Tôi có ALB phía sau Cloudfront. Cả hai đều có chứng chỉ SSL và do đó cung cấp giảm tải SSL, cả hai đều được bảo vệ bằng WAF WebACL. ACL của ALB kiểm tra tiêu đề - một phương pháp phổ biến bảo vệ ALB khỏi truy cập trực tiếp (bỏ qua CF).
-SSL--> [CloudFront] --SSL--> [ALB:443] -------->EC2.....
WAF ACL WAF ACL*
Xin lỗi, đây không phải là một sơ đồ tuyệt vời mà chỉ để hiển thị các ACL (sơ đồ có liên quan có dấu hoa thị) và các khối chung.
Vì vậy, ALB kết thúc TLS và giải mã lưu lượng TRƯỚC chuyển các yêu cầu tới ACL* để kiểm tra tiêu đề. Tôi nghĩ rằng không có cách nào để kiểm tra các tiêu đề ngoại trừ văn bản gốc
Bây giờ, hãy tưởng tượng một cuộc tấn công DDoS cấp độ 7 - lũ lụt HTTP chẳng hạn.
Lưu lượng truy cập xấu đó có thể không có tiêu đề và ACL* sẽ loại bỏ tất cả - thật tuyệt. Tuy nhiên:
- ALB sẽ phải mở rộng quy mô lớn, chỉ để thực hiện giảm tải TLS?
- nếu có, việc mở rộng quy mô này có tiêu tốn nhiều đô la trên hóa đơn AWS không? Có vẻ như ALB cho cuộc tấn công DDoS cấp độ 3/4, có quy mô miễn phí. Liệu nó cho một kịch bản cấp 7..
Lưu ý: tỷ lệ mà tôi đang nói đến không phải là tỷ lệ tự động của EC2, v.v., mà là tỷ lệ của chính ALB.
Sách trắng AWS quan trọng
gợi ý rằng ALB thực hiện quy mô - để hấp thụ các cuộc tấn công DDoS ở cấp độ cơ sở hạ tầng. Có vẻ hợp lý là nó có thể làm điều tương tự (miễn phí) nếu các yêu cầu HTTP được định dạng tốt thông qua WAF và vào ALB - nhưng tôi không muốn coi điều này là đương nhiên, do đó, câu hỏi
