源于 CloudFront 的应用程序负载均衡器的必需配置 - Amazon WAF、Amazon Firewall Manager、Amazon Shield Advanced 和 Amazon Shield 网络安全分析器
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

介绍 Amazon WAF 的全新控制台体验

现在,您可以使用更新后的体验访问控制台中任意位置的 Amazon WAF 功能。有关更多详细信息,请参阅 使用更新的控制台体验

源于 CloudFront 的应用程序负载均衡器的必需配置

如果您将保护包(web ACL)关联到应用程序负载均衡器,并将应用程序负载均衡器部署为 CloudFront 分配源,请阅读本节。

使用此架构,您需要提供以下额外配置才能正确处理令牌信息。

  • 将 CloudFront 配置为将 aws-waf-token Cookie 转发到应用程序负载均衡器。否则,CloudFront 会在将请求转发到您的源之前删除该 Cookie。要在 Web 请求中保留令牌 Cookie,请将 CloudFront 缓存行为配置为仅包含令牌 Cookie 或包含所有 Cookie。有关更多信息,请参阅 Amazon CloudFront 开发人员指南中的根据 Cookie 缓存内容

  • 配置 Amazon WAF,使其将 CloudFront 分配的域识别为有效的令牌域。默认情况下,CloudFront 将 Host 标头设置为应用程序负载均衡器来源,并且 Amazon WAF 将其用作受保护资源的域。但是,客户端浏览器将 CloudFront 分配视为主机域,而为客户端生成的令牌使用 CloudFront 域作为令牌域。如果不进行任何其他配置,当 Amazon WAF 根据令牌域检查受保护的资源域时,它将出现不匹配的情况。要解决此问题,请将 CloudFront 分配域名添加到保护包(web ACL)配置中的令牌域列表中。有关如何执行此操作的信息,请参阅 Amazon WAF 保护包(web ACL)令牌域列表配置