停止为 AWS WAF 过度付费！（5 个成本优化技巧）

Source: Dev.to

AWS WAF 成本优化技巧

作为一名深入研究 AWS WAF 成本节省的解决方案架构师，我发现大量支出来源于“噪声”。
如果你正在进行 AWS Well‑Architected Framework 的成本优化支柱，别忽视你的 Web 应用防火墙。WAF 成本如果被当作“设置后忘记”的服务，容易失控。下面提供实用方法，让 AWS WAF 与成本效率最佳实践保持一致。

1️⃣ 使用 “Scope‑Down” 语句 📉

不要在每个请求上运行昂贵的规则（例如 Bot Control 或正则表达式模式）。
使用 scope‑down 语句仅检查特定路径，如 /login 或 /checkout。这会降低被检查流量的数量，直接降低账单。

2️⃣ 优化规则顺序 🔢

AWS WAF 按优先级顺序评估规则。
将廉价且高流量的阻断规则（例如 IP 限流、地理封锁）放在最前面，使噪声提前被拦截，避免在垃圾流量上进行更复杂规则的昂贵评估。

3️⃣ 利用 AWS Shield Advanced 🛡️

如果每月 WAF + 数据传输费用大约超过 $3 k，考虑切换到 AWS Shield Advanced。
Shield Advanced 提供固定费用模式，并免除受保护资源的标准 WAF WebACL 和规则费用。

4️⃣ 智能日志记录 📝

将每个请求记录到 CloudWatch Logs 可能会迅速变得昂贵。

• 使用 Kinesis Data Firehose 处理高吞吐量日志（更便宜的摄入方式）。
• 过滤日志 只捕获 “Blocked” 请求或特定规则匹配，降低存储成本。

5️⃣ 关注职责分离 🏗️

除非绝对必要，否则避免对静态资源（图片、CSS）应用 WAF。
将静态流量通过不触发 WAF 的单独 CloudFront 行为路由，或创建显式忽略这些文件扩展名的规则。

专业提示

每季度审查 “未使用的规则”。如果某条规则在过去 90 天 内未触发，它很可能只是在增加你的月租费用——将其删除。

---

插图