对于单服务器应用程序,我希望在传输中防止DDOS和加密。据我所知,aws ALB在负载均衡器上进行ssl缓解,因此我只能在http上连接到目标。所以如果我想在传输中加密,我就不能使用ALB。
有没有一种方法可以将waf/shield与ssl pass-through集成,或者有其他方法可以在集成waf/shield的传输中获得加密?
感谢
AWS提供了为ALB创建HTTPS列表的选项,更多详细信息可在中找到:https://docs.aws.amazon.com/elasticloadbalancing/latest/application/create-https-listener.html
添加HTTPS侦听器您使用协议和用于从客户端到负载平衡器的连接的端口,以及目标默认侦听器规则的组。有关详细信息,请参阅侦听器配置。
先决条件
若要向默认侦听器规则添加转发操作,必须指定可用的目标组。有关详细信息,请参见创建目标组
若要创建HTTPS侦听器,必须指定证书和安全策略。负载平衡器使用证书终止连接并解密来自客户端的请求,然后再路由它们目标。负载平衡器在以下情况下使用安全策略与客户端协商SSL连接。
使用控制台添加HTTPS侦听器
打开亚马逊EC2控制台https://console.aws.amazon.com/ec2/.
在导航窗格的LOAD BALANCING下,选择LOAD Balancers。
选择一个负载平衡器,然后选择Listeners、Add listener。
对于"协议:端口",选择HTTPS并保留默认端口或输入不同端口。
(可选(要对用户进行身份验证,请选择"添加"作为"默认操作"action,验证并提供请求的信息。保存操作,选择选中标记图标。有关详细信息,请参阅使用应用程序负载平衡器对用户进行身份验证。
对于默认操作,请执行以下操作之一:
选择"添加操作"、"转发到",然后选择目标组。
选择"添加操作"、"重定向到"并提供重定向的URL。有关详细信息,请参阅重定向操作。
选择Add action,Return fixed response并提供响应代码以及可选的响应体。有关详细信息,请参阅固定响应行动。
要保存操作,请选择选中标记图标。
对于安全策略,我们建议您保留默认安全性政策
对于默认SSL证书,请执行以下操作之一:
如果您使用AWS证书创建或导入证书Manager,选择From ACM并选择证书。
如果使用IAM上载证书,请选择"来自IAM",然后选择证书。
选择"保存"。
(可选(定义转发请求的其他侦听器规则根据路径模式或主机名,请参阅添加规则。
(可选(为了添加与SNI协议一起使用的证书列表,请参阅将证书添加到证书列表。
使用AWS CLI 添加HTTPS侦听器
使用createlistener命令创建监听器和默认值rule和createrule命令来定义其他侦听器规则。