[jimmyboi1981]

koxinga napisał: VPC, które próbuję chronić, znajduje się w dwóch (obecnie trzech) singlach AZ. Potencjalnie ruch DDOS może być iz dowolnego miejsca. Jeśli korzystasz z chmury, powinieneś skonfigurować swoją nazwę domeny, aby rozpoznać punkty końcowe w chmurze, korzystając z route53. Następnie skonfiguruj grupę zabezpieczeń ELB / ALB / NLB, aby akceptowała tylko traffiki z listy IP źródła w chmurze. Użyj aws lambda do automatycznej aktualizacji grup bezpieczeństwa w przypadku zmiany listy (https://aws.amazon.com/blogs/securit...ng-aws-lambda/). Od tego momentu wszystkie twoje żądania sieci usług będą musiały przejść przez chmurę przed dotarciem do Twojego LB, a następnie do strony internetowej, a następnie aplikacji. WAF i Shield to dodatkowe funkcje, które można zastosować na chmurze. Gdy to zrobisz, będzie to odpowiedzialność AWS, aby chronić Cię przed DDOS i łagodzić niektóre luki w sieci. Dlatego nie potrzebujesz WAF, aby być w rejonie SG. Znaczenie regionu SG polega na tym, że usługa ma być hostowana w regionie SG, tak że pod względem bezpieczeństwa lub lokalizacji danych krążą one tylko w regionie SG. Poza tym możesz korzystać z usług z całego regionu. Uruchom konsolę internetową AWS, przejdź do regionu SG, a zobaczysz tam WAF. Po prostu dla zaliczki WAF nie można jej zastosować w LB, tylko w przypadku chmury. W tym przypadku CDN region nie ma znaczenia.