AWS三大安全服务深度解析:Shield、WAF与Firewall Manager如何选择

本文详细对比了AWS提供的三大核心云安全服务:Shield、WAF和Firewall Manager,剖析了它们各自的功能、定价模型和适用场景,帮助企业在不同规模与需求的部署中,做出最佳的安全架构组合选择。

Which should I choose? AWS Shield vs WAF vs Firewall Manager

Getty Images/iStockphoto

提示

AWS Shield、WAF和Firewall Manager构成了一个强大的安全三重奏,旨在防御应用程序免受网络威胁。了解它们的区别,并确定哪种组合最适合您的需求。

分享此内容:

作者: Ernesto Marquez, Concurrency Labs 发布日期: 2025年11月3日

应用程序所有者必须确保信息的安全交换,并能够抵御各种安全威胁和攻击。为了保护应用程序免受不受欢迎和恶意的互联网流量影响,AWS提供了三项服务:Shield、Web应用程序防火墙(WAF)和Firewall Manager。

这些AWS服务结合起来,可以在OSI模型的第3层、第4层和第7层提供保护。它们覆盖了多项AWS服务,如CloudFront、Route53、Global Accelerator、API Gateway、Elastic Load Balancing(ELB)和Elastic Compute Cloud(EC2)等。这包括防御DDoS攻击、恶意的HTTP和HTTPS请求,以及简化在拥有许多AWS账户和资源的组织中配置的自动化和发布。

什么是AWS Shield? AWS Shield保护AWS组件免受DDoS攻击。这些攻击会产生大量人为生成的请求以干扰公共应用程序。Shield有两种版本:Standard和Advanced。

AWS Shield Standard AWS Shield Standard默认在CloudFront、Route 53和Global Accelerator中启用,无需额外费用。 AWS Shield Standard提供针对某些攻击的保护,但缺乏自定义配置的灵活性。Shield Advanced与AWS WAF服务集成,以配置特定的保护规则。它还能防止因DDoS攻击导致使用量增加而产生的额外AWS费用。受影响的客户可以申请抵扣。

AWS Shield Advanced AWS Shield Advanced可用于CloudFront、Route 53和Global Accelerator,以及ELB、弹性IP和EC2。 AWS Shield Advanced每月费用为3,000美元,并要求一年的订阅承诺。它提供对AWS Shield响应团队的访问权限,这是一个提供24/7紧急支持的小组,但这仅适用于同时拥有AWS Premium Support(企业级或商业级支持计划)的AWS账户,这些支持计划根据每月AWS账单有额外成本。 还有额外的数据传输费,具体取决于受保护资源类型和传输的数据量(例如,<100 TB、400 TB和500 TB)。Shield Advanced的数据传输费在初始100 TB档位内,每传输1 TB数据可能在25到50美元之间,具体取决于受保护资源类型。这是除每个受保护资源适用的数据传输费之外的。月费按每个AWS组织收取。因此,在一个组织内跨多个AWS账户的部署只需支付单笔费用。 虽然Shield Standard保护第3层和第4层攻击,但Shield Advanced扩展了支持的AWS服务数量,并与WAF集成,提供针对第7层攻击的保护。

什么是AWS WAF? Web应用程序防火墙服务专注于第7层保护。WAF的可配置功能集可实时检测并阻止试图访问您应用程序的特定流量模式。它与CloudFront分发、应用程序负载均衡器、Cognito用户池、AWS Verified Access实例、AppSync GraphQL API和API Gateway REST API交互。可以配置WAF来检测来自以下来源的流量:

  • 特定IP。
  • 跨站脚本。
  • SQL注入攻击。
  • IP范围或来源国家。
  • 超过基于速率规则的IP。
  • 请求体、路径、JA3/JA4指纹、查询、标头和Cookie中的内容模式。

借助Firewall Manager,应用程序所有者可以配置适用于AWS组织内所有账户的规则。当传入流量匹配任何已配置规则时,WAF可以拒绝请求、返回自定义响应或仅创建指标以监控相关请求。AWS Marketplace中还提供了其他规则。

它有两个主要功能:

  • AWS WAF Bot Control。它提供专注于识别并采取措施应对通常由普遍存在的机器人使用的请求模式的规则。它也可以配置为允许来自搜索引擎或运行状态监控工具的流量。对于常见的机器人流量,每评估100万个请求收费1美元。针对特定机器人的规则,每检查100万个请求收费10美元。
  • AWS WAF Fraud Control。它保护登录和用户创建页面免受欺诈请求。对于每月请求量在1万到200万之间的部署,Fraud Control每分析100万个请求可能花费1,000美元。 Bot Control和Fraud Control都支持配置显示CAPTCHA挑战的规则。这些挑战对Bot Control Common会产生额外费用,每分析10,000次尝试收费4美元,而Bot Control Targeted和Fraud Control则没有额外费用。 WAF对每个Web访问控制列表(ACL)每月收费5美元,对Web ACL中每个已配置规则每月收费1美元。一个Web ACL可以与多个资源关联;详情请查阅文档。 WAF每100万个请求收费0.60美元。例如,一个每秒处理10个请求的应用程序每月成本约为15美元。此外,还需考虑与规则数量和Web ACL相关的任何费用。

什么是AWS Firewall Manager? AWS Firewall Manager旨在实现跨多个AWS账户和资源的集中管理。它支持以下服务:

  • WAF。
  • Shield Advanced。
  • 网络防火墙。
  • VPC安全组。
  • Route 53 Resolver DNS防火墙。

借助Firewall Manager,应用程序所有者可以配置适用于所有账户的规则。所有者可以配置账户或组织内特定类型的所有资源的规则,例如将规则应用于所有CloudFront分发。它还支持基于资源标签应用配置。当您向账户添加新资源时,可以自动为其分配特定的保护规则,这通过简化和自动化跨一个或多个AWS账户中的多个AWS资源的关键保护功能配置来增强安全性。 大型组织有时难以保护其不断增长的配置和资源数量,Firewall Manager在这方面可以提供帮助。它对每个区域每个已配置的策略每月收费100美元。此外,还需考虑与所创建资源(如WAF webACL、WAF规则、AWS Config规则等)相关的任何费用。拥有Shield Advanced的客户可以配置Firewall Manager,无需为每个策略支付额外费用。 将AWS Shield Standard和WAF结合是小型或中型部署的绝佳选择。AWS Shield Advanced和Firewall Manager,与WAF一起,是大型部署的合适选择。

如何决定哪种工具适合您的组织 虽然所有这三种云安全服务都为大多数AWS云部署提供了非常重要的功能,但评估它们是否适合特定应用程序需求非常重要。受保护的OSI层是一个需要评估的重要领域,以及特定应用程序中需要保护的服务。 成本也是一个重要因素,特别是对于AWS Shield Advanced,考虑到其每月3,000美元的固定费用和所需的一年承诺。拥有众多账户和云资源的大型组织确实应该考虑像Firewall Manager这样的服务,因为它简化了许多云组件的管理。 考虑到安全在现代云部署中的高度优先级,强烈建议评估这些AWS安全服务,并根据特定的应用程序和合规性要求进行配置。

Ernesto Marquez是Concurrency Labs的所有者和项目总监,他在那里帮助初创公司在AWS上启动和发展他们的应用程序。他喜欢构建无服务器架构、构建数据分析解决方案、实施自动化并帮助客户削减AWS成本。

comments powered by Disqus
© 2020 - 2026 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次