AWS 第 7 层防火墙阻止 http 泛洪
AWS Layer 7 firewall to block http flood
我们的应用程序托管在 AWS 中,我正在寻找防火墙解决方案来避免 DDoS / http 请求泛滥。
对此AWS提供了3种解决方案
- AWS Shield Advanced
- 通过 WAF 进行速率限制
但它们都是基于来自 IP 的请求发起的。这里的挑战是,如果有员工访问我们网站的办公室连接,所有请求都来自单个 IP,他们将无法访问网站。那么在上述场景中实现 https 泛洪但允许连接的最佳解决方案是什么?
首先,当您使用 AWS WAF 时,您将获得 AWS Shield Basic,这将有助于减轻 DDOS 攻击。
关于使用 Rate Limiting 实施 WAF,您实际上应用规则集并按特定顺序应用它们,首先评估的那个将实际接收操作。
If you add more than one rule to a web ACL, AWS WAF evaluates each request against the rules in the order that you list them in the web ACL.
这意味着如果您有一个 WAF 规则允许来自您的 on-premise IP 地址的流量并将其设置为第一条规则,那么它永远不应被速率限制规则阻止,因为它将在此之前进行评估规则。
有关详细信息,请查看 How AWS WAF processes a web ACL 页面。
我们的应用程序托管在 AWS 中,我正在寻找防火墙解决方案来避免 DDoS / http 请求泛滥。 对此AWS提供了3种解决方案
- AWS Shield Advanced
- 通过 WAF 进行速率限制
但它们都是基于来自 IP 的请求发起的。这里的挑战是,如果有员工访问我们网站的办公室连接,所有请求都来自单个 IP,他们将无法访问网站。那么在上述场景中实现 https 泛洪但允许连接的最佳解决方案是什么?
首先,当您使用 AWS WAF 时,您将获得 AWS Shield Basic,这将有助于减轻 DDOS 攻击。
关于使用 Rate Limiting 实施 WAF,您实际上应用规则集并按特定顺序应用它们,首先评估的那个将实际接收操作。
If you add more than one rule to a web ACL, AWS WAF evaluates each request against the rules in the order that you list them in the web ACL.
这意味着如果您有一个 WAF 规则允许来自您的 on-premise IP 地址的流量并将其设置为第一条规则,那么它永远不应被速率限制规则阻止,因为它将在此之前进行评估规则。
有关详细信息,请查看 How AWS WAF processes a web ACL 页面。