A company is hosting multiple applications within a single VPC in its AWS account. The applications are running behind an Application Load Balancer that is associated with an AWS WAF web ACL. The company's security team has identified that multiple port scans are originating from a specific range of IP addresses on the internet. A security engineer needs to deny access from the offending IP addresses.
Which solution will meet these requirements?
A. Modify the AWS WAF web ACL with an IP set match rule statement to deny incoming requests from the IP address range.
B. Add a rule to all security groups to deny the incoming requests from the IP address range.
C. Modify the AWS WAF web ACL with a rate-based rule statement to deny the incoming requests from the IP address range.
D. Configure the AWS WAF web ACL with regex match conditions. Specify a pattern set to deny the incoming requests based on the match condition.
A
一家公司在其 AWS 账户的单个 VPC 内托管多个应用程序。这些应用程序运行在与应用负载均衡器(Application Load Balancer)关联的 AWS WAF Web 访问控制列表(Web ACL)后面。公司的安全团队发现,来自互联网上特定 IP 地址范围的多端口扫描行为。安全工程师需要拒绝来自这些违规 IP 地址的访问。
如何通过 AWS 服务拒绝来自特定 IP 地址范围的恶意访问,当前架构已使用 ALB 和 AWS WAF。
技巧:排除明显错误选项,在没有明显错误的选项中选择最合理的选项。
A. 正确。修改 AWS WAF Web ACL,添加 IP 集匹配规则语句以拒绝来自该 IP 地址范围的传入请求。AWS WAF 支持基于 IP 地址范围的显式拒绝,通过 IP 集匹配规则可直接阻断指定 IP 的请求,符合集中管理且无需修改应用配置的要求。
B. 不正确。向所有安全组添加规则以拒绝来自该 IP 地址范围的传入请求。安全组需逐个附加到资源,无法通过单一规则覆盖 ALB 后的所有应用,且维护成本高,不符合集中管理需求。
C. 不正确。修改 AWS WAF Web ACL,添加基于速率的规则语句以拒绝来自该 IP 地址范围的传入请求。速率限制规则适用于高频攻击场景,但无法直接针对特定 IP 范围,且可能误伤合法请求,不符合精确阻断需求。
D. 不正确。配置 AWS WAF Web ACL 的正则匹配条件,指定模式集以基于匹配条件拒绝传入请求。正则匹配用于检测请求内容模式,不适用于 IP 地址过滤,无法解决当前问题。
AWS WAF 功能:
IP 匹配规则:支持基于 IP 地址或 IP 地址范围的显式拒绝(Deny),可直接阻断来自特定 IP 的请求。
速率限制规则:基于请求速率触发阻断,适用于防止高频攻击,但无法直接针对特定 IP 范围。
正则匹配规则:用于检测请求内容中的模式(如 SQL 注入),不适用于 IP 地址过滤。
安全组功能:
安全组是 VPC 级别的虚拟防火墙,可限制入站 / 出站流量,但需逐个附加到资源(如 EC2 实例),无法通过单一规则覆盖 ALB 后的所有应用。
ALB 与 WAF 集成:
ALB 作为入口点,WAF Web ACL 可集中管理所有应用的 Web 层安全策略,包括 IP 过滤,无需修改应用层配置。