我们在亚马逊AWS由两个部分组成的基础设施。一个API与前面负载平衡器,并与前面的CloudFront的网页。我们正在寻找的选项入手,解决安全问题,如阻止恶意IP地址。我们已经看到,亚马逊AWS AWF可能是一个有趣的选择,但我有一些问题:
感谢您的答复。
我们可以创建一个ACL与一个规则并将其绑定到一个条件包括,我们要阻止几个IP地址?
是的,一个IP匹配条件可以匹配或CIDR范围万个IP地址。
一个IP匹配条件列出了多达10000个IP地址或IP地址范围,你的请求发源于。后来在这个过程中,当你创建一个Web访问控制列表,可以指定是否允许或阻止来自这些IP地址块的请求。
https://docs.aws.amazon.com/waf/latest/developerguide/web-acl-ip-conditions.html
我们可以将同一个ACL既ELB和CloudFront的或我们需要建立独立的ACL和/或规则?
这取决于 - 排序 - 您是否使用AWS Firewall Manager。如果这样做,那么你可以在一个地方管理。
否则,你将不得不单独做到这一点,因为WAF对CloudFront的和WAF为ALB实际上是多个独立的服务 - 有一个“全球性区域”的服务,为CloudFront的,并为每个EC2地区一个服务。当你建立条件和ACL,您在特定服务定义它们要使用它们(或防火墙管理部署他们在其中配置)。
无论哪种方式,WAF您收取其中的规则和ACL部署各地区,但是你可以在一个区域内跨多个资源重用他们没有进一步额外费用。