索引擎等常见的机器人程序。您可以将 Bot Control 托管规则组连同其他 WAF 托管规则或您的自定义 WAF 规则一起使用，以保护您的应用程序。请参阅开发人员指南中的 AWS WAF Bot Control 部分。 

我能否获得我账户发起的所有 AWS WAF API 调用的历史记录，用于安全性、操作性或合规性审计？

是。要获得由您的账户发起的所有 AWS WAF API 调用的历史记录，只需在 CloudTrail 的 AWS 管理控制台中打开 AWS CloudTrail 即可。有关更多信息，请访问 AWS CloudTrail 主页或参阅 AWS WAF 开发人员指南。

AWS WAF 是否支持 IPv6？

支持，AWS WAF 对 IPv6 的支持使其可检查来自 IPv6 和 IPv4 地址的 HTTP/S 请求。

IPSet 是否符合支持 IPv6 的 AWS WAF Rule 条件？

符合，您可为新型及现有 WebACL 设置新的 IPv6 匹配条件，具体请参阅文档。

如果适用，我是否可以在 AWS WAF 采样请求中看到 IPv6 地址出现？

是。如果适用，采样请求将显示 IPv6 地址。

可以将 IPv6 与所有的 AWS WAF 功能搭配使用吗？

是。您可以使用适用于 IPv6 和 IPv4 流量的所有现有功能，且不会对服务的性能、可扩展性或可用性造成显著影响。

AWS WAF 支持哪些服务？

AWS WAF 可以部署在 Amazon CloudFront、Application Load Balancer (ALB)、Amazon API Gateway 和 AWS AppSync 上。部署在 Amazon CloudFront 上时，它可以成为您的内容分发网络 (CDN) 的一部分，保护您在边缘站点的资源和内容。部署在 Application Load Balancer 时，它可以保护您在 ALB 后方运行的原始 Web 服务器。部署在 Amazon API Gateway 上时，它可以保护您的 REST API。作为 AWS AppSync 的组成部分，它可帮助保护您的 GraphQL API 安全。

哪些 AWS 区域可以使用 AWS WAF？

请参阅 AWS 区域服务表。

AWS WAF 是否符合 HIPAA 要求？

符合，AWS 已对其 HIPAA 合规性计划进行扩展，其中已将 AWS WAF 作为一项符合 HIPAA 要求的服务包括进来。如果您已与 AWS 签订商业合伙协议 (BAA)，则可以使用 AWS WAF 来保护您的 Web 应用程序免受常见的网络攻击。有关更多信息，请参阅 HIPAA 合规性。

AWS WAF 如何定价？ 是否有任何预付费用？

AWS WAF 根据您创建的 Web 访问控制列表 (Web ACL) 数量、您为每个 Web ACL 添加的规则数量以及您收到的 Web 请求数量收费。无需预先承诺。AWS WAF 费用是 Amazon CloudFront 定价、Application Load Balancer (ALB) 定价、Amazon API Gateway 定价和/或 AWS AppSync 定价之外的额外费用。

AWS WAF 中基于速率的规则是什么？

基于速率的规则是可在 AWS WAF 中配置的规则类型，允许您指定客户端 IP 在持续更新的连续 5 分钟周期内允许的 Web 请求数量。如果一个 IP 地址违反配置的限制，系统将阻止新请求，直到请求速率降至配置的阈值以下。

基于速率的规则与常规 AWS WAF 规则有何区别？

基于速率的规则与常规规则类似，只多了一项功能：配置基于速率的阈值。例如，如果基于速率的规则的阈值设置为 2000，该规则将阻止在过去 5 分钟的间隔内请求数量多于 2000 的所有 IP。基于速率的规则也可以包含适用于常规规则的任何其他 AWS WAF 条件。

基于速率的规则如何收费？

基于速率的规则与常规 AWS WAF 规则的收费方式相同，每月每 WebACL 每条规则 1 USD

基于速率的规则的使用案例有哪些？

以下是客户使用基于速率的规则可以处理的一些热门使用案例：

是否有现有的匹配条件能与基于速率的规则兼容？

是。基于速率的规则与现有的 AWS WAF 匹配条件兼容。这样，您可以进一步细化匹配条件，将基于速率的缓解限制为网站的特定 URL 或来自特定引用站点（或用户代理）的流量，或者添加其他自定义匹配条件。

我能否使用基于速率的规则缓解 Web 层 DDoS 攻击？

是。这种全新的规则类型旨在抵御 Web 层 DDoS 攻击、暴力登录尝试和不良机器人等使用案例。

基于速率的规则提供哪些可见性功能？

基于速率的规则支持常规 AWS WAF 规则目前提供的所有可见性功能。此外，它们还将呈现由基于速率的规则阻止的 IP 地址。

我能否使用基于速率的规则限制对我的某部分网页的访问权限？

是。示例如下：假设您要限制对网站登录页面的请求。为此，您可以将以下字符串匹配条件添加到基于速率的规则：

此外，您要指定一个速率限制，如每 5 分钟 15000 个请求。将这条基于速率的规则添加到 Web ACL，即可按 IP 地址限制对您的登录页面的请求，并且不会影响站点的其余部分。

能否不让基于速率的规则阻挡某些高流量源 IP 范围？

是。您可以使用在基于速率的规则内允许请求的独立 IP 匹配条件实现此目的。

IP 地理位置数据库的准确程度如何？

国家/地区查找数据库的 IP 地址准确性因区域而异。根据最近的测试，我们所提供的 IP 地址与国家/地区映射的总体准确性为 99.8%。