介绍 AWS WAF 的全新控制台体验
现在,您可以使用更新后的体验访问控制台中任意位置的 AWS WAF 功能。有关更多详细信息,请参阅 使用更新的控制台体验。
将 AWS WAF 与 Amazon CloudFront 配合使用
了解如何将 AWS WAF 和 Amazon CloudFront 功能结合使用。
在创建保护包(web ACL)时,您可以指定希望 AWS WAF 检查的一个或多个 CloudFront 分配。CloudFront 支持两种类型的分配:保护单个租户的标准分配以及通过单个共享配置模板保护多个租户的多租户分配。AWS WAF 根据您在保护包(web ACL)中定义的规则检查两种分配类型的 web 请求,每种类型的实施模式各不相同。
AWS WAF 如何处理不同的分配类型
分配类型
AWS WAF 为标准和多租户分配 CloudFront 分配提供 web 应用程序防火墙功能。
标准分配
对于标准分配,AWS WAF 使用单个保护包(web ACL)为每个分配添加保护。您可以通过将现有保护包(web ACL)与 CloudFront 分配相关联或在 CloudFront 控制台中使用一键保护以启用此保护。这使您可以独立管理每个分配的安全控制,因为对保护包(web ACL)的任何更改都仅影响与其关联的分配。
这种保护 CloudFront 分配的简单方法是通过单个保护包(web ACL)为单个域提供特定保护的理想之选。
标准分配注意事项
-
对保护包(web ACL)的更改仅影响其关联的分配
-
每个分配都需要独立的保护包(web ACL)配置
-
每个分配的规则和规则组都单独进行管理
多租户分配
对于多租户分配,AWS WAF 使用单个保护包(web ACL)在多个域之间添加保护。由多租户分配管理的域称为分配租户。在多租户分配创建过程期间或之后,仅可在 CloudFront 控制台中为多租户分配启用 AWS WAF 保护。但是,对保护包(web ACL)的更改仍通过 AWS WAF 控制台或 API 进行管理。
多租户分配提供在两种级别启用 AWS WAF 保护的灵活性:
-
多租户分配级别:关联的保护包(web ACL)提供基准安全控制,适用于共享该分配的所有应用程序
-
分配租户级别:多租户分配中的单个租户可拥有自己的保护包(web ACL),以实施额外的安全控制或覆盖多租户分配设置
这两个层级使多租户分配最适合在多个域之间共享 AWS WAF 保护,而不会失去为单个分配自定义安全性的能力。
多租户分配注意事项
-
单个分配租户继承对与相关多租户分配相关联保护包(web ACL)所做的更改
-
与特定分配租户关联的保护包(web ACL)可以覆盖在多租户保护包(web ACL)级别配置的设置
-
托管规则组可在分配级别和分配租户级别实施
-
应用程序标识符可在日志中找到,以便通过分配跟踪安全事件
按分配类型划分的 AWS WAF 功能
| AWS WAF 功能 | 标准分配 | 多租户分配 |
|---|---|---|
| 关联保护包(web ACL) | 每个分配一个保护包(web ACL) | 您可以使用可选的租户专用保护包(web ACL),跨租户共享保护包(web ACL) |
| 规则管理 | 规则影响单个分配 | 多租户分配规则影响所有关联的租户;特定于分配租户的规则仅影响该租户 |
| 托管规则组 | 已应用于单个分配 | 可以在多租户分配级别应用于所有租户,也可以在租户级别应用于特定应用程序 |
| 日志记录 | 标准 AWS WAF 日志 | 日志包含用于安全事件归因的租户标识符 |
