在 Amazon AWS WAF 上使用 CloudFront - AWS WAF、 AWS Firewall Manager AWS Shield Advanced、和 AWS Shield 网络安全总监
AWS WAF 如何处理不同的分发类型 AWS WAF 与 CloudFront 定价计划配合使用

引入全新的主机体验 AWS WAF

现在,您可以使用更新的体验访问控制台中任意位置的 AWS WAF 功能。有关更多详细信息,请参阅使用控制台

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

在 Amazon AWS WAF 上使用 CloudFront

了解如何 AWS WAF 与 Amazon CloudFront 功能配合使用。

创建保护包 (Web ACL) 时,可以指定 AWS WAF 要检查的一个或多个 CloudFront 发行版。 CloudFront 支持两种类型的分配:保护单个租户的标准分配和通过单个共享配置模板保护多个租户的多租户分配。 AWS WAF 根据您在保护包 (Web ACLs) 中定义的规则检查两种分发类型的 Web 请求,每种类型的实现模式各不相同。

主题

AWS WAF 如何处理不同的分发类型

分配类型

AWS WAF 为标准和多租户 CloudFront 分发版本提供 Web 应用程序防火墙功能。

标准分配

对于标准发行版,使用单个保护包 (Web ACL) 为每个发行版 AWS WAF 添加保护。您可以通过将现有保护包 (Web ACL) 与 CloudFront 发行版关联或在控制台中使用一键保护来启用此保护。 CloudFront 这使您可以独立管理每个分配的安全控制,因为对保护包(web ACL)的任何更改都仅影响与其关联的分配。

这种保护 CloudFront 分布的简单方法最适合通过单个保护包(Web ACL)为单个域名提供特定保护。

标准分配注意事项

  • 对保护包(web ACL)的更改仅影响其关联的分配

  • 每个分配都需要独立的保护包(web ACL)配置

  • 每个分配的规则和规则组都单独进行管理

多租户分配

对于多租户分发,使用单个保护包 (Web ACL) 在多个域之间 AWS WAF 添加保护。由多租户分配管理的域称为分配租户。在多租户分配创建过程中或之后,您只能在 CloudFront 控制台中启用对多租户分配的 AWS WAF 保护。但是,对保护包(Web ACL)的更改仍通过 AWS WAF 控制台或 API 进行管理。

多租户分布提供了在两个级别上启用 AWS WAF 保护的灵活性:

  • 多租户分发级别 — 关联的保护包 (Web ACLs) 提供基本安全控制,适用于共享该分发的所有应用程序

  • 分发租户级别 — 多租户分布中的单个租户可以拥有自己的保护包 (Web ACLs) 来实施额外的安全控制或覆盖多租户分发设置

这两个层级使多租户分布最适合在多个域之间共享 AWS WAF 保护,而不会失去为单个分配自定义安全性的能力。

多租户分配注意事项

  • 个人分发租户继承对保护包 (Web ACLs) 所做的更改,这些更改与相关的多租户分发相关联

  • 与特定分发租户关联的保护包 (Web ACLs) 可以覆盖在多租户保护包 (Web ACL) 级别配置的设置

  • 托管规则组可在分配级别和分配租户级别实施

  • 应用程序标识符可在日志中找到,以便通过分配跟踪安全事件

AWS WAF 按发行类型划分的功能

比较保护包(web ACL)实施
AWS WAF 特征 标准分配 多租户分配
关联保护包 (Web ACLs) 每个分配一个保护包(web ACL) 您可以跨租户共享保护包 (Web ACLs),以及可选的租户专用保护包 (Web) ACLs
规则管理 规则影响单个分配 多租户分配规则影响所有关联的租户;特定于分配租户的规则仅影响该租户
托管规则组 已应用于单个分配 可以在多租户分配级别应用于所有租户,也可以在租户级别应用于特定应用程序
日志记录 标准 AWS WAF 日志 日志包含用于安全事件归因的租户标识符

AWS WAF 与 CloudFront 统一费率定价计划一起使用

CloudFront 统一费率定价计划将亚马逊 CloudFront 全球内容分发网络 (CDN) AWS 服务 与多种功能相结合,按月定价,不收取超额费用,无论流量激增或攻击如何。

统一费率定价计划包括以下内容 AWS 服务 和功能,仅按月收费:

  • CloudFront CDN

  • AWS WAF 和 DDo S 保护

  • 机器人管理和分析

  • Amazon Route 53 DNS

  • Amazon CloudWatch 日志提取

  • TLS 证书

  • 无服务器边缘计算

  • 每月 Amazon S3 存储服务抵扣金

方案分为免费、专业、商业和高级层级,可满足您应用程序的不同需求。计划无需每年承诺即可获得最优惠的价格。您可从免费版方案开始,然后升级以获得更多功能与更高的使用量限额。

有关更多信息以及计划和功能的完整列表,请参阅《Amazon CloudFront 开发者指南》中的CloudFront 统一费率定价计划

重要

使用任何定价计划时,有效的 AWS WAF 保护包 (Web ACL) 都必须与您的 CloudFront 发行版保持关联。除非切换回 pay-as-you-go定价,否则无法删除保护包 (Web ACL) 关联。

虽然 AWS WAF Web ACL 必须与您的发行版保持关联,但您可以完全控制自己的安全配置。您可以通过调整 Web ACL 中启用或禁用的规则来自定义防护,也可以修改规则设置以满足您的安全要求。有关管理 Web ACL 规则的信息,请参阅AWS WAF 规则