我们在Amazon AWS中拥有一个包含两个组件的基础架构。一个API,其前端为Load Balancer,而网页为CloudFront。我们正在寻找开始解决安全问题的选项,例如阻止恶意IP。我们已经看到,Amazon AWS AWF可能是一个有趣的选择,但我有一些疑问:
感谢您的答复。
答案 0 :(得分:1)
我们可以用一个规则创建一个ACL并将其绑定到一个条件,其中包括我们要阻止的多个IP吗?
是的,IP匹配条件最多可以匹配10,000个IP地址或CIDR范围。
IP匹配条件列出了您的请求所源自的10,000个IP地址或IP地址范围。在此过程的稍后部分,当您创建Web ACL时,您可以指定是允许还是阻止来自这些IP地址的请求。
https://docs.aws.amazon.com/waf/latest/developerguide/web-acl-ip-conditions.html
我们可以为ELB和CloudFront分配相同的ACL,还是需要创建独立的ACL和/或规则?
这取决于-是否使用AWS Firewall Manager。如果这样做,则可以在一个地方进行管理。
否则,您将必须分别执行此操作,因为CloudFront的WAF和ALB的WAF实际上是多个独立的服务-CloudFront有一个“全局区域”服务,每个EC2区域都有一个服务。构建条件和ACL时,可以在要使用它们的特定服务中对其进行定义(或者,防火墙管理器将它们部署在您配置的位置)。
无论哪种方式,WAF都会向部署规则和ACL的每个区域收取费用,但您可以在区域内的多个资源之间重用它们,而无需支付额外费用。