我有两个网站
www.mysite.com. -->hosted on s3,通过 Cloudfront 静态单页应用程序提供。然后我有了
api.mysite.com前端使用的。
我的公司正在使用WAF solution第三方产品,当前的整体应用程序受到其保护。
对于新网站,我已经将api.mysite.com其置于 WAF 之后,但我不确定是否也需要将静态网站置于 WAF 之后?
这主要是为了防止网站遭受 DDOS 攻击或机器人等,我们之前遭受过很多攻击,所以我想确保我以正确的方式做这件事。
答案1
虽然 WAF 主要用于保护活跃的网站、表单、API 等,但有时也需要在公共静态内容前使用 WAF。
例如:如何使用 AWS WAF、Amazon CloudFront 和 Referer 检查来防止热链接
另一个用例可能是,如果你的某些静态内容不是完全公开的(例如,依赖于复杂的随机文件名 - 这并不能提供很好的安全性),并且你想限制暴力访问尝试 - 这也是 WAF 可以提供帮助的地方。
因此,你的问题的答案是:是的,有时 WAF 可能用于静态内容。然而,这些都是相当具体的用例,我无法判断它是否与您的网站相关。
另一方面,即使你开始无 WAF后来你发现意想不到的事情静态内容遇到问题时,可以使用 WAF 解决,然后您可以启用它。这不一定是您一开始就需要做出的决定。
希望有帮助:)