我已成功阻止了 waf 中配置为与 Cloud Front 配合使用的 IP
有没有办法在 IP 地址到达 cloudfront 之前阻止它?这似乎不可能,因为我尝试在 ACL 中阻止它,这会阻止对我的服务器的访问,但由于 cloudfront 和 WAF 在前面处理所有请求,我似乎陷入了困境。
我试图节省账单上的钱,因为这会计入总请求数。
有什么办法吗?
答案1
无法在请求到达 CloudFront“之前”阻止它,因为链中 CloudFront 之前没有任何东西。
即使您在“前端”使用 WAF,情况也是如此。WAF 是一个附属平台——与您通常想象的“防火墙”不同,WAF 实际上并不在 CloudFront 的前面,流量实际上也不会通过它。相反,当 CloudFront 收到每个新请求时,它会将前约 16kB 的标头和正文以及一些元数据的副本转发给 WAF,WAF 会对其进行分析并根据您的规则返回允许/拒绝决定。然后,CloudFront 通过继续处理请求或立即拒绝请求来执行 WAF 的决定。