WAFPlanet
AWS Web Application Firewall AWS Current

Comment configurer AWS WAF avec Application Load Balancer

Apprenez à protéger vos applications AWS en attachant AWS WAF à un Application Load Balancer avec des groupes de règles gérées.

30-45 minutes intermediate 7 steps
Dernière mise à jour : Déc 15, 2024

AWS WAF s'intègre nativement avec Application Load Balancer (ALB) pour protéger vos applications web contre les exploits et attaques courants.

Ce guide couvre la création d'une Web ACL, son attachement à votre ALB, et la configuration des groupes de règles gérées pour une protection complète.

Prérequis

  • Un compte AWS avec les permissions IAM appropriées
  • Un Application Load Balancer existant
  • Familiarité de base avec la console AWS

Guide étape par étape

1

Accéder à la console AWS WAF

Ouvrez la console AWS et naviguez vers WAF & Shield :

  1. Connectez-vous à la console AWS
  2. Recherchez "WAF" dans la barre de recherche des services
  3. Sélectionnez "AWS WAF" dans les résultats
Conseil : Assurez-vous d'être dans la bonne région AWS où votre ALB est déployé.
2

Créer une Web ACL

Créez une nouvelle Web ACL pour contenir vos règles de pare-feu :

  1. Cliquez sur "Créer une web ACL"
  2. Entrez un nom (ex. "production-web-acl")
  3. Sélectionnez "Ressources régionales (ALB, API Gateway)" pour le type de ressource
  4. Sélectionnez votre région
  5. Cliquez sur "Suivant"
3

Ajouter des règles gérées AWS

Ajoutez des groupes de règles gérées pour une protection immédiate :

  1. Cliquez sur "Ajouter des règles" > "Ajouter des groupes de règles gérées"
  2. Développez "Groupes de règles gérées AWS"
  3. Activez "Core rule set" (protège contre le Top 10 OWASP)
  4. Activez "Known bad inputs" (bloque les requêtes avec des patterns malveillants connus)
  5. Activez "SQL database" si votre application utilise SQL
  6. Cliquez sur "Ajouter des règles"
Conseil : Commencez avec ces trois groupes de règles - ils fournissent une protection complète sans beaucoup de faux positifs.
Attention : Les groupes de règles gérées ont des coûts associés. Consultez la tarification sur aws.amazon.com/waf/pricing/
4

Configurer l'action par défaut

Définissez ce qui se passe pour les requêtes qui ne correspondent à aucune règle :

  1. Pour "Action par défaut de la web ACL pour les requêtes qui ne correspondent à aucune règle", sélectionnez "Autoriser"
  2. Cela signifie que seul le trafic explicitement bloqué est refusé
  3. Cliquez sur "Suivant"
5

Définir la priorité des règles

Les règles sont évaluées dans l'ordre. AWS les traite de haut en bas :

  1. Faites glisser les règles pour définir la priorité (priorité la plus haute en haut)
  2. Généralement, placez les règles de blocage avant les règles d'autorisation
  3. Cliquez sur "Suivant"
6

Associer les ressources ALB

Attachez la Web ACL à votre Application Load Balancer :

  1. Cliquez sur "Ajouter des ressources AWS"
  2. Sélectionnez "Application Load Balancer"
  3. Cochez la case à côté de votre ALB
  4. Cliquez sur "Ajouter"
  5. Cliquez sur "Suivant" puis "Créer la web ACL"
7

Activer la journalisation (Recommandé)

Activez la journalisation pour surveiller les requêtes bloquées :

  1. Sélectionnez votre Web ACL
  2. Allez dans l'onglet "Journalisation et métriques"
  3. Cliquez sur "Activer la journalisation"
  4. Choisissez une destination (CloudWatch Logs, S3, ou Kinesis)
  5. Cliquez sur "Enregistrer"
text 
# Exemple de nom de groupe de logs CloudWatch
aws-waf-logs-production-web-acl

Conclusion et étapes suivantes

Votre ALB est maintenant protégé par AWS WAF avec des groupes de règles gérées. Le WAF inspectera tout le trafic HTTP/HTTPS entrant et bloquera les patterns d'attaque connus.

Prochaines étapes :

  • Surveillez le tableau de bord WAF pour les requêtes bloquées
  • Configurez des alarmes CloudWatch pour les taux de blocage élevés
  • Envisagez d'ajouter des règles de limitation de débit pour prévenir les DDoS
  • Révisez et ajustez les règles selon les besoins de votre application

Dépannage

Trafic légitime bloqué

Vérifiez les logs CloudWatch ou S3 pour identifier la règle causant les blocages. Vous pouvez mettre des règles spécifiques en mode "Comptage" au lieu de "Blocage" pendant que vous enquêtez.

Impossible de trouver mon ALB lors de l'association

Assurez-vous d'être dans la même région AWS que votre ALB. Les Web ACL sont des ressources régionales.

Coûts élevés après activation du WAF

Vérifiez le nombre de règles et le volume de requêtes. Envisagez de consolider les règles ou d'utiliser les unités de capacité plus efficacement.

Questions fréquentes

Quelle est la différence entre Web ACL et groupes de règles ?

Une Web ACL est un conteneur qui contient des règles et des groupes de règles. Les groupes de règles sont des collections réutilisables de règles que vous pouvez ajouter à plusieurs Web ACL. Les groupes de règles gérées AWS sont préconfigurés par AWS et mis à jour automatiquement.

Combien coûte AWS WAF ?

AWS WAF facture selon les Web ACL (5$/mois chacune), les règles (1$/mois chacune), et les requêtes (0,60$ par million). Les groupes de règles gérées peuvent avoir des coûts supplémentaires. Surveillez votre usage avec AWS Cost Explorer.

Guides associés

Comment configurer Cloudflare WAF pour WordPress

Guide étape par étape pour configurer le pare-feu applicatif web Cloudflare pour protéger votre site WordPress des attaques.