使用 Amazon WAF 保护应用程序
您可以使用 Amazon WAF 保护您的 CloudFront 分配和原始服务器。此服务是一个 Web 应用程序防火墙,可让您保护您的 Web 应用程序和 API,以在请求到达服务器之前阻止请求。您可以启用此一键 Amazon WAF 保护,以应用 Amazon 推荐的一组 Amazon WAF 安全保护。您可以在创建 CloudFront 分配时启用该功能,也可以稍后启用该功能。
一键启用 Amazon WAF 保护
一键为您的分配添加 Amazon WAF 保护。Amazon 建议的这组安全保护措施是抵御网络威胁的第一道防线。所包含的安全保护将:
-
根据 Amazon 内部威胁情报,阻止 IP 地址受到潜在威胁。
-
防范 OWASP 前 10 名
中描述的 Web 应用程序中最常见的漏洞。 -
防范恶意行为者发现应用程序漏洞。
CloudFront 将创建 Amazon WAF Web 访问控制列表(Web ACL),配置规则以保护您的服务器免受常见的网络威胁,并将 Web ACL 附加到 CloudFront 分配。或者,您可以稍后在 Amazon WAF 控制台中为特定于您的应用程序的其他威胁配置额外的安全保护。
一键在 CloudFront 中启用安全保护
通过 https://console.amazonaws.cn/cloudfront/v3/home
打开 CloudFront 控制台 -
选择创建分配,或选择编辑以配置现有分配。
-
在 Web 应用程序防火墙 (WAF) 部分中,选择启用安全保护。此时将显示更多字段。
-
填写以下字段:
-
使用监控模式:如果要先收集数据以测试保护的工作原理,则可以启用监控模式。启用监控模式后,如果保护处于活动状态,则不会阻止请求。相反,监控模式会收集有关在保护处于活动状态时将被阻止的请求的数据。当您准备好开始阻止时,可以在分配详细信息页面上启用阻止。
-
您可能会看到其他保护部分。选择要启用的任何选项。如果您启用了速率限制,请参阅 设置速率限制以了解更多信息。
-
价格估算部分。您可以打开该部分以显示一个字段,在该字段中输入不同的请求数/月,并查看新的估算值。
-
-
查看其余的分配设置,然后选择创建分配,如果编辑了现有分配,则选择保存设置。
您可以通过从分配的设置中选择 Amazon WAF 链接来查看有关生成的 Web ACL 的详细信息。
在 CloudFront 中禁用安全保护
通过 https://console.amazonaws.cn/cloudfront/v3/home
打开 CloudFront 控制台 -
选择编辑以配置现有分配。
-
在 Web 应用程序防火墙(WAF)部分中,选择不要启用安全保护。
-
选择保存更改。
设置速率限制
速率限制是您在配置安全保护时可能会收到的建议之一。
CloudFront 始终在监控模式下启用速率限制。启用监控模式后,CloudFront 会捕获一些指标,告诉您是否已超过您在速率限制字段中配置的速率、超出频率以及超出幅度。
保存分配后,CloudFront 开始根据速率限制字段中的数字收集数据。
您可以在分配详细信息页面的安全 – Web 应用程序防火墙 (WAF) 部分中管理速率限制设置。选择监控模式消息以显示一个对话框,其中包含有关所收集数据的详细信息。在该对话框中,您可以选择更改速率限制。微调速率后,可以选择启用阻止(在该对话框中)以停用监视模式。CloudFront 将开始阻止超过指定速率限制的请求。
配置其他安全保护
您可以为您的应用程序特定的其他威胁提供额外的安全保护,以便为一键式 Amazon WAF 防护提供补充。转到 Amazon WAF 控制台,网址为:https://console.aws.amazon.com/wafv2/
有关 Amazon WAF 的更多信息,请参阅《Amazon WAF 开发人员指南》。
使用现有 Web ACL
您可能已经配置了 Web ACL。您可以使用这些 ACL 来代替一键式 WAF 提供的保护。
使用现有 Amazon WAF 配置
通过 https://console.amazonaws.cn/cloudfront/v3/home
打开 CloudFront 控制台 -
选择创建分配,或选择编辑以配置现有分配。
-
在 Web 应用程序防火墙(WAF)部分中,选择启用安全保护。
-
选择使用现有 WAF 配置。此选项仅在配置了 Web ACL 时才会出现。
-
从选择 Web ACL 表中选择现有的 Web ACL。
-
查看其余的分配设置和创建分配,如果编辑了现有分配,则选择保存设置。