本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
在 Amazon Amazon WAF 上使用 CloudFront
了解如何使用 Amazon WAF Amazon CloudFront 功能。
创建 Web ACL 时,可以指定 Amazon WAF 要检查的一个或多个 CloudFront 分配。 CloudFront 支持两种类型的分配:保护单个租户的标准分配和通过单个共享配置模板保护多个租户的多租户分配。 Amazon WAF 根据您在 Web 中定义的规则检查两种分发类型的 Web 请求 ACLs,每种类型的实现模式各不相同。
Amazon WAF 如何处理不同的分发类型
分配类型
Amazon WAF 为标准和多租户 CloudFront 分发版本提供 Web 应用程序防火墙功能。
标准分布
对于标准发行版,使用单个 Web ACL 为每个发行版 Amazon WAF 添加保护。您可以通过将现有 Web ACL 与 CloudFront 分发关联或在控制台中使用一键保护来启用此保护。 CloudFront 这使您可以独立管理每个发行版的安全控制,因为对 Web ACL 的任何更改都只会影响与其关联的发行版。
这种保护 CloudFront 分布的简单方法最适合为单个域名提供来自单个 Web ACL 的特定保护。
标准分发注意事项
-
Web ACL 更改仅影响关联的分发
-
每个发行版都需要独立的 Web ACL 配置
-
每个分配的规则和规则组是单独管理的
多租户分发
对于多租户分发,使用单个 Web ACL Amazon WAF 添加跨多个域的保护。由多租户分布管理的域名称为分发租户。在多租户分配创建过程中或之后,您只能在 CloudFront 控制台中为多租户分配启用 Amazon WAF 保护。但是,Web ACL 的更改仍通过 Amazon WAF 控制台或 API 进行管理。
多租户分布提供了在两个级别上启用 Amazon WAF 保护的灵活性:
-
多租户分发级别 — 与多租户分配 ACLs 关联的 Web 提供基本安全控制,适用于共享该分布的所有应用程序
-
分布租户级别 — 多租户分布中的单个租户可以拥有自己的网络 ACLs 来实施额外的安全控制或覆盖多租户分发设置
这两个层级使多租户分布最适合在多个域之间共享 Amazon WAF 保护,而不会失去为单个分配自定义安全性的能力。
多租户分发注意事项
-
个人分发租户继承对 Web ACLs 所做的与相关的多租户分配相关的更改
-
与特定分发租户 ACLs 关联的 Web 可以覆盖在多租户 Web ACL 级别配置的设置
-
托管规则组可以在分发租户和分发租户级别实施
-
可以在日志中找到应用程序标识符,以便通过分发跟踪安全事件
Amazon WAF 按发行类型划分的功能
| Amazon WAF 特征 | 标准分布 | 多租户分发 |
|---|---|---|
| Web ACL 关联 | 每个发行版一个 Web ACL | Web ACL 在租户之间共享,可选租户专用网络 ACLs |
| 规则管理 | 规则影响单一分布 | 多租户分配规则影响所有关联租户;特定于分配租户的规则仅影响该租户 |
| 托管规则组 | 应用于单个分布 | 适用于所有租户的多租户分布级别,也可以在租户级别应用于特定应用程序 |
| 日志记录 | 标准 Amazon WAF 日志 | 日志包含用于安全事件归因的租户标识符 |