aws-waf-cdn 基于规则组的永黑解决方案

1. 新建waf 规则组



2. 为规则组添加规则

根据需求创建不同的规则

3. waf中附加规则组 (此时规则组所有规则都会附加到waf中,但是不会永黑)


此刻,可以选择测试下规则是否生效,测试前确认保护资源绑定无误

4. 创建堆栈 (建议删除之前的单个规则永黑方案堆栈)

弗吉尼亚北部 us-east-1

堆栈url:

https://actwill-cloudformation-template.s3.amazonaws.com/waf-block-rate-ip/waf_block_ip_by_rate_rule_group_2031220.template

如果这里填入的规则只有规则组的其中1个,那么永黑只会对这个规则生效,其他规则是只会根据配置生效,但是不会永黑。


确认创建 等待所有资源创建完成

5.测试效果

使用cloudshell 或者其他终端

测试脚本

bash 复制代码
#!/bin/bash
while true; do
    #echo "访问actwill.png"
    #curl -I  http://xxx.cloudfront.net/actwill.png
    #sleep 0.5
    echo "访问robots.txt"
    curl -I  http://xxxx.cloudfront.net/robots.txt
    sleep 0.5
    #echo "访问asset-manifest.json"
    #curl -I  http://xxx.cloudfront.net/asset-manifest.json
done

执行脚本 等待被block

有一定延迟性,大概会延迟1-2分钟

测试添加ip set 正常后

6.附加ip set 到 waf block

7.新增规则并且配置永黑,

进入规则组,新建规则
更新堆栈 修改规则追加即可

8.添加waf 白名单时,新建ip set 即可 提高优先级到最高即可


9.删除永久黑名单的ip

暂停 EventBridge
修改s3 桶json文件


waf ip set 中删除
重启EventBridge
相关推荐
姚不倒1 天前
从 A 记录到 CDN 切换:我的 DNS 认知跃迁之路
运维·cdn·dns
Devlive 开源社区2 天前
一口气新增三家云——七牛云 Kodo、AWS S3、Cloudflare R2;并支持应用内自动检测与一键升级
云计算·aws
云服务器代理商3 天前
AWS Bedrock 指南:模型接入、Knowledge Base RAG、Agents 与计费方式
云计算·aws·亚马逊云服务器·aws bedrock·aws代理·亚马逊云代理商
望江东浪4 天前
Vector 选型与实战:vs OTel / Logstash / Fluentd 全维对比,及统一日志与指标管道的 AWS ECS 落地
云计算·aws
字节跳动视频云技术团队5 天前
AI Agent 会自己选 CDN 了:当网站访问者从 “人” 扩展到 “AI”,内容分发已升级
人工智能·cdn
Linsk6 天前
2026年了,请停止相信“公共 CDN 能提升性能”
前端·jquery·cdn
威联通网络存储8 天前
基于TS-h3087XU-RP的大型成套空分设备DCS历史趋势数据治理
aws
A小辣椒23 天前
AWS Clould Support Engineer就职面试题
aws
亚林瓜子1 个月前
AWS WAF中如何放行某个触发了托管规则的接口
aws·waf
锐速网络1 个月前
游戏加速、DNS加速、CDN网络加速三者选型指南
cdn·网络优化·网络运维·游戏加速·dns加速·运维选型·长连接加速