随着企业出海的日益激烈，安全风险正在成为企业日益关注的问题之一，九河云携手AWS带来了使用Amazon WAF 与 Amazon Shield 的 CloudFront安全自动化。Aws WAF是一种web应用防火墙，可帮助保护客户的web应用程序或api免遭常规web漏洞的攻击。Aws Shield是一种托管式分布式拒绝服务 防护服务，Aws WAF 和Aws Shield 都可以部署在CloudFront上，允许客户一键部署，减轻客户运维压力，并提高客户计算资源防护能力。

方案摘要：

该方案提供了一个在 Amazon CloudFront 上快速使用 Amazon WAF 和 Amazon Shield Advanced的模版，它可以自动向客户的账号中部署一套 WAF 规则和 Shield 保护组，从而保护客户的网络应用的安全，防御 DDoS 攻击、爬虫、SQL 注入攻击、XSS 攻击，并且可以过滤有风险的 IP 地址。

采用无服务器架构，客户不需要担心在云中或本地管理、运行服务器或者运行环境。同时它易于部署，客户可通过aws CloudFormation 模版一键将该方案部署到自己的账号中。

客户评估:

客户需要拥有亚马逊云科技的全球区域账号，若需要使用 Amazon Shield Advanced 自动部署功能， 则应提前启用 Amazon Shield Advanced。除此之外，无其他部署前提条件。 该方案目标是降低 Aws WAF和Aws Shield 的学习与使用成本，该方案会部署WAF规则和降低shield保护组，客户可以参考部署手册学习如何使用这些资源。

成本因素:

该方案的应用成本主要为 Amazon WAF、Amazon Shield Advanced、Amazon Athena、Amazon Kinesis Firehose、Amazon Lambda、Amazon API Gateway 和 Amazon S3 的使用费用。

架构图：