为分配启用 Amazon WAF
您可以在创建分配时启用 Amazon WAF,也可以为现有的访问控制列表(ACL)启用安全保护功能。
如果您为 CloudFront 分配启用 Amazon WAF,则还可以启用机器人控制功能并按机器人类别配置安全保护功能。
为新分配启用 Amazon WAF
以下步骤演示如何在创建新 CloudFront 分配时启用 Amazon WAF。
为新分配启用 Amazon WAF
通过 https://console.amazonaws.cn/cloudfront/v4/home
打开 CloudFront 控制台 -
在导航窗格中,选择分配,然后选择创建分配。
-
根据需要,按照创建分配中的步骤进行操作。
-
在 Web 应用程序防火墙部分,选择编辑,然后选择启用安全保护。
-
填写以下字段:
-
使用监控模式 – 如果要先收集数据以测试保护的工作原理,可以启用监控模式。启用监控模式后,如果保护处于活动状态,则不会阻止请求。相反,监控模式会收集有关在保护处于活动状态时将被阻止的请求的数据。当您准备好开始阻止时,可以在安全页面上启用阻止功能。
-
其他保护 – 选择要启用的任何选项。如果您启用了速率限制,请参阅 设置速率限制以了解更多信息。
-
价格估算 – 您可以打开该部分以显示一个字段,在该字段中输入不同的请求数/月份,并查看新的估算值。
-
-
查看其余分配设置,然后选择创建分配。
当您创建分配时,CloudFront 会创建一个安全控制面板。您可以使用此控制面板禁用或启用 Amazon WAF。如果您尚未启用 Amazon WAF,控制面板中的图表和图形将保持空白。
使用现有 Web ACL
如果您已有 Web ACL,则可以使用它来代替 Amazon WAF 提供的保护功能。
使用现有 Amazon WAF 配置
通过 https://console.amazonaws.cn/cloudfront/v4/home
打开 CloudFront 控制台 -
请执行以下操作之一:
-
选择创建分配并按照创建分配中的步骤操作,然后返回本主题。
-
选择现有配置,然后选择安全选项卡。
-
-
在 Web 应用程序防火墙(WAF)部分,选择编辑,然后选择启用安全保护。
-
选择使用现有 WAF 配置。此选项仅在配置了 Web ACL 时才会出现。
-
从选择 Web ACL 表中选择现有的 Web ACL。
-
查看其余分配设置,然后选择创建分配。
启用机器人控制功能
如果您为 CloudFront 分配启用 Amazon WAF,则可以在 CloudFront 控制台的安全控制面板下,查看给定时间范围内的机器人请求。您也可在此处启用或禁用机器人控制功能。
启用机器人控制功能后会产生费用。安全控制面板提供了成本估算。
如果您启用机器人控制功能,则安全控制面板会按每种机器人类型和类别显示机器人的流量。如果您禁用机器人控制功能,则会根据请求采样显示机器人的流量。
启用机器人控制功能
通过 https://console.amazonaws.cn/cloudfront/v4/home
打开 CloudFront 控制台 在导航窗格中,选择分配,然后选择要更改的分配。
选择安全性选项卡。
向下滚动到给定时间范围内的机器人请求部分,然后选择启用机器人控制功能。
在机器人控制功能对话框的配置下,选中为普通机器人启用机器人控制功能复选框。
选择保存更改。
按机器人类别配置保护功能
启用机器人控制功能后,您可以配置如何按机器人类别处理每个未经验证的机器人。例如,您可以将 HTTP 库机器人设置为监控模式,并将质询分配给链接检查工具。
注意
Amazon 已知的常见且可验证的机器人(如已知的搜索引擎爬网程序)不受您在此设置的操作的限制。机器人控制功能会确认经过验证的机器人来自他们声称的来源,然后再将其标记为已验证。
为类别配置保护功能
通过 https://console.amazonaws.cn/cloudfront/v4/home
打开 CloudFront 控制台 在导航窗格中,选择分配,然后选择要更改的分配。
选择安全性选项卡。
-
在按机器人类别划分的请求图表中,指向未验证的机器人操作列中的任何项目,然后选择编辑图标。
-
打开结果列表并选择下列选项之一:
阻止
允许
监控模式
验证码
质询
-
选中列表旁边的复选标记以提交您的更改。
