Amazon-Web-Services

帶有 REST API 的靜態網站前端是否需要 WAF?

  • November 10, 2018

我有兩個網站

  1. www.mysite.com. -->hosted on s3,通過 Cloudfront 靜態單頁應用程序提供服務。
  2. 然後我有api.mysite.com,前端使用。

我的公司正在使用WAF solution第三方,目前的單體應用程序受到它的保護。

對於新站點,我已將api.mysite.comWAF 放在後面,但我不確定是否也需要將靜態站點放在 WAF 後面?

這主要是關於防止站點免受 DDOS 攻擊或機器人等,我們之前有很多攻擊,所以我想確保我以正確的方式做事。

雖然 WAF 主要用於保護活動網站、表單、API 等,但有時也需要在公共靜態內容前使用 WAF。

例如:如何使用 AWS WAF、Amazon CloudFront 和Referer Checking 來防止盜鏈

另一個案例可能是如果您的某些靜態內容不是完全公開的(例如,依賴於復雜的隨機文件名 - 並不是說這提供了很好的安全性)並且您想要限制暴力訪問嘗試 - 這也是 WAF 可能提供幫助的地方。

所以你的問題的答案是:是的,有時 WAF 可能用於靜態內容。然而,這些是非常具體的案例,我無法判斷它是否與您的網站相關。

另一方面,即使您在沒有 WAF的情況下開始,後來您發現靜態內容髮生了一些意想不到的事情,可以使用 WAF 解決,您也可以打開它。這不一定是您一開始就需要做出的決定。

希望有幫助:)

引用自:https://serverfault.com/questions/938605