🛡AWS WAF の Geo allowlist と ASN ベース IPSet によるボット pivot 対策
Singapore Geo Block 適用後に HK/VN/ID/DE へ pivot された経緯と、Geo allowlist + Tencent/Alibaba ASN ベースの IPSet に切り替えた記録
awswafcloudfrontsecurity
外部組織管理のサブドメインを Cloudflare Workers に向ける — AWS CloudFront + WAF を前段に挟んだ記録
自分の管理外(外部組織)の DNS にあるサブドメインを Cloudflare Workers のカスタムドメインに割り当てたかったものの、Cloudflare Free プランは外部サブドメインを zone として受け入れない制約に行き当たり、最終的に AWS CloudFront + WAF を前段に挟む構成で解決した記録です。
cloudflareworkerscloudfrontaws
ボットスクレイピングをAWS WAFで止めた記録 — Geo block・JA3 fingerprint・UA blockまで段階的に
運営する文化アーカイブ系サイトに対するボットスクレイピングを、AWS WAFのGeo block・IPset・JA3 fingerprint・UA blockを段階的に組み合わせて遮断した記録です。
awswafcloudfrontsecurity
既存リバースプロキシのオリジンに CloudFront + WAF を後付けする実践パターン
Docker + Traefik で運用中の複数サービスを、無停止で CloudFront + WAF の保護下に移行した実装記録。オリジン分離用サブドメインの命名、共有 SG の落とし穴、WAF を COUNT モードから始める判断、SPARQL/API のキャッシュ設計など、よく出る論点を一通り整理しました。
awscloudfrontwafterraform