目錄

AWS背景

• CloudFormation模板

• CloudWatch

• Auto Scaling

梭子魚Web應用防火墻

• Auto Scaling

• Bootstrapping

• 梭子魚CloudFormation模板(CFT)流程圖

梭子魚 Web應用防火墻(WAF)目前可以使用CloudFormation模板在AWS上進行自動部署。此外，梭子魚WAF還集成了AWS CloudWatch和AWS移動消息推送服務(SNS)用于執行自動動態擴展。同時為確保安全部署，梭子魚WAF還將集成了AWS IAM和STS服務。

梭子魚WAF提供針對自動攻擊和目標攻擊的安全防護和DDOS防護。

AWS環境

AWS CloudFormation模板

借助AWS CloudFormation模板，無論是最初的使用VPC安裝，還是后續的修訂策略，DevOps團隊均可以實現應用部署自動化。基于這些策略的Auto-Scaling能讓您根據自身需求將部署大小調節至最優水平。

CloudFormation模板能使用部署所需的所有資源設置完整的AWS部署。例如，一個CloudFormation模板可以設置一個AWS虛擬私有云(VPC)，并在這個云中創建您所選擇的EC2實例。然后，它會下載需要的安裝包，并執行配置任務，使用AWS基礎設施端對端地創建您的應用。從本質上說，這意味著一旦您創建了CloudFormation模板，則無需再進行任何手動操作——它會自動執行所有部署操作。

AWS CloudWatch

AWS CloudWatch是一個監控系統，用于監控實例的各項數值(如CPU、網絡帶寬等)，并在超出臨界值時發出警報。該系統一般與AWS移動消息推送服務結合使用。SNS系統可以通過電子郵件、SMS等發送警報。這些警報可用于追蹤AWS系統上的行為，并執行自動動態擴展。

AWS Auto Scaling

利用Auto Scaling可在AWS部署上添加或移除實例，具體的操作可基于CloudWatch警報或日程。組合在一起自動動態擴展的實例(如服務一個網站的WAF集群)稱為Auto Scaling群組。Auto Scaling群組與Launch Configuration相關聯。Launch Configuration提供啟動圖像所需的所有信息，如VPC、啟動的實例、實例數量等。

梭子魚 Web應用防火墻

Auto Scaling

梭子魚Web應用防火墻目前支持AWS上的CloudFormation部署和自動擴展。DevOps團隊可以通過該支持將梭子魚WAF整合至部署流程。梭子魚WAF實例使用您選擇的配置初始化，然后與其他服務器一同擴展或縮小。根據CPU使用、帶寬和日程使用擴展策略可以優化成本和執行。

使用AWS CloudWatch Alarms可按照事件或日程進行自動動態擴展。部署CloudWatch Alarms的梭子魚WAF能為管理員提供額外的監控渠道;向CloudWatch系統持續報告CPU和帶寬度量能讓管理員監控部署實例的執行情況。

為自動擴展策略設置的CloudWatch Alarms也能采用AWS SNS，在選擇的渠道(郵件、SMS等)向管理員發出通知。這些能通知管理員組內的自動動態擴展事件。

Bootstrapping

在Auto Scaling基礎上，梭子魚WAF還添加了Bootstrapping支持。管理員可以定義CloudFormation模板上第一個WAF的基本配置。一旦創建了初始實例并添加引導程序，建立的其他任何實例也都可以使用該實例同步配置，并在啟動后幾分鐘內提供流量，無需任何管理員干預。集群中任何一個實例的配置變化會同步至所有其他集群的實例。

Auto Scaling改善了AWS上部署的可用性。一個自動擴展組能在一個區域的多個可用性區域部署，一旦某個可用性區域出現可達性問題，業務依然可以正常運行。如果您選擇在另一個區域部署，您可以使用CloudFormation模板輕松復制部署——提高災難恢復能力。

梭子魚Web應用防火墻還在自動擴展組中的多個可用性區域間部署。它能與該部署模型無縫連接，無需任何額外的配置或管理員干預。

以下流程圖描述了采用AWS CloudFormation和自動擴展的梭子魚 WAF部署：

如圖所示，梭子魚WAF采用AWS S3儲存聚類信息。為防止儲存區受到攻擊，梭子魚WAF與AWS IAM整合為一體。啟動時，創建一個IAM角色，對S3儲存段訪問權限有限。使用AWS安全令牌服務提供對儲存段的訪問，該服務提供短期令牌訪問S3儲存段。令牌為動態生成，設置了過期時間以防止濫用。