Я успешно заблокировал IP-адрес в waf, который настроен для работы с Cloud Front
Есть ли способ заблокировать IP-адрес до того, как он попадет в облако? Это казалось невозможным, поскольку я пытался заблокировать в ACL, который предотвращает доступ к моим серверам, но поскольку облачный интерфейс и WAF находятся впереди, чтобы обрабатывать все запросы, я, кажется, застрял.
Я пытаюсь сэкономить на счете, так как это учитывается при общем количестве запросов.
Там в любом случае?
Невозможно заблокировать запрос «до» того, как он поступит в CloudFront, поскольку в цепочке нет ничего перед CloudFront.
Это верно даже тогда, когда вы используете WAF «впереди». WAF - это вспомогательная платформа - в отличие от «брандмауэра», который вы обычно можете себе представить, WAF на самом деле не находится перед CloudFront, и трафик фактически не проходит через него. Вместо этого, когда CloudFront получает каждый новый запрос, он пересылает копию первых ~ 16 КБ заголовков и тела плюс некоторые метаданные в WAF, который анализирует их и возвращает решение о разрешении / отказе на основе ваших правил. Затем CloudFront принудительно применяет решение WAF, продолжая обрабатывать запрос или немедленно отклоняя его.