Waf is uitgebreider dan nodig, volgorde kan anders en geen leesbare naam

[BramWithaar]

De Waf heeft een gegeneerde naam, ipv een leesbare. Op zich handig, maar niet voor analyse icm Athena e.d.
In de WAF staan ook rulesets aan die helemaal niet aan hoeven, omdat ze niet van toepassing zijn (elke ruleset die aanstaat kost geld, nog los van het verkeer dat erdoor gaat).
Zie ook het hoofdstukje 'AWS WAF Web ACL capacity units (WCU)' hier: https://docs.aws.amazon.com/waf/latest/developerguide/how-aws-waf-works.html

Rulesets die volgens mij uit kunnen:

• AWS-AWSManagedRulesKnownBadInputsRuleSet (lijkt voornamelijk gericht op java exploits)
• AWS-AWSManagedRulesAdminProtectionRuleSet (er zijn geen admin pages om te exposen)
• AWS-AWSManagedRulesSQLiRuleSet (afhankelijk hoe de code werkt, maar aangezien die een api aanroept en niet zelf een sql-call doet lijken deze ook niet nodig).
• AnonymousIp: we willen faciliteren dat inwoners met een anoniem ip (bv een vpn) gebruik kunnen maken van onze diensten.

suggestie voor de volgorde (want bij een block is het request meteen eruit)

1. bot control ruleset
2. rate-limiter obv ip (zie de WAF van de webformulieren), om ddos scenario's te voorkomen.
3. Amazon Ip Reputation
4. ManagedRulesCommonRuleset