区域性 API 网关和 WAF(Web 应用防火墙)
0
【以下的问题经过翻译处理】 对于CF + WAF,流量在到达WAF之前会被CF拦截,因此某些头信息会被修改(例如X-Forwarded-For)。我的客户想要了解使用区域性API + WAF时的行为,流量是否会先到达WAF,然后再到达API GW,或者反之。我理解的是,流量会先到达WAF,因为由WAF阻止的流量不会计入API GW的消耗。 我还可以假设WAF处于穿透模式,不会修改任何流量头信息,这个正确吗?
1 回答
- 最新
- 投票最多
- 评论最多
0
【以下的回答经过翻译处理】 当您在资源(CloudFront、API Gateway或ALB)上启用WAF时,端点不会更改。这意味着WAF不会在这些服务前面,而是作为第一步调用WAF,如果配置了的话。您还可以在WAF常见问题解答中看到这一点:
“2. AWS WAF如何阻止或允许流量?
在底层服务接收您网站的请求时,它将这些请求转发到AWS WAF进行检查,以根据您的规则进行检查。一旦请求符合您规则中定义的条件,AWS WAF指示底层服务根据您定义的操作阻止或允许该请求。”
因此,WAF不会修改原始请求。它只会向服务返回一个指示,表示允许或拒绝该请求。
相关内容
AWS 官方已更新 2 年前- AWS 官方已更新 2 年前
- AWS 官方已更新 4 个月前