引入全新的主机体验 AWS WAF
现在,您可以使用更新的体验访问控制台中任意位置的 AWS WAF 功能。有关更多详细信息,请参阅 使用更新的主机体验。
本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
在 Amazon AWS WAF 上使用 CloudFront
了解如何 AWS WAF 与 Amazon CloudFront 功能配合使用。
创建保护包 (Web ACL) 时,可以指定 AWS WAF 要检查的一个或多个 CloudFront 发行版。 CloudFront 支持两种类型的分配:保护单个租户的标准分配和通过单个共享配置模板保护多个租户的多租户分配。 AWS WAF 根据您在保护包 (Web ACLs) 中定义的规则检查两种分发类型的 Web 请求,每种类型的实现模式各不相同。
AWS WAF 如何处理不同的分发类型
分配类型
AWS WAF 为标准和多租户 CloudFront 分发版本提供 Web 应用程序防火墙功能。
标准分布
对于标准发行版,使用单个保护包 (Web ACL) 为每个发行版 AWS WAF 添加保护。您可以通过将现有保护包 (Web ACL) 与 CloudFront 发行版关联或在控制台中使用一键保护来启用此保护。 CloudFront 这使您可以独立管理每个发行版的安全控制,因为对保护包(Web ACL)的任何更改都只会影响与其关联的发行版。
这种保护 CloudFront 分布的简单方法最适合通过单个保护包(Web ACL)为单个域名提供特定保护。
标准分发注意事项
-
对保护包 (Web ACL) 的更改仅影响其关联的分发
-
每个发行版都需要独立的保护包 (Web ACL) 配置
-
每个分配的规则和规则组是单独管理的
多租户分发
对于多租户分发,使用单个保护包 (Web ACL) 在多个域之间 AWS WAF 添加保护。由多租户分布管理的域名称为分发租户。在多租户分配创建过程中或之后,您只能在 CloudFront 控制台中启用对多租户分配的 AWS WAF 保护。但是,对保护包(Web ACL)的更改仍通过 AWS WAF 控制台或 API 进行管理。
多租户分布提供了在两个级别上启用 AWS WAF 保护的灵活性:
-
多租户分发级别 — 关联的保护包 (Web ACLs) 提供基本安全控制,适用于共享该分发的所有应用程序
-
分发租户级别 — 多租户分布中的单个租户可以拥有自己的保护包 (Web ACLs) 来实施额外的安全控制或覆盖多租户分发设置
这两个层级使多租户分布最适合在多个域之间共享 AWS WAF 保护,而不会失去为单个分配自定义安全性的能力。
多租户分发注意事项
-
个人分发租户继承对保护包 (Web ACLs) 所做的更改,这些更改与相关的多租户分发相关联
-
与特定分发租户关联的保护包 (Web ACLs) 可以覆盖在多租户保护包 (Web ACL) 级别配置的设置
-
托管规则组可以在分发租户和分发租户级别实施
-
应用程序标识符可以在日志中找到,以便通过分发跟踪安全事件
AWS WAF 按发行类型划分的功能
| AWS WAF 特征 | 标准分布 | 多租户分发 |
|---|---|---|
| 关联保护包 (Web ACLs) | 每个发行版一个保护包(Web ACL) | 您可以跨租户共享保护包 (Web ACLs),以及可选的租户专用保护包 (Web) ACLs |
| 规则管理 | 规则影响单一分布 | 多租户分配规则影响所有关联租户;特定于分配租户的规则仅影响该租户 |
| 托管规则组 | 应用于单个分布 | 适用于所有租户的多租户分布级别,也可以在租户级别应用于特定应用程序 |
| 日志记录 | 标准 AWS WAF 日志 | 日志包含用于安全事件归因的租户标识符 |
