**引入全新的主机体验 AWS WAF**

现在，您可以使用更新的体验访问控制台中任意位置的 AWS WAF 功能。有关更多详细信息，请参阅[使用控制台](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html)。

本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 什么是 AWS WAF、 AWS Shield Advanced、 AWS Shield 网络安全总监和 AWS Firewall Manager？
<a name="what-is-aws-waf"></a>

您可以[AWS Firewall Manager](fms-chapter.md)结合使用[AWS WAF](waf-chapter.md)[AWS Shield](shield-chapter.md)、和来创建全面的安全解决方案。 AWS WAF 是一种 Web 应用程序防火墙，可用于监控最终用户向您的应用程序发送的 Web 请求并控制对您的内容的访问。Shield Advanced 可在网络和传输层（DDo第 3 层和第 4 层）以及应用层（第 7 层）提供针对 AWS 资源的分布式拒绝服务攻击的保护。 AWS Firewall Manager 即使添加了新资源，也可跨账户 AWS WAF 和资源管理和 Shield Advanced 等保护。

**Topics**
+ [什么是 AWS WAF？](#waf-intro)
+ [什么是 AWS Shield Advanced？](#ddos-intro)
+ [什么是 AWS Shield 网络安全总监？](#nsd-intro)
+ [什么是 AWS Firewall Manager？](#fms-intro)

## 什么是 AWS WAF？
<a name="waf-intro"></a>

AWS WAF 是一个 Web 应用程序防火墙，允许您监控转发到受保护的 Web 应用程序资源的 HTTP 和 HTTPS 请求。您可以保护以下资源类型：
+ 亚马逊 CloudFront 配送
+ Amazon API Gateway REST API
+ 应用程序负载均衡器
+ AWS AppSync GraphQL API
+ Amazon Cognito 用户池
+ AWS App Runner 服务
+ AWS 已验证访问实例
+ AWS Amplify

AWS WAF 允许您控制对内容的访问权限。根据指定的条件（如请求源自的 IP 地址或查询字符串的值），受保护资源会使用所请求的内容或者使用 HTTP 状态代码 403（禁止）或自定义响应来响应请求。

在最简单的层面上， AWS WAF 允许您选择以下行为之一：
+ **允许除您指定的请求之外的所有请求** — 当您想让 Amazon CloudFront、Amazon API Gateway、Application Load Balancer AWS AppSync AWS App Runner、Amazon Cognito 或 AWS 已验证访问权限为公共网站提供内容，但又想阻止攻击者的请求时，这很有用。
+ **阻止您指定的请求之外的所有请求** 当您要为其用户可通过 web 请求中的属性（如他们用于浏览网站的 IP 地址）轻松识别的受限网站提供内容时，此行为很有用。
+ **统计符合您条件的请求**：您可以使用 Count 操作来跟踪您的 web 流量，而无需修改处理方式。您可以用它来进行常规监控，也可以用来测试您的新 web 请求处理规则。当你想根据 Web 请求中的新属性允许或阻止请求时，可以先配置 AWS WAF 为计算与这些属性匹配的请求。这样，您就可以在将规则切换为允许或阻止匹配请求之前确认新的配置设置。
+ **对符合您条件的请求运行验证码或质询检查**：您可以对请求实施验证码和静默质询控制，以帮助减少机器人流向受保护资源的流量。

使用 AWS WAF 有几个好处：
+ 使用您指定的条件针对 web 攻击提供额外保护。您可以使用 web 请求的如下特征来定义条件：
  + 请求源自的 IP 地址。
  + 请求源自的国家/地区。
  + 请求标头中的值。
  + 出现在请求中的字符串（特定字符串或与正则表达式（regex）模式匹配的字符串）。
  + 请求的长度。
  + 存在可能是恶意的 SQL 代码（称为 * SQL 注入*）。
  + 存在可能是恶意的脚本（称为*跨站点脚本*）。
+ 规则可以允许、阻止或统计满足指定条件的 web 请求。或者，规则可以阻止或统计不仅满足指定条件，还在一分钟或五分钟内超过指定请求数的 web 请求。
+ 可以重复用于多个 web 应用程序的规则。
+ 来自 AWS 和 AWS Marketplace 卖家的托管规则组。
+ 实时指标和采样的 web 请求。
+ 使用 AWS WAF API 进行自动管理。

如果您希望对添加到您的资源的保护进行精细控制，单独使用 AWS WAF 可能是正确的选择。有关的更多信息 AWS WAF，请参阅[AWS WAF](waf-chapter.md)。

## 什么是 AWS Shield Advanced？
<a name="ddos-intro"></a>

您可以使用 AWS WAF Web 访问控制列表 (Web ACLs) 来帮助最大限度地减少分布式拒绝服务 (DDoS) 攻击的影响。为了进一步防御 DDo S 攻击， AWS 还提供 AWS Shield Standard 和 AWS Shield Advanced。 AWS Shield Standard 自动包含在内，除了您已支付的费用和其他 AWS 服务外，不收取 AWS WAF 任何额外费用。

Shield Advanced 为您的亚马逊 EC2 实例、Elastic Load Balancing 负载均衡器、 CloudFront 分配、Route 53 托管区域和 AWS Global Accelerator 标准加速器提供扩展的 DDo S 攻击保护。Shield Advanced 会产生额外费用。Shield Advanced 选项和功能包括自动应用层 DDo S 缓解、高级事件可见性以及盾牌响应小组 (SRT) 的专门支持。如果您拥有高知名度的网站，或者容易受到频繁的 DDo S 攻击，请考虑购买 Shield Advanced 提供的额外保护。有关其他信息，请参阅[AWS Shield Advanced 功能和选项](ddos-advanced-summary-capabilities.md)和[决定是否订阅 AWS Shield Advanced 和应用其他保护](ddos-advanced-summary-deciding.md)。

## 什么是 AWS Shield 网络安全总监？
<a name="nsd-intro"></a>

AWS Shield network Security Director 通过发现账户中的计算、网络和网络安全资源来帮助保护您的 AWS 环境。网络安全总监根据 AWS 最佳实践和威胁情报分析网络拓扑和安全配置，从而评估每个资源的安全配置。为帮助您加强安全性，网络安全分析器将其调查发现按严重程度从低到重大进行评级，并分享具体的补救步骤，您可以通过 Amazon Q 开发者版使用自然语言查询以了解这些步骤。

有关 AWS Shield 网络安全控制器的更多信息，请参阅[AWS Shield 网络安全总监（预览版）](nsd-chapter.md)。

## 什么是 AWS Firewall Manager？
<a name="fms-intro"></a>

AWS Firewall Manager 简化您跨多个账户和资源的管理和维护任务，以实现各种保护，包括 AWS WAF Amazon VPC 安全组和网络 ACLs以及 Amazon Route 53 Resolver DNS 防火墙。 AWS Shield Advanced AWS Network Firewall使用 Firewall Manager 一次设置好保护措施，该服务就会自动将其应用于您的账户和资源，即使添加新资源和账户时也是如此。

有关 Firewall Manager 的更多信息，请参阅 [AWS Firewall Manager](fms-chapter.md)。