1.什麼是 AWS WAF？
AWS WAF 這款 Web 應用程式防火牆允許您配置規則，根據您定義的條件允許、阻止或監視（計數） Web 請求，從而幫助保護 Web 應用程式免受攻擊。這些條件包括 IP 地址、HTTP 標頭、HTTP 正文、URI 字串、SQL 注入和跨站指令碼。

2.AWS WAF 如何阻止或允許流量？
當底層服務收到針對您網站的請求時，會將這些請求轉發至 AWS WAF，依據您的規則進行檢查。一旦有請求符合您在規則中定義的條件，AWS WAF 便根據您定義的操作，要求底層服務阻止或允許相應的請求。

3.AWS WAF 如何保護我的網站或應用程式？

AWS WAF 與 Amazon CloudFront 和 Application Load Balancer (ALB) 緊密整合，AWS 客戶通常使用這些服務為其網站和應用程式交付內容。當您在 Amazon CloudFront 上使用 AWS WAF 時，將在世界各地靠近終端使用者的所有 AWS 邊緣站點中執行您的規則。這意味著安全保護無需以犧牲效能為代價。遭阻止的請求會在它們到達您 Web 伺服器之前被阻斷。當您在 Application Load Balancer 上使用 AWS WAF 時，您的規則將在區域中執行，並且可用於保護面向 Internet 的和內部的負載均衡器。

4.我能用 AWS WAF 來保護未託管於 AWS 的網站嗎？

可以，AWS WAF 與 Amazon CloudFront 整合，而後者支援 AWS 之外的自定義來源。

5.AWS WAF 能幫助阻止哪些型別的攻擊？
AWS WAF 能保護您的網站，免受 SQL 注入和跨站指令碼（XSS）這類常見攻擊技巧的侵襲。此外，您還能自定義規則，阻止來自特定使用者代理、惡意機器人或內容抓取程式的攻擊。要了解更多示例，請參閱 AWS WAF 開發人員指南。

6.我能否獲得我賬戶發起的所有 AWS WAF API 呼叫的歷史記錄，用於安全性、操作性或合規性稽核？
可以。要獲得由您的賬戶發起的所有 AWS WAF API 呼叫的歷史記錄，只需在

CloudTrail 的 AWS 管理控制檯中開啟 AWS CloudTrail 即可。有關更多資訊，請訪問 AWS CloudTrail 主頁或參閱 AWS WAF 開發人員指南。

7.AWS WAF 是否支援 IPv6？
支援，AWS WAF 對 IPv6 的支援使其可檢查來自 IPv6 和 IPv4 地址的 HTTP/S 請求。

8.IPSet 是否符合支援 IPv6 的 AWS WAF Rule 條件？
符合，您可為新型及現有 WebACL 設定新的 IPv6 匹配條件，具體請參閱文件。

9.如適用，我是否可以在 AWS WAF 取樣請求中看到 IPv6 地址出現？
可以。如適用，取樣請求將顯示 IPv6 地址。

10.可以將 IPv6 與所有的 AWS WAF 功能搭配使用嗎？
可以。您可以使用適用於 IPv6 和 IPv4 流量的所有現有功能，且不會對服務的效能、可擴充套件性或可用性造成顯著影響。

11.AWS WAF 支援哪些服務？
AWS WAF 可以部署在 Amazon CloudFront 和 Application Load Balancer (ALB) 上。作為 Amazon CloudFront 的一部分，它可以是用於在邊緣站點保護資源和內容的內容分配網路 (CDN) 的一部分，也可以是用於保護運行於 ALB 之後的來源 Web 伺服器的 Application Load Balancer 的一部分。

12.哪些地區可以在 ALB 上使用 AWS WAF？
以下 AWS 地區支援在 ALB 上使用 AWS WAF。

13.AWS WAF 是否符合 HIPAA 要求？

符合，AWS 已對其 HIPAA 合規性計劃進行擴充套件，其中已將 AWS WAF 作為一項符合 HIPAA 要求的服務包括進來。如果您已與 AWS 簽訂商業合夥協議 (BAA)，則可以使用 AWS WAF 來保護您的 Web 應用程式免受常見的網路攻擊。有關更多訊息，請參閱 HIPAA 合規性。

14.AWS WAF 是如何定價的？是否有任何預付費用？

AWS WAF 根據您建立的 Web 訪問控制列表 (Web ACL) 數量、您為每個 Web ACL 新增的規則數量以及您收到的 Web 請求數量收費。無預先承諾。AWS WAF 費用是 Amazon CloudFront 定價和/或 Application Load Balancer (ALB) 定價之外的額外費用。

15.AWS WAF 中基於速率的規則是什麼？

基於速率的規則是可在 AWS WAF 中配置的一類新規則。藉助此功能，您可以指定客戶端 IP 在持續更新的連續 5 分鐘週期內允許的 Web 請求數量。如果一個 IP 地址違反配置的限制，系統將阻止新請求，直到請求率降至配置的閾值以下。

16.基於速率的規則與常規 AWS WAF 規則有何區別？

基於速率的規則與常規規則類似，只多了一項功能：配置基於速率的閾值。例如，如果基於速率的規則的閾值設定為 (比如) 2000，該規則將阻止在過去 5 分鐘的間隔內請求數量多於 2000 的所有 IP。基於速率的規則也可以包含適用於常規規則的任何其他 AWS WAF 條件。

17.基於速率的規則如何收費？

基於速率的規則與常規 AWS WAF 規則的收費方式相同，每月每 WebACL 每條規則 1 USD

18.基於速率的規則的使用案例有哪些？

以下是客戶使用基於速率的規則可以處理的一些熱門使用案例：

• 我想將超出配置的閾值速率 (在每個連續 5 分鐘的週期內可在 Web 請求中配置) 的 IP 地址列入黑名單或對其進行計數
• 我想知道哪些 IP 地址因超出配置的閾值速率而被列入黑名單
• 我希望已新增到黑名單的 IP 地址在不再違反配置的閾值速率時自動從黑名單中刪除
• 我不希望基於速率的規則將某些高流量源 IP 範圍列入黑名單

19.是否有現有的匹配條件能與基於速率的規則相容？

有。基於速率的規則與現有的 AWS WAF 匹配條件相容。這樣，您可以進一步細化匹配條件，將基於速率的緩解限制為網站的特定 URL 或來自特定引用站點 (或使用者代理) 的流量，或者新增其他自定義匹配條件。

20.我能否使用基於速率的規則緩解 Web 層 DDoS 攻擊？

能。這種全新的規則型別旨在抵禦 Web 層 DDoS 攻擊、暴力登入嘗試和壞機器人等使用案例。

21.基於速率的規則提供哪些可見性功能？

基於速率的規則支援常規 AWS WAF 規則目前提供的所有可見性功能。此外，它們還將呈現由基於速率的規則阻止的 IP 地址。

22.我能否使用基於速率的規則限制對我的某部分網頁的訪問許可權？

能。示例如下：假設您要限制對網站登入頁面的請求。為此，您可以將以下字串匹配條件新增到基於速率的規則：

• 要篩選的請求段是“URI”.
• 匹配型別是“開頭為”。
• 一個匹配值為“/login”(這得是可以在 Web 請求的 URI 部分識別登入頁面的任意值)

此外，您要指定一個速率限制，如每 5 分鐘 15000 個請求。將這條基於速率的規則新增到 Web ACL，即可按 IP 地址限制對您的登入頁面的請求，並且不會影響站點的其餘部分。

23.能否不讓基於速率的規則將某些高流量源 IP 範圍列入黑名單？

能。為此，您可以在基於速率的規則內設定 IP 白名單條件。

24.您的 GeoIP 資料庫的準確程度如何？

國家/地區查詢資料庫的 IP 地址準確性因地區而異。根據最近的測試，我們所提供的 IP 地址與國家/地區對映的總體準確性為 99.8%。