操作方法Amazon WAFClassic CloudFront 功能 - Amazon WAF、Amazon Firewall Manager 和 Amazon Shield Advanced
使用Amazon WAF经典搭配 CloudFront 自定义错误页面使用Amazon WAF经典搭配 CloudFront 对于在您自己的 HTTP 服务器上运行的应用程序选择 CloudFront 响应的 HTTP 方法
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

操作方法Amazon WAFClassic CloudFront 功能

注意

这是Amazon WAFClassic文档中)。仅当 2019 年 11 月之前在 Amazon WAF 中创建了 Amazon WAF 资源(例如规则和 Web ACL),但尚未将这些资源迁移到最新版本时,才应使用此版本。要迁移您的资源,请参阅将您的Amazon WAF经典资源迁移到Amazon WAF

对于最新版本的Amazon WAF,请参阅Amazon WAF.

在创建 Web ACL 时,您可以指定一个或多个 CloudFront 你想要的发行版Amazon WAFClassicAmazon WAF Classic 便开始根据您在 Web ACL 中确定的条件来允许、阻止对于这些分配的 Web 请求或对 Web 请求计数。 CloudFront 提供了一些功能来增强功能Amazon WAF经典功能。本章介绍了几种用于配置的方法。CloudFront 要做 CloudFront 和Amazon WAFClassic 可以更好地协作。

使用Amazon WAF经典搭配 CloudFront 自定义错误页面

何时Amazon WAFClassic 会根据您指定的条件阻止 Web 请求,它会将 HTTP 状态代码 403 (Forbidden) 返回给 CloudFront. 下一步: CloudFront 会将该状态代码返回给查看器。然后,查看器显示简要且采用稀疏格式的默认消息,如下所示:

Forbidden: You don't have permission to access /myfilename.html on this server.

如果您更愿意显示自定义错误消息,可能与您网站其他部分使用相同的格式设置,则您可以配置 CloudFront 会将包含自定义错误消息的对象 (例如,HTML 文件) 返回给查看器。

注意

CloudFront 无法区分由您的源返回的 HTTP 状态代码 403 与由返回的 HTTP 状态代码 403Amazon WAFClassic 表示请求被阻止。这意味着,您无法根据 HTTP 状态代码 403 的不同原因返回不同的自定义错误页面。

有关 的更多信息 CloudFront 自定义错误页面,请参阅自定义错误响应中的亚马逊 CloudFront 开发人员指南.

使用Amazon WAF经典搭配 CloudFront对于在您自己的 HTTP 服务器上运行的应用程序

当您使用以下应用程序时:Amazon WAF经典搭配 CloudFront,则您可以保护运行在任意 HTTP webserver 上的应用程序,不论这是在 Amazon Elastic Compute Compute Cloud (Amazon EC2) 中运行的 webserver 还是您私下管理的 webserver。您也可以配置 CloudFront 要求在之间使用 HTTPS CloudFront和您自己的webserver,以及在查看器和之间使用 CloudFront.

要求 HTTPS CloudFront 和您自己的Webserver

要求在以下时间之间使用 HTTP CloudFront 和您自己的webserver,您可以使用 CloudFront 自定义原点功能并配置源协议策略源域名特定来源的设置。在您的 CloudFront 配置时,您可以指定服务器的 DNS 名称,并指定所需的端口和协议。 CloudFront 在从源中提取对象时使用。您还应确保自定义源服务器上的 SSL/TLS 证书与您已配置的源域名匹配。当你在外部使用自己的 HTTP Web 服务器时Amazon则您必须使用由信任的第三方证书颁发机构 (CA)(例如,Comodo)签署的证书。 DigiCert,或赛门铁克。有关要求在之间使用 HTTPS 进行通信 CloudFront和你自己的 web 服务器,请参阅主题要求在之间使用 HTTPS 进行通信 CloudFront 和您的自定义源中的亚马逊 CloudFront 开发人员指南.

要求在查看器和 之间使用 HTTPS CloudFront

要求在查看器和之间使用 HTTPS CloudFront,您可以更改查看器协议策略对于您的中的一个或多个缓存行为 CloudFront分配。有关在查看器和之间使用 HTTPS CloudFront,请参阅主题。要求在查看器和 之间使用 HTTPS 进行通信 CloudFront中的亚马逊 CloudFront 开发人员指南. 您也可以自带 SSL 证书,这样查看器可以连接到您的 CloudFront 例如,使用您自己的域名通过 HTTPS 进行分发https://www.mysite.com. 有关更多信息,请参阅主题。配置备用域名和 HTTPS中的亚马逊 CloudFront 开发人员指南.

选择 CloudFront 响应的 HTTP 方法

当你创建亚马逊时 CloudFront Web 分配,您可以选择您希望的 HTTP 方法 CloudFront 处理并转发到您的源。可从以下选项中进行选择:

  • GET、HEAD— 您可以使用 CloudFront 只能从源获取对象或获取对象标头。

  • GET、HEAD、选项— 您可以使用 CloudFront 只能从源获取对象、获取对象标头或检索您的源服务器支持的选项的列表。

  • GET、HEAD、OPTIONS、PUT、POST、补丁、删除— 您可以使用 CloudFront 获取、添加、更新和删除对象,并获取对象标头。此外,您可以执行其他 POST 操作,例如从 Web 表格提交数据。

您还可以使用Amazon WAF经典字符串匹配条件,如中所述。使用字符串匹配条件. 如果你想使用多种方法的组合 CloudFront 支持,例如GETHEAD,则您不需要配置Amazon WAFClassic 用于阻止使用其他方法的请求。如果你想允许使用以下方法的组合 CloudFront 不支持,例如GETHEAD, 和POST,你可以配置 CloudFront 响应所有方法,然后使用Amazon WAFClassic 用于阻止使用其他方法的请求。

有关选择 CloudFront 响应,请参阅允许的 HTTP 方法在主题中您创建或更新 Web 分配时指定的值中的亚马逊 CloudFront 开发人员指南.