在 Amazon Amazon WAF 上使用 CloudFront - Amazon WAF、 Amazon Firewall ManagerAmazon Shield Advanced、和 Amazon Shield 网络安全总监
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

引入全新的主机体验 Amazon WAF

现在,您可以使用更新的体验访问控制台中任意位置的 Amazon WAF 功能。有关更多详细信息,请参阅 使用更新的主机体验

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

在 Amazon Amazon WAF 上使用 CloudFront

了解如何使用 Amazon WAF Amazon CloudFront 功能。

创建保护包或 Web ACL 时,可以指定 Amazon WAF 要检查的一个或多个 CloudFront 发行版。 CloudFront 支持两种类型的分配:保护单个租户的标准分配和通过单个共享配置模板保护多个租户的多租户分配。 Amazon WAF 根据您在保护包或 Web 中定义的规则检查两种分发类型的 Web 请求 ACLs,每种类型的实现模式各不相同。

Amazon WAF 如何处理不同的分发类型

分配类型

Amazon WAF 为标准和多租户 CloudFront 分发版本提供 Web 应用程序防火墙功能。

标准分布

对于标准发行版,使用单个保护包或 Web ACL 为每个发行版 Amazon WAF 添加保护。您可以通过将现有保护包或 Web ACL 与 CloudFront 发行版关联或在控制台中使用一键保护来启用此保护。 CloudFront 这使您可以独立管理每个发行版的安全控制,因为对保护包或 Web ACL 的任何更改都只会影响与其关联的发行版。

这种保护 CloudFront 分发的简单方法最适合为单个域名提供来自单个保护包或 Web ACL 的特定保护。

标准分发注意事项
  • 对保护包或 Web ACL 的更改仅影响其关联的分发

  • 每个发行版都需要独立的保护包或 Web ACL 配置

  • 每个分配的规则和规则组是单独管理的

多租户分发

对于多租户分发,使用单个保护包或 Web ACL 跨多个域 Amazon WAF 添加保护。由多租户分布管理的域名称为分发租户。在多租户分配创建过程中或之后,您只能在 CloudFront 控制台中为多租户分配启用 Amazon WAF 保护。但是,对保护包或 Web ACL 的更改仍通过 Amazon WAF 控制台或 API 进行管理。

多租户分布提供了在两个级别上启用 Amazon WAF 保护的灵活性:

  • 多租户分发级别 — 关联的保护包或 Web ACLs 提供基本安全控制,适用于共享该分发的所有应用程序

  • 分发租户级别 — 多租户分布中的单个租户可以拥有自己的保护包或 Web ACLs 来实施额外的安全控制或覆盖多租户分发设置

这两个层级使多租户分布最适合在多个域之间共享 Amazon WAF 保护,而不会失去为单个分配自定义安全性的能力。

多租户分发注意事项

  • 个人分发租户继承对与相关多租户分发相关的保护包或 Web ACLs 所做的更改

  • 与特定分发租户 ACLs 关联的保护包或 Web 可以覆盖在多租户保护包或 Web ACL 级别配置的设置

  • 托管规则组可以在分发租户和分发租户级别实施

  • 应用程序标识符可以在日志中找到,以便通过分发跟踪安全事件

Amazon WAF 按发行类型划分的功能

比较保护包或 Web ACL 的实现
Amazon WAF 特征 标准分布 多租户分发
关联保护包或 Web ACLs 每个发行版都有一个保护包或 Web ACL 您可以通过可选的租户特定保护包或网络 ACLs 在租户之间共享保护包或网络 ACLs
规则管理 规则影响单一分布 多租户分配规则影响所有关联租户;特定于分配租户的规则仅影响该租户
托管规则组 应用于单个分布 适用于所有租户的多租户分布级别,也可以在租户级别应用于特定应用程序
日志记录 标准 Amazon WAF 日志 日志包含用于安全事件归因的租户标识符