问题标签 [amazon-waf]

我在 AWS 上使用 EC2 实例托管了 Magento2 站点。我没有使用任何负载均衡器。

但根据要求，我想完全阻止一些国家的访客。

我尝试使用 WAF 和“地理匹配条件”，但在配置过程中它要求设置“AWS 资源”，它只有“应用程序负载均衡器”和“REST API”的选项。但我没有任何负载均衡器。

那么是否可以在 AWS 中的 WAF 部分的帮助下（完全）阻止某些特定国家/地区，而无需任何负载均衡器？

任何帮助将不胜感激。谢谢。

我正在尝试将一些 AWS WAF ACL 导入现有的 terraform 部署。我已经尝试了代码的两种变体。

错误：aws_waf_web_acl.mywaf（导入 ID：xxxx-xxx）：发生 1 个错误 Terraform 检测到具有此 ID 的资源不存在。请验证 ID 是否正确。

错误：aws_wafregional_web_acl 不支持导入

我已验证该 ID 是正确的。AWS 提供商 1.45 可以做到这一点吗？谢谢。

我的应用程序架构允许的流量在 AWS 中如下所示。

CompanyInternalSubnets(IS)=>带有WAF的ALB=>EC2

ALB 具有仅允许来自 IS 的流量的安全组。ALB 有 WAF，它有规则只允许来自 IS 的流量。EC2 有一个安全组，它只允许来自 ALB 的 SG 的流量。

我想在 AWS 中创建同一应用程序的多个副本。我将创建单独的 EC2 和 ALB。但是我可以使用相同的 WAF 并将其附加到第二个 ALB 还是我需要使用单独的 WAF 毛皮每个副本？最佳做法是什么？

谢谢

有一个AWS文档解释了如何为自己做，即如何只允许自己的页面进行热链接并拒绝所有其他页面：https ://aws.amazon.com/blogs/security/how-to-prevent-hotlinking-通过使用-aws-waf-amazon-cloudfront-and-referer-checking/

我想知道 WAF 是否是我用例的正确选择，这与上面的有点不同。

• 在我工作的公司，我们打算通过 JS 小部件销售数据。
• 我们希望限制对这些数据的访问，以便只有授权的 REFERER 能够向他们的用户显示我们的数据，同时拒绝所有其他 REFERER。
• 欺骗 REFERER 的可能性对我们来说不是一个重要的威胁。
• 我们希望将我们的客户群扩大到数百人。

我问这个问题的原因是由于注意到对 WAF 有一些严格的限制：https ://docs.aws.amazon.com/waf/latest/developerguide/limits.html ，据我了解，对于在我们的用例中，WAF 不能很好地扩展。

我有一个运行一些逻辑的类，在某些情况下将日志发送到后端（作为对事件的响应）。

有一个选项可以在客户端检测此功能的滥用情况吗？实际上，阻止某人使用此功能并将其置于无限循环中。

我现在倾向于在后端安装一种 WAF，并在检测到不良行为时阻止用户。但是，我想知道是否有一个选项可以在客户端阻止它（即使是部分）。

我在悉尼地区的 Elastic Beanstalk 配置的 EC2 上运行了一个 nodejs API。

我为此 Elastic Beanstalk 设置了 Cloudfront 分发。

我想通过启用 AWS WAF 地理定位限制来保护我的 API，比如只允许澳大利亚能够访问 API。

我不确定的是，如果我有一些调用此 API 的 Lambda（也在悉尼），当我打开 WAF 时这些调用会被阻止吗？

我正在使用 LambStatus https://lambstatus.github.io/创建一个状态页面，并希望通过 cloudwatch 警报自动更新组件的状态。我必须限制状态页面的流量。我目前只有来自 VPN 或我们的 VPC IP 地址的流量列入白名单。在理想情况下，cloudwatch 警报会触发 SNS ----> Lambda 函数 ---> 卷曲 API 端点以更新组件。

我需要将 Lambda 放在 VPC 中，以便 HTTPS 补丁来自一组 IP 地址，或者发现将 VPC 列入白名单的其他方式。

Lambda 函数可以访问 VPC 资源，但仍存在于默认 VPC 中。我是否可以控制 lambda 函数的 IP 地址或有办法将 lambda 请求列入白名单？

我有一个免费级别的 AWS 账户，我正在添加 WAF，我的 LB（负载均衡器）在 EC2 上有一个实例。目前，安全组只有 HTTP 80 端口。

我的实例位于亚太地区（孟买）区域，当我为 ACL 创建规则或条件时，我没有获得该区域。

因此，我尝试使用不同的区域创建 ACL，并且没有任何规则，只需配置负载均衡器，在创建 ACL 后，当我将负载均衡器与 ACL 关联时，因此下拉列表中没有显示负载均衡器，如下所示：

请帮助我，我在哪里可以犯错误？

我是 AWS 新手，从事 AWS WAF 工作并创建 ACL。在此情况下，您必须编写自定义条件和规则，并将它们关联到负载均衡器。

因此，您的传入流量将由您的 ACL 规则处理。

但是如果我不想制定任何条件和规则，我只是制定一个空规则并将其分配给 ACL，那么 ACL 不能自己处理其默认条件检查吗？

Microsoft Azure 应用程序网关内置规则，基本攻击无需编写任何条件，那么 AWS WAF 中是否有可用的功能？

ACL的规则是不是必须要写？ACL 本身不处理一些基本攻击吗？

我正在尝试移动一套端到端测试，以便它们完全包含在 AWS 中。我已经通过代码构建完成了这项工作，并使一切运行到运行测试的地步，在每次测试运行之前调用一个 API 来重置数据库。当第一个测试尝试运行时，我不断遇到此错误消息。

起初，我认为该错误是由于缺少对用于构建所有内容的角色的权限引起的。我尝试向正在使用的 IAM 角色添加正确的权限，最终使它们比我想要的更开放。

显然没有解决问题，但我确实注意到访问顾问显示特定策略没有被访问。

接下来，我进入了 API Gateway 中的资源策略，看看那里有没有什么东西。我删除了一些设置为限制访问办公室 IP 地址的 IP 地址条件。

我查看了 WAF 和 Shield 的内部，看不到任何与调用 API 相关的内容。在这一点上，我对下一次调查应该从哪里开始感到迷茫。

编辑

这是我要回来的回应。