我创建了一个依赖简单功能即服务的微服务应用程序。由于这个应用程序是基于 API 的,我分发令牌以换取一些个人登录信息(Oauth 或登录名/密码)。
为了清楚起见,开发人员将使用以下方式访问我的应用程序:https://example.com/api/get_ressource?token=personal-token-should-go-here
但是,即使token没有提供,我的服务器和应用程序逻辑仍然会受到攻击,这意味着匿名攻击者可能会在没有登录的情况下淹没我的服务,从而导致我的服务中断。
我最近遇到WAF了,他们承诺充当中间人,过滤滥用攻击。我的理解是,WAF 只是反向代理我的 API,并在将请求委托给我的实际后端之前应用一些已知的攻击模式过滤器。
我真正没有得到的是:如果攻击者可以直接访问我的后端 IP 怎么办?!他不能直接绕过我后端的WAF和DDoS吗?WAF 保护是否仅依赖于我的原始 IP 不被泄露?
最后,我读到 WAF 仅在它能够通过 CDN 缓解 DDoS 以在需要时跨多个服务器和带宽传播第 7 层 DDoS 攻击时才有意义。这是真的吗?或者我可以自己实现 WAF 吗?