Skip to content
Khoá học AWSSecurity & EncryptionWAF và Shield trong AWS

AWS WAF, AWS Shield và AWS Firewall Manager

Tấn công bảo mật trên web

Khi triển khai ứng dụng trên Internet, các dịch vụ thường đối mặt với nhiều rủi ro bảo mật:

  • Tấn công web (SQL Injection, XSS, Command Injection).
  • DDoS attack làm gián đoạn dịch vụ.
  • Bot traffic không mong muốn.

AWS cung cấp 2 dịch vụ chính để bảo vệ hệ thống:

  • AWS WAF (Web Application Firewall): bảo vệ tầng ứng dụng (Layer 7).
  • AWS Shield: bảo vệ tầng mạng (Layer 3/4) và chống DDoS attack.

👉 Khi kết hợp, WAF + Shield cung cấp lớp phòng thủ nhiều tầng cho ứng dụng chạy trên AWS.

AWS WAF (Web Application Firewall) là gì

AWS WAF là Web Application Firewall managed service cho phép bạn tạo rule-based filtering để bảo vệ ứng dụng web trước các loại tấn công phổ biến.

WAF hoạt động tại Layer 7 (Application Layer) và thường được triển khai kèm với:

  • Amazon CloudFront (CDN).
  • Application Load Balancer (ALB): Bảo vệ trực tiếp ứng dụng Backend.
  • API Gateway: Bảo vệ API.
  • AppSync

Tính năng chính của WAF

  • Custom rules: Lọc requests dựa trên IP, headers, query string, URI, body.
  • Managed rule groups: AWS cung cấp rule sets chống SQL Injection, XSS, bot control.
  • Rate-based rules: Chặn hoặc hạn chế requests từ 1 IP vượt quá ngưỡng.
  • Bot Control: Giảm thiểu bot traffic, scraper, spammer.
  • Visibility: Log mọi request bị chặn qua CloudWatch Logs hoặc Kinesis Firehose.
  • Geo-Match: Chặn requests từ các quốc gia cụ thể.

Cách hoạt động của WAF

  1. User gửi request tới ứng dụng (qua CloudFront/ALB/API Gateway).
  2. Request được so khớp với rule trong WAF.
  3. Action tương ứng được áp dụng: Allow / Block / Count / CAPTCHA / Challenge.
AWS WAF là gì

Pricing của AWS WAF

Trả phí dựa trên:

  • WebACL (Firewall policy).
  • Số lượng rules (Mỗi rule: $1/tháng.)
  • Số lượng requests được lọc ($0.60 cho 1 triệu request.).

AWS Shield là gì

AWS Shield là dịch vụ DDoS protection được tích hợp sẵn trong hạ tầng AWS. Shield bảo vệ ứng dụng ở Layer 3 (Network)Layer 4 (Transport).

Shield có 2 phiên bản:

  • Shield Standard: Miễn phí, tự động áp dụng cho tất cả dịch vụ AWS public (Route 53, CloudFront, ALB, NLB, EC2).
  • Shield Advanced: Tính phí, cung cấp tính năng nâng cao và hỗ trợ 24/7 từ AWS DDoS Response Team (DRT).

Tính năng chính của Shield

  • Shield Standard:

    • Luôn bật mặc định, không cần cấu hình.
    • Bảo vệ chống các DDoS phổ biến như SYN/UDP floods, reflection attacks.

  • Shield Advanced:

    • Bảo vệ nâng cao cho CloudFront, Route 53, ALB/NLB, Global Accelerator, EC2.
    • Near real-time attack visibility (CloudWatch metrics & alarms).
    • DRT support: chuyên gia AWS hỗ trợ xử lý DDoS.
    • DDoS cost protection: hoàn phí khi bị DDoS làm tăng chi phí scaling.

Pricing của Shield

  • Shield Standard: Free.
  • Shield Advanced: khoảng $3,000/tháng/organization + phí usage.

Kết hợp WAF + Shield

Lớp bảo vệDịch vụ AWSChức năng chính
Layer 3/4AWS ShieldChống DDoS volumetric (SYN flood, UDP flood).
Layer 7AWS WAFLọc request, chống SQL Injection, XSS, bot traffic.

Ví dụ triển khai thực tế:

  • CloudFront (global CDN) + Shield (network protection) + WAF (application firewall).
  • Bảo vệ website khỏi DDoS volumetric + SQL Injection + bot attacks.

AWS Firewall Manager là gì

AWS Firewall Manager là dịch vụ Centralized Security Management cho phép bạn triển khai và quản lý các chính sách bảo mật một cách nhất quán trên toàn bộ tài khoảntài nguyên trong AWS Organization.

Firewall Manager giúp tự động áp dụng các chính sách:

  • AWS WAF rules
  • AWS Shield Advanced protections
  • Security Groups policies
  • VPC Network Firewall policies
  • Route 53 Resolver DNS Firewall

Tính năng chính

  • Centralized policy enforcement: áp dụng WAF rules, SG rules cho tất cả account trong AWS Org.
  • Automatic protection: khi có tài nguyên mới (VD: ALB, CloudFront distribution), Firewall Manager sẽ tự động gán chính sách.
  • Compliance reporting: theo dõi trạng thái tuân thủ (compliance) và cảnh báo khi có resource chưa được bảo vệ.
  • Multi-account visibility: quản lý tập trung thay vì phải vào từng account.

Pricing của Firewall Manager

  • Trả phí dựa trên số lượng policies bạn quản lý.
  • Nếu dùng Shield Advanced qua Firewall Manager, phí Shield Advanced vẫn tính riêng.

Use Cases

AWS WAF:

  • Bảo vệ ứng dụng web/API khỏi tấn công SQL Injection, XSS.
  • Rate-limit requests từ cùng một IP.
  • Chặn bot traffic không mong muốn.

AWS Shield:

  • Bảo vệ hạ tầng khi có tấn công DDoS vào CloudFront hoặc ALB.
  • Ngăn chặn tấn công volumetric nhắm vào Route 53 DNS.
  • Shield Advanced cho các tổ chức tài chính, e-commerce cần uptime cao.

AWS Firewall Manager:

  1. Công ty bạn có 10 account trong AWS Organization.
  2. Bạn muốn mọi ALB đều phải có WAF rule chống SQL Injection.
  3. Thay vì cấu hình thủ công từng ALB, bạn tạo một Firewall Manager WAF policy → AWS sẽ tự động áp dụng cho toàn bộ.
⚠️

Bộ ba kết hợp:

  • Shield = lớp nền chống DDoS.
  • WAF = lọc request và bảo vệ ứng dụng.
  • Firewall Manager = triển khai chính sách bảo mật nhất quán trên nhiều tài khoản/tài nguyên.
Secrets Manager trong AWSCác dịch vụ bảo mật khác