本文介绍了两种AWS源站防护方案：多CDN架构下的mTLS双向认证和纯CloudFront架构的VPC Origin网络隔离。强调了CDN前置WAF的不足，指出源站不应暴露于公网。mTLS方案适合多CDN环境，提供传输层认证；而VPC Origin方案则实现源站的完全隔离，有效防止DDoS攻击。选择合适方案可提升安全性，避免简单的双WAF架构。