我是否需要WAF (Web应用防火墙)来保护我的应用程序？

Question

我已经创建了一个依赖于简单功能作为服务的微服务应用程序。由于此应用程序是基于API的，我分发令牌以换取一些个人登录信息(Oauth或登录/密码)。

为了清楚起见，开发人员将使用以下命令访问我的应用程序：https://example.com/api/get_ressource?token=personal-token-should-go-here

然而，即使没有提供token，我的服务器和应用程序逻辑仍然受到攻击，这意味着匿名攻击者可以在没有登录的情况下淹没我的服务，使我的服务瘫痪。

我最近遇到了WAF，他们承诺充当中间人，过滤滥用攻击。我的理解是，WAF只是反向代理我的API，并在将请求委托给我实际的后端之前应用一些已知的攻击模式过滤器。

我真正不明白的是:如果攻击者可以直接访问我后端的IP怎么办？！难道他不能绕过网站管家直接DDoS我的后台吗？网站管家防护是否只依赖于我的原始IP不被泄露？

最后，我读到，网站管家只有在需要时才能通过CDN缓解DDoS，以便在多个服务器和带宽上传播七层DDoS攻击。这是真的吗？或者我可以自己实现WAF？

Answer 1

使用云，你可以将你的应用程序部署到AWS，这有2个加分点。1.您的prod服务器将位于内网IP之后，而不是公网IP之后。2. AWS网站管家是一项预算服务，适用于拦截dos、扫描和泛洪攻击。

您还可以在尝试拦截IP失败时使用验证码。