我读过这个http://docs.aws.amazon.com/waf/latest/developerguide/web-acl.html
我读到 ACL 可以与云端以及负载均衡器关联。
我可以找到 cloudfront 的教程http://docs.aws.amazon.com/waf/latest/developerguide/tutorials-rate-based-blocking.html
但我找不到任何将 ACL 与负载均衡器关联的教程。我也没有在 AWS 控制台 UI 上找到任何选项。
有什么帮助吗?
答案1
负载均衡器需要子网才能运行,您可以在子网级别为 ELB 配置的每个子网设置 NACL。但是,如果您已经在 ALB 前面使用 AWS WAF,为什么还需要在该级别设置 NACL?如果您在 ALB 前面使用 Cloudfront,则可以使用此方法将 ALB 安全组设置为仅可从 Cloudfront IP 地址范围访问AWS 实验室代码
您的 VPC 自动附带可修改的默认网络 ACL。默认情况下,它允许所有入站和出站 IPv4 流量以及 IPv6 流量(如果适用)。
您可以创建自定义网络 ACL 并将其与子网关联。默认情况下,每个自定义网络 ACL 都会拒绝所有入站和出站流量,直到您添加规则。
您的 VPC 中的每个子网都必须与网络 ACL 关联。如果您没有明确将子网与网络 ACL 关联,则子网将自动与默认网络 ACL 关联。
您可以将一个网络 ACL 与多个子网关联;但是,一个子网一次只能与一个网络 ACL 关联。将网络 ACL 与子网关联后,之前的关联将被删除。
网络 ACL 包含一个编号规则列表,我们会按顺序评估这些规则,从编号最低的规则开始,以确定是否允许流量进出与网络 ACL 关联的任何子网。规则可以使用的最大编号是 32766。我们建议您首先创建规则编号为 100 的倍数的规则,以便您以后可以在需要的地方插入新规则。
网络 ACL 具有单独的入站和出站规则,每个规则可以允许或拒绝流量。
网络 ACL 是无状态的;对允许的入站流量的响应受出站流量规则的约束(反之亦然)。
http://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_ACLs.html
答案2
这是一份有关如何将 WebACL 关联到负载均衡器的优秀文档。
https://aws.amazon.com/blogs/aws/aws-web-application-firewall-waf-for-application-load-balancers/
如果您使用 CloudFormation: