Firewall

WAF+雲前端塊IP

  • September 7, 2019

我已成功阻止 waf 中配置為與 Cloud front 一起使用的 IP

有沒有辦法在 IP 地址到達雲端之前阻止它?這似乎是不可能的,因為我嘗試在阻止訪問我的伺服器的 ACL 中被阻止,但由於 cloudfront 和 WAF 在前面處理所有請求,我似乎卡住了。

我正在努力節省賬單上的錢,因為這會影響總請求。

有什麼辦法嗎?

無法“在”請求到達 CloudFront 之前阻止請求,因為鏈中 CloudFront 之前沒有任何內容。

即使您“在前面”使用 WAF,也是如此。WAF 是一個輔助平台——與您通常想像的“防火牆”不同,WAF 實際上並不在 CloudFront 之前,流量實際上並沒有通過它。相反,當 CloudFront 收到每個新請求時,它會將前約 16kB 的標頭和正文以及一些元數據的副本轉發給 WAF,WAF 對其進行分析並根據您的規則返回允許/拒絕決定。然後,CloudFront 通過繼續處理請求或立即拒絕請求來強制執行 WAF 的決定。

引用自:https://serverfault.com/questions/982359