问题标签 [amazon-waf]

我将 boto3 waf-regional api 称为以下代码：

但它一直给我一个错误botocore.errorfactory.WAFInvalidParameterException: An error occurred (WAFInvalidParameterException) when calling the UpdateWebACL operation:

这可能是什么原因以及如何解决？

我正计划将开发环境从 AWS 迁移到 Azure，
我正在研究如何在 Azure 中制定规则，就像我在 AWS WAF 中制定规则一样。

在 AWS WAF 中，我制定了具有 2 个条件的规则。
a) 当请求来自特定 IP 地址
时
b) 当请求匹配字符串匹配条件中的至少一个过滤器时
（包括正文包含 xxx 或查询字符串包含 xxx）

是否也可以在 Azure 中做同样的事情？

我们基于一些简单的规则（如块脚本和 SQL 注入）创建了一个带有 WAF 的新 LB，我们阅读了 owasp 示例和 WAF 文档。我们无法触发请求的阻止。

一个简单的例子，如：

和：

我们如何触发请求脚本的阻塞？

不幸的是，Auth0 在单页样式应用程序的回调 URL 中添加了一个标签。请参见下面的示例。

https://stage.domain.com/callback#access_token=...&otherQueryParam=...

这会在我的 S3 和 Cloudfront 环境中返回 403 错误。

我在互联网上看到的解决方案涉及在CloudFront中创建一个额外的自定义错误句柄配置，以将任何 403 错误重定向到 200 并呈现 index.html。

但是，我不能这样做，因为登台环境只能在 VPN 之后访问，并且有一条WAF规则可以阻止除 VPN 之外的所有 IP 地址。如果我允许 403，它将使WAF规则无用并公开暴露我的暂存环境。

希望我的 React SPA 托管在 S3 中以便于扩展，但是，看起来我可能需要启动某种运行 Nginx 的 EC2。

桶策略

这个问题有哪些建议的解决方案？

我有一个托管在 DigitalOcean 上的网站，并且我尝试了几天来弄清楚如何使用 amazon cloudfornt + amazon waf 来保护它，这甚至可能吗？

我阅读了亚马逊文档，但它没有用，我什至看了很多你们的视频，但其中 99% 只是在使用亚马逊托管网站来完成这项工作。

AWS WAF 的工作方式非常不清楚，目前，我正在尝试允许所有流量流向某个路径。

让我们说一切都/admin应该被允许，而不是通过我通过他们的官方指南从“常见攻击”添加到我的设置中的过滤器：xsshttps ://docs.aws.amazon.com/waf/latest/developerguide /tutorials-common-attacks.htmlsql

但是用户界面和文档使得如何做到这一点真的很不清楚。任何帮助或资源都会非常有用。

我有一条路径（例如 mysite.com/myapiendpoint），它既是服务资源密集型的，又很容易被机器人滥用。我需要将对该特定路径的访问速率限制为每个客户端 IP 地址每分钟 10 个请求。如何才能做到这一点？

我正在托管一个前面有 CloudFront 和 AWS WAF 的 EC2 实例。我启用了标准的“基于速率的规则”，但对于我的应用程序，每个 IP 地址每分钟至少 2,000 个请求绝对不可用。

我正在考虑为此使用 API Gateway，并且过去曾使用过它，但据我所知，它的速率限制不是基于 IP 地址，因此机器人会简单地用完限制，而合法用户将不断被拒绝使用端点。

我的站点不使用任何类型的会话，因此我认为我不能在服务器本身中进行任何类型的速率限制。另外请记住，我的网站是单人操作的，我对 AWS 有点陌生 :)

如何将每个 IP 的使用限制为每分钟 10 个请求，最好是在 WAF 中？

[编辑]

经过更多研究，我想知道是否可以将标头转发到源（运行节点/快递）并使用速率限制器包。这是一个可行的解决方案吗？

我们正在尝试寻找如何将来自 AWS WAF/Kinesis Firehose 的时间戳转换为 Elasticsearch，使其类型为日期字段。创建索引映射时，它具有时间戳字段，但它是一个 type long，即使似乎有一个 type 选项epoch_millis（这就是数据的内容）。

Kibana 界面说使用映射 api 来更改字段类型，但我似乎无法弄清楚这一点。此处的示例显示了如何通过创建新索引来执行此操作，但 kinesis 正在创建/旋转索引，因此我们似乎需要一种修改默认值的方法。

该字段看起来像这样

完整的索引定义看起来像这样，但这些都是定期创建的，所以我们试图弄清楚如何更改默认值

我有一个位于 s3 上的图标资产，并且有一个看起来像这样的角度页面

它过去总是正常工作。

但最近在我申请 AWS WAF 进行网络限制之后。它工作了 1 天，然后它就再也不会工作了（不再显示图像）。

如果我看一下开发人员工具，它会显示为 binary/octet-stream

而不是 svg（当我没有应用 AWS WAF 时，这又回来了）

关于如何解决这个问题的任何建议？我很确定它至少可以使用 AWS WAF 至少一天，除非发生了一些我不知道的缓存问题。

目标： 使用 AWS WAF 过滤掉到达 CloudFront 的流量，以便只有连接到 OpenVPN 网络的用户才能访问 Web 应用程序。

OpenVPN 将任何连接的用户分配给 172.xx.yyy.z/a 网络范围内的 IP。
因此，我通过 WAF 规则将此范围列入了 Web ACL 的白名单，并将任何其他 IP 列入黑名单。
但是，我无法访问该网站。

通过 CloudWatch，很明显这是因为 VPN 分配的 IP 实际上并未用于访问 Web 应用程序。这是一个修改后的 IP，与我设备的公共 IP 非常相似。

据我所知，我无法确定这些“自定义”IP 的范围。鉴于此，我如何确保只有 VPN 连接的用户才能访问该站点？

我错过了什么重要的事情吗？