在 CloudFront 而不是 AWS 负载均衡器中部署 AWS WAF 有什么好处?
[英]What is the benefit of deploying AWS WAF in CloudFront instead of AWS load balancer?
问题描述
在 CloudFront 而不是 AWS 负载均衡器中部署 AWS WAF 有什么好处? 我读过 CloudFront 能够吸收大量流量(体积 DDoS),但同时 AWS 负载均衡器可以自动扩展,我找不到任何关于连接或数据包限制的信息每秒,因此攻击者不应使负载均衡器资源饱和(AWS 也应自动吸收大量 DDoS)。
1 个解决方案
解决方案1
0 2022-06-14 16:21:18
tl; dr - 这是一个交通漏斗。 使用 DDoS 消除大量不良行为,消除 WAF 上更有针对性的特定于应用程序的攻击,然后 LB 最终只为服务器提供良好的流量。
虽然它们执行完全独立的服务,但它们是成功应用程序性能的整体的两个部分。
负载均衡器将为您指定的任何 IP/端口将流量路由到 n+1 个 Web/应用程序服务器。 但它会路由所有这些,高级 LB 系统中有一些条件逻辑,但它不能充当安全设备。 它将根据您的负载平衡方法(循环,最少连接......)将接收到的任何内容发送到服务器。
拥有一个或多个流量安全服务,如 DDoS 和反欺诈/机器人,然后是 WAF,您可以先执行负面安全态势 (DDoS),过滤大量不良流量。 WAF 将紧随其后进行基于签名和/或特定于应用程序的有效负载检查,以确保只有有效和安全的流量才能访问您的应用程序。 这将是一种类似于 ACL 允许列表的积极安全态势。 DDoS 验证不良流量和丢弃,WAF 将验证良好流量并允许它通过。
这种 DDoS => WAF => LB 的漏斗做了两个关键的事情,首先丢弃最大量的恶意流量,然后可以进行更昂贵的有效负载检查(价格和性能成本),然后对合法流量进行负载均衡。
例如,如果您通常每天平均 20Gbps 的流量,突然 DDoS 攻击以 300Gbps(相对较小)攻击您的公共 IP,您不希望该流量进入您的应用程序入口并收取入口费用,那么 ALB LCU 几小时前被丢弃。 您只需为相同数量的有效用户支付更多费用。
我们也不要忘记,如果它在被删除之前必须经过所有这些管道,那么对您的应用程序的性能影响将会非常明显。
这是一个过于简单的答案,我知道,但它应该回答直接的问题,但如果你有更多的跟进 q 让我知道。
在 AWS Application LB 之上添加 AWS Cloudfront 有什么好处?
[英]What is the benefit of adding AWS Cloudfront on top of AWS Application LB?
AWS Cloudfront +负载均衡器,尝试从负载均衡器子域更改域
[英]AWS Cloudfront + Load Balancer, try to change domain from load balancer subdomain
AWS Cloudfront + 负载均衡器,url 从主域更改为负载均衡器子域
[英]AWS Cloudfront + Load Balancer, url changes from main domain to load balancer subdomain
AWS Cloudfront(使用WAF)+ API网关:如何通过Cloudfront强制访问?
[英]AWS Cloudfront (with WAF) + API Gateway: how to force access through Cloudfront?
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.
相关问题
带有Cloudfront的AWS WAF
为 CloudFront 和负载均衡器设置 WAF
AWS > 负载均衡器 + Cloudfront - 最好的方法是什么
AWS 限制从 cloudfront 到负载均衡器的访问
适用于内部弹性负载均衡器来源的AWS Cloudfront
在 AWS Application LB 之上添加 AWS Cloudfront 有什么好处?
AWS WAF 对 cloudfront 后面的 apigateway 没有影响
AWS Cloudfront +负载均衡器,尝试从负载均衡器子域更改域
AWS Cloudfront + 负载均衡器,url 从主域更改为负载均衡器子域
AWS Cloudfront(使用WAF)+ API网关:如何通过Cloudfront强制访问?
相关标签