假设我唯一的要求是允许TCP(HTTPS)流量从单个443 CIDR IPv4地址到端口/32:
使用AWS WAF vs VPC安全组来限制入站流量的优缺点是什么?
从外部角度来看,WAF变体将返回HTTP 403,我认为有些人可能会觉得这是一个缺点,因为它给出了系统正在响应的某种确认。而使用安全组无法建立连接。
我认为WAF默认情况下会创建AWS cloudwatch指标,该指标将允许(我认为)对允许和拒绝的请求进行监视和报告-与请求无法到达网络不同。
我认为WAF中的软件错误在理论上可以允许流量通过,例如有人发现了应用程序级别的漏洞),较低级别的网络堆栈可能遇到错误的可能性较小-我承认实际上在两种情况下都可能出现“错误”-但我主观上认为较低的级别级别的网络和路由堆栈可能比应用程序级别的系统更稳定。
我还有其他优点或缺点吗?