问题描述
我们的应用程序托管在AWS中,我正在寻找防火墙解决方案以避免DDoS / http请求泛滥。 在这方面,AWS提供3种解决方案
- AWS Sheild Advanced
- 通过WAF进行速率限制
但是它们两者都是基于IP的请求而工作的。这里的挑战是,如果存在员工要访问我们网站的办公室连接,则所有需求都来自单个IP,并且他们无法访问网站。那么,实现https Flood但允许上述方案中的连接的最佳解决方案是什么?
解决方法
首先,当您使用AWS WAF时,您将获得AWS Shield Basic,这将有助于减轻DDOS攻击。
关于通过“速率限制”实施WAF,您实际上是在应用规则集并以特定顺序应用规则集,无论先评估哪个规则集实际上都会收到操作。
如果您向一个Web ACL添加了多个规则,则AWS WAF会按照您在Web ACL中列出的顺序对每个请求进行评估。
这意味着,如果您有一个WAF规则允许来自本地IP地址的流量并将其设置为第一条规则,则永远不要将其限制在速率限制规则之内,因为它将在该规则之前被评估。
>有关更多信息,请查看How AWS WAF processes a web ACL页面。