在 CloudFront 安全控制面板中管理 Amazon WAF 安全保护功能 - Amazon CloudFront
先决条件启用 Amazon WAF 日志
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

在 CloudFront 安全控制面板中管理 Amazon WAF 安全保护功能

CloudFront 会为您的每个分配创建一个安全控制面板。使用 CloudFront 控制台中的控制面板。借助控制面板,您可以在单一位置结合使用 CloudFront 和 Amazon WAF,来监控和管理对 Web 应用程序的一般安全保护。控制面板提供以下任务和数据:

  • 安全配置 – 您可以启用和禁用 Amazon WAF 保护功能,并查看任何特定于应用程序的保护功能,例如 WordPress 保护。

  • 安全趋势 – 其中包括允许和阻止的请求、质询和验证码请求以及主要攻击类型。您可以看到流量比率以及它们随时间推移的变化。例如,如果所有请求都增加了 3%,但允许的请求增加了 14%,则意味着您在当前时段允许了更大一部分流量通过。

  • 机器人请求 – 您可以查看有多少流量来自机器人、有哪些类型的机器人(已验证与未验证),以及机器人类型(已验证与未验证)的百分比分配如何随时间变化。有关启用机器人控制功能的更多信息,请参阅启用机器人控制功能

  • 请求日志 – 日志数据可以帮助解答有关安全趋势或机器人请求的问题。您无需编写查询即可搜索日志,还可以查看汇总图表,以帮助确定筛选后的日志集是否主要由 HTTP 方法、IP 地址、URI 路径或国家/地区的子集驱动。您可以将鼠标悬停在图表中的值上,并阻止 IP 地址和国家/地区。有关更多信息,请参阅 启用 Amazon WAF 日志

  • 地理限制管理 – CloudFront 和 Amazon WAF 提供地理限制功能。CloudFront 免费提供地理限制功能,但安全控制面板中不会显示 CloudFront 地理限制功能的指标。要查看被屏蔽的国家/地区请求的请求指标,您必须使用 Amazon WAF 地理限制功能。为此,请将鼠标悬停在安全控制面板中的国家/地区栏上,然后屏蔽该国家/地区。有关更多信息,请参阅 使用 CloudFront 地理限制

    • 如果您之前在 CloudFront 控制台之外创建了用于阻止国家/地区的自定义 Amazon WAF 规则,则阻止选项可能不可用。

先决条件

如果要在 CloudFront 安全控制面板中查看安全指标,则必须启用 Amazon WAF。如果未启用 Amazon WAF,则只能使用安全控制面板来启用 Amazon WAF 或配置 CloudFront 地理限制。

有关启用 Amazon WAF 的更多信息,请参阅 为分配启用 Amazon WAF

启用 Amazon WAF 日志

Amazon WAF 日志数据可以帮助您隔离特定的流量模式。例如,日志可以向您显示某些流量的来源或用途。

如果您启用对 CloudWatch 的 Amazon WAF 日志记录,则 CloudFront 安全控制面板会查询、汇总和显示来自 CloudWatch 日志的见解。我们不收取安全控制面板的使用费用,但是 CloudWatch 定价适用于通过控制面板查询的日志。有关更多信息,请参阅 Amazon CloudWatch 定价

启用日志

  1. 请求数/月框中输入您的预期请求量,以估算启用日志的成本。

  2. 选中启用 Amazon WAF 日志复选框。

  3. 请选择 启用

CloudFront 会创建一个 CloudWatch 日志组并更新您的 Amazon WAF 配置以开始将日志记录到 CloudWatch。首次使用时,日志数据可能需要几分钟才能显示。图表的请求部分列出了每个请求。在单个请求下方,条形图按 HTTP 方法、主要 URI 路径、主要 IP 地址和主要国家/地区汇总数据。图表可以帮助您找到模式。例如,您可能会看到来自单个 IP 地址的请求量不成比例,或者看到来自您以前在日志中未见过的国家/地区的数据。您可以根据国家/地区主机标头和其他属性筛选请求,以帮助查找不需要的流量。识别出那些流量后,将鼠标指针悬停在单个请求或图表项上,然后阻止某个 IP 地址或国家/地区。

注意

显示的指标基于 Web ACL。因此,如果您将同一个 Web ACL 关联到多个分配,您将看到 Web ACL 的所有指标,而不仅仅是针对该分配处理的 Amazon WAF 请求。