AWS черный список Cloudfront, доступ через VPN

Question

Я настраиваю AWS Cloudfront Management. Я в черном списке нескольких стран мира (например, Китай). Если кто-то из Китая использует VPN через другую страну, сможет ли он получить доступ? Защищает ли черный список от доступа через VPN?

Answer 1

В дополнение к @aymericbeaumet ответ. Вы также можете настроить WAF перед CloudFront.

В WAF вы можете использовать AWS группу правил управляемых правил с именем AWSManagedRulesAnonymousIpList :

Эта группа правил содержит правила для блокировки запросов от служб, которые позволяют запутывание о личности зрителя. К ним относятся запросы от VPN , прокси-серверов, узлов Tor и провайдеров хостинга. Эта группа правил полезна, если вы хотите отфильтровать зрителей, которые могут пытаться скрыть свою личность от вашего приложения. Блокировка IP-адресов этих сервисов может помочь уменьшить количество ботов и избежать географических ограничений c.

Answer 2

Из документации AWS :

CloudFront определяет местоположение ваших пользователей с помощью сторонней базы данных GeoIP. Точность сопоставления между IP-адресами и странами зависит от региона. Согласно последним тестам, общая точность составляет 99,8%. Если CloudFront не может определить местоположение пользователя, CloudFront обслуживает запрошенный пользователем контент.

Когда пользователи получают доступ к вашему сервису через VPN, их реальные IP-адреса скрыты, и вы видите, что IP сервера. Следовательно, географическое ограничение будет в основном неэффективным.

Вы можете до некоторой степени смягчить использование VPN, ограничив количество отдельных сеансов, совместно использующих один IP. Это может (например) быть достигнуто с Lambda@Edge и DynamoDB .