【问题标题】:Implementing AWS AWF over CloudFront and ELB通过 CloudFront 和 ELB 实施 AWS AWF
【发布时间】:2019-02-05 02:59:13
【问题描述】:

我们在 Amazon AWS 中有一个包含两个组件的基础设施。一个 API 前面有一个负载均衡器,一个网页前面有一个 CloudFront。我们正在寻找开始解决安全问题的选项,例如阻止恶意 IP。我们已经看到 Amazon AWS AWF 可能是一个有趣的选择,但我有一些问题:

  • 我们是否可以使用一条规则创建一个 ACL 并将其绑定到一个条件,包括我们要阻止的多个 IP?
  • 我们能否为 ELB 和 CloudFront 分配相同的 ACL,或者我们需要创建独立的 ACL 和/或规则?

感谢您的回复。

【问题讨论】:

    标签: amazon-web-services amazon-cloudfront amazon-elb


    【解决方案1】:

    我们是否可以使用一条规则创建一个 ACL 并将其绑定到一个条件,包括我们要阻止的多个 IP?

    是的,IP 匹配条件最多可以匹配 10,000 个 IP 地址或 CIDR 范围。

    IP 匹配条件最多可列出 10,000 个 IP 地址或您的请求源自的 IP 地址范围。在此过程的后期,当您创建 Web ACL 时,您可以指定是允许还是阻止来自这些 IP 地址的请求。

    https://docs.aws.amazon.com/waf/latest/developerguide/web-acl-ip-conditions.html

    我们能否为 ELB 和 CloudFront 分配相同的 ACL,或者我们需要创建独立的 ACL 和/或规则?

    这取决于你是否使用AWS Firewall Manager。如果你这样做了,那么你可以在一个地方管理它们。

    否则,您必须单独执行此操作,因为 CloudFront 的 WAF 和 ALB 的 WAF 实际上是多个独立的服务 - CloudFront 有一个“全球区域”服务,每个 EC2 区域有一个服务。当您构建条件和 ACL 时,您可以在要使用它们的特定服务中定义它们(或者 Firewall Manager 将它们部署在您配置的位置)。

    无论哪种方式,WAF 都会针对部署规则和 ACL 的每个区域向您收费,但您可以在一个区域内的多个资源中重复使用它们,而无需额外付费。

    【讨论】:

    • 谢谢@Michael - sqlbot,经过你的详细解释,清楚多了。
    猜你喜欢
    • 2021-01-29
    • 2014-04-06
    • 2012-03-14
    • 2016-12-17
    • 2016-05-11
    • 2021-09-06
    • 2018-04-07
    • 2017-06-21
    • 2021-06-24
    相关资源
    最近更新 更多