前言
AWS WAF 是保护 Web 应用的重要防线,但默认的托管规则往往会产生大量误报,影响正常业务。本文将分享如何通过分析 30 天的 WAF 日志,精细化配置规则,在保障安全的同时避免误拦截业务请求。
一、问题背景
在使用 AWS WAF 托管规则时,我们遇到了以下问题:
- IpReputationList 误拦截正常用户请求- 部分用户 IP 被 AWS 标记为"低信誉",导致正常的 API 请求被拦截
- SQLi 规则误报率高- 正常的业务 API(订单查询、文件上传等)触发 SQL 注入检测
- NoUserAgent 规则影响 IoT 设备- IoT 设备通常不携带 User-Agent,被误判为恶意请求
二、WAF 日志配置
在分析日志之前,需要先配置 WAF 日志记录。推荐使用 Kinesis Data Firehose 将日志投递到 S3。
2.1 日志架构
┌─────────┐ ┌──────────────────────┐ ┌──────────┐ │ WAF │───▶│ Kinesis Data Firehose │───▶│ S3 │ └─────────┘ └──────────────
