aws-waf-cdn 基于规则组的永黑解决方案

1. 新建waf 规则组



2. 为规则组添加规则

根据需求创建不同的规则

3. waf中附加规则组 (此时规则组所有规则都会附加到waf中,但是不会永黑)


此刻,可以选择测试下规则是否生效,测试前确认保护资源绑定无误

4. 创建堆栈 (建议删除之前的单个规则永黑方案堆栈)

弗吉尼亚北部 us-east-1

堆栈url:

https://actwill-cloudformation-template.s3.amazonaws.com/waf-block-rate-ip/waf_block_ip_by_rate_rule_group_2031220.template

如果这里填入的规则只有规则组的其中1个,那么永黑只会对这个规则生效,其他规则是只会根据配置生效,但是不会永黑。


确认创建 等待所有资源创建完成

5.测试效果

使用cloudshell 或者其他终端

测试脚本

bash 复制代码
#!/bin/bash
while true; do
    #echo "访问actwill.png"
    #curl -I  http://xxx.cloudfront.net/actwill.png
    #sleep 0.5
    echo "访问robots.txt"
    curl -I  http://xxxx.cloudfront.net/robots.txt
    sleep 0.5
    #echo "访问asset-manifest.json"
    #curl -I  http://xxx.cloudfront.net/asset-manifest.json
done

执行脚本 等待被block

有一定延迟性,大概会延迟1-2分钟

测试添加ip set 正常后

6.附加ip set 到 waf block

7.新增规则并且配置永黑,

进入规则组,新建规则
更新堆栈 修改规则追加即可

8.添加waf 白名单时,新建ip set 即可 提高优先级到最高即可


9.删除永久黑名单的ip

暂停 EventBridge
修改s3 桶json文件


waf ip set 中删除
重启EventBridge
相关推荐
TiAmo zhang1 天前
DeepSeek-R1 模型现已在亚马逊云科技上提供
人工智能·云计算·aws
网络安全宇哥3 天前
零基础被迫参加CTF比赛?CTF高频解题技巧与经验分享
经验分享·安全·web安全·安全架构·waf
DavidSoCool3 天前
记一个阿里云CDN域名配置不当引起服务鉴权失效问题
阿里云·云计算·cdn
struggle20254 天前
AWS Bedrock 多代理蓝图存储库使用 CDK、Streamlit 和 LangFuse 运行 AWS Bedrock 多代理 AI 协作的蓝图
运维·人工智能·自动化·云计算·aws
Revendell4 天前
AWS Aurora存算分离架构
aws
李兆龙的博客4 天前
从一到无穷大 #44:AWS Glue: Data integration + Catalog
云计算·aws
sealaugh324 天前
aws(学习笔记第三十六课) apigw-http-api-lambda-dynamodb
笔记·学习·aws
AWS官方合作商4 天前
突破数据迁移瓶颈!AWS Snowball如何让PB级数据“瞬间”上云?
云计算·aws
AWS官方合作商5 天前
AWS混合云部署实战:打造企业级数字化转型的“黄金架构”
云计算·aws
AWS官方合作商5 天前
AWS CloudWatch 实战:构建智能监控与自动化运维体系
运维·自动化·aws