Amazon WAF Classic 如何与 Amazon CloudFront 功能配合使用 - Amazon WAF、Amazon Firewall Manager、Amazon Shield Advanced 和 Amazon Shield 网络安全分析器
在 CloudFront 自定义错误页面中使用 Amazon WAF Classic对于在您自己的 HTTP 服务器上运行的应用程序,将 Amazon WAF Classic 与 CloudFront 结合使用选择 CloudFront 响应的 HTTP 方法
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

介绍 Amazon WAF 的全新控制台体验

现在,您可以使用更新后的体验访问控制台中任意位置的 Amazon WAF 功能。有关更多详细信息,请参阅 使用更新的控制台体验

Amazon WAF Classic 如何与 Amazon CloudFront 功能配合使用

警告

Amazon WAF Classic 正经历计划中的生命周期结束过程。有关您所在区域特定的里程碑和日期,请参阅您的 Amazon Health 控制面板。

注意

这是 Amazon WAF Classic 文档。仅当 2019 年 11 月之前在 Amazon WAF 中创建了 Amazon WAF 资源(例如规则和 Web ACL),但尚未将这些资源迁移到最新版本时,才应使用此版本。要迁移您的 Web ACL,请参阅 将 Amazon WAF Classic 资源迁移到 Amazon WAF

有关 Amazon WAF 的最新版本,请参阅 Amazon WAF

在创建 Web ACL 时,您可以指定希望 Amazon WAF Classic 检查的一个或多个 Amazon WAF CloudFront 分配。Classic 便开始根据您在 Web ACL 中确定的条件来允许、阻止对于这些分配的 Web 请求或对 Web 请求计数。CloudFront 提供了一些功能来增强 Amazon WAF Classic 功能。本章介绍了几种用于配置 CloudFront 以便 CloudFront 和 Amazon WAF Classic 能更好配合使用的方法。

在 CloudFront 自定义错误页面中使用 Amazon WAF Classic

当 Amazon WAF Classic 根据您指定的条件阻止 Web 请求时,它会将 HTTP 状态代码 403(禁止)返回给 CloudFront。接下来,CloudFront 会将该状态代码返回给查看器。然后,查看器显示简要且采用稀疏格式的默认消息,如下所示:

Forbidden: You don't have permission to access /myfilename.html on this server.

如果您希望显示自定义错误消息,可能与您网站其他部分使用相同的格式设置,则您可以配置 CloudFront 向查看器返回包含自定义错误消息的对象(例如,HTML 文件)。

注意

CloudFront 无法区分由您的源返回的 HTTP 状态代码 403 与请求被阻止时由 Amazon WAF Classic 返回的 HTTP 状态代码 403。这意味着,您无法根据 HTTP 状态代码 403 的不同原因返回不同的自定义错误页面。

有关自定义错误页面的更多信息,请参阅Amazon CloudFront 开发人员指南中的自定义错误响应

对于在您自己的 HTTP 服务器上运行的应用程序,将 Amazon WAF Classic 与 CloudFront 结合使用

将 Amazon WAF Classic 与 CloudFront 结合使用时,您可以保护运行在任意 HTTP WebServer 上的应用程序,不论这是在 Amazon Elastic Compute Cloud (Amazon EC2) 中运行的 WebServer 还是您私下管理的 WebServer。您还可以将 CloudFront 配置为要求在 CloudFront 与您自己的 WebServer 之间以及在查看器与 CloudFront 之间使用 HTTPS。

要求在 CloudFront 和您自己的 WebServer 之间使用 HTTPS

如需要求在 CloudFront 和您自己的 WebServer 之间使用 HTTPS,您可以使用 CloudFront 自定义源功能,并为特定源配置源协议策略源域名设置。在您的 CloudFront 配置中,可以指定服务器的 DNS 名称,以及在从源中提取对象时希望 CloudFront 使用的端口和协议。您还应确保自定义源服务器上的 SSL/TLS 证书与您已配置的源域名匹配。当您在 Amazon 之外使用自己的 HTTP webserver 时,您必须使用由信任的第三方证书颁发机构(CA)(例如,Comodo、DigiCert 或 Symantec)签署的证书。有关要求在 CloudFront 和您自己的 WebServer 之间使用 HTTPS 进行通信的更多信息,请参阅 Amazon CloudFront 开发人员指南中的要求在 CloudFront 和自定义源站之间使用 HTTPS 进行通信

要求在查看器和 CloudFront 之间使用 HTTPS

要求在查看器和 CloudFront 之间使用 HTTPS,您可以为 CloudFront 分配中的一个或多个缓存行为更改查看器协议策略。有关在查看器和 CloudFront 之间使用 HTTPS 的更多信息,请参阅Amazon CloudFront 开发人员指南中的要求在查看者和 CloudFront 之间使用 HTTPS 进行通信。您还可以自带 SSL 证书,这样查看器可以使用您自己的域名通过 HTTPS 连接到 CloudFront 分配,例如 https://www.mysite.com。有关更多信息,请参阅Amazon CloudFront 开发人员指南中的配置备用域名和 HTTPS

选择 CloudFront 响应的 HTTP 方法

您在创建 Amazon CloudFront Web 分配时,会选择希望 CloudFront 处理并转发给源的 HTTP 方法。可从以下选项中进行选择:

  • GET、HEAD:您只能使用 CloudFront 获取您源中的对象或获取对象标头。

  • GET、HEAD、OPTIONS:您只能使用 CloudFront 从源获取对象、获取对象标头或检索您的原始服务器支持的选项列表。

  • GET、HEAD、OPTIONS、PUT、POST、PATCH、DELETE:您可以使用 CloudFront 获取、添加、更新和删除对象以及获取对象标头。此外,您可以执行其他 POST 操作,例如从 Web 表格提交数据。

还可以使用 Amazon WAF Classic 字符串匹配条件基于 HTTP 方法来允许或阻止请求,如 使用字符串匹配条件 中所述。如果要使用 CloudFront 支持的方法组合(如 GETHEAD),则不必将 Amazon WAF Classic 配置为阻止使用其他方法的请求。如果希望允许 CloudFront 不支持的方法组合(例如,GETHEADPOST),则可将 CloudFront 配置为响应所有方法,然后使用 Amazon WAF Classic 阻止使用其他方法的请求。

有关选择 CloudFront 响应的方法的更多信息,请参阅 Amazon CloudFront 开发人员指南主题您在创建或更新 Web 分配时指定的值中的允许的 HTTP 方法