区域性 API 网关和 WAF(Web 应用防火墙)

0

【以下的问题经过翻译处理】 对于CF + WAF,流量在到达WAF之前会被CF拦截,因此某些头信息会被修改(例如X-Forwarded-For)。我的客户想要了解使用区域性API + WAF时的行为,流量是否会先到达WAF,然后再到达API GW,或者反之。我理解的是,流量会先到达WAF,因为由WAF阻止的流量不会计入API GW的消耗。 我还可以假设WAF处于穿透模式,不会修改任何流量头信息,这个正确吗?

profile picture
专家
已提问 6 个月前42 查看次数
1 回答
0

【以下的回答经过翻译处理】 当您在资源(CloudFront、API Gateway或ALB)上启用WAF时,端点不会更改。这意味着WAF不会在这些服务前面,而是作为第一步调用WAF,如果配置了的话。您还可以在WAF常见问题解答中看到这一点:

“2. AWS WAF如何阻止或允许流量?

在底层服务接收您网站的请求时,它将这些请求转发到AWS WAF进行检查,以根据您的规则进行检查。一旦请求符合您规则中定义的条件,AWS WAF指示底层服务根据您定义的操作阻止或允许该请求。”

因此,WAF不会修改原始请求。它只会向服务返回一个指示,表示允许或拒绝该请求。

profile picture
专家
已回答 6 个月前

您未登录。 登录 发布回答。

一个好的回答可以清楚地解答问题和提供建设性反馈,并能促进提问者的职业发展。

回答问题的准则