推出 的新主控台體驗 AWS WAF
您現在可以使用更新後的體驗,在主控台的任何位置存取 AWS WAF 功能。如需詳細資訊,請參閱使用更新的主控台體驗。
本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
AWS WAF 搭配 Amazon CloudFront 使用
了解如何 AWS WAF 搭配 Amazon CloudFront 功能使用 。
當您建立保護套件或 Web ACL 時,您可以指定要檢查的 AWS WAF 一或多個 CloudFront 分佈。CloudFront 支援兩種分佈類型:保護個別租用戶的標準分佈,以及透過單一共用組態範本保護多個租用戶的多租用戶分佈。 會根據您在保護套件或 Web ACLs 中定義的規則來 AWS WAF 檢查兩種分佈類型的 Web 請求,每種類型都有不同的實作模式。
AWS WAF 如何使用不同的分佈類型
分佈類型
AWS WAF 為標準和多租戶分佈 CloudFront 分佈提供 Web 應用程式防火牆功能。
標準分佈
對於標準分佈, 會為每個分佈使用單一保護套件或 Web ACL AWS WAF 新增保護。您可以透過將現有的保護套件或 Web ACL 與 CloudFront 分佈建立關聯,或在 CloudFront 主控台中使用一鍵式保護來啟用此保護。這可讓您獨立管理每個分發的安全控制,因為保護套件或 Web ACL 的任何變更只會影響與其相關聯的分發。
這種保護 CloudFront 分佈的直接方法最適合為個別網域提供來自單一保護套件或 Web ACL 的特定保護。
標準分佈考量
-
保護套件或 Web ACL 的變更只會影響其關聯的分佈
-
每個分佈都需要獨立的保護套件或 Web ACL 組態
-
規則和規則群組會針對每個分佈分別管理
多租戶分佈
對於多租戶分佈, 會使用單一保護套件或 Web ACL 在多個網域中 AWS WAF 新增保護。由多租用戶分佈管理的網域稱為分佈租用戶。您只能在多租用戶分佈建立程序期間或之後,在 CloudFront 主控台中啟用多租用戶分佈的 AWS WAF 保護。不過,保護套件或 Web ACL 的變更仍會透過 AWS WAF 主控台或 API 進行管理。
多租戶分佈提供在兩個層級啟用 AWS WAF 保護的彈性:
-
多租戶分佈層級 – 關聯的保護套件或 Web ACLs 提供基準安全控制,適用於共用該分佈的所有應用程式
-
分佈租用戶層級 – 多租用戶分佈中的個別租用戶可以擁有自己的保護套件或 Web ACLs以實作額外的安全控制或覆寫多租用戶分佈設定
這兩個層使多租戶分佈最適合跨多個網域共用 AWS WAF 保護,而不會失去為個別分佈自訂安全性的能力。
多租戶分佈考量
-
個別分佈租用戶會繼承對與相關多租用戶分佈相關聯的保護套件或 Web ACLs 所做的變更
-
與特定分發租用戶相關聯的保護套件或 Web ACLs 可以覆寫在多租用戶保護套件或 Web ACL 層級設定的設定
-
受管規則群組可以在分佈和分佈租用戶層級實作
-
應用程式識別符可以位於日誌中,以依分佈追蹤安全事件
AWS WAF 依分佈類型的 功能
| AWS WAF 功能 | 標準分佈 | 多租戶分佈 |
|---|---|---|
| 關聯保護套件或 Web ACLs | 每個分佈一個保護套件或 Web ACL | 您可以使用選用的租用戶特定保護套件或 Web ACLs,跨租用戶共用保護套件或 Web ACLs |
| 規則管理 | 規則會影響單一分佈 | 多租用戶分佈規則會影響所有相關租用戶;分佈租用戶特定規則只會影響該租用戶 |
| 受管規則群組 | 套用至個別分佈 | 可套用至所有租用戶的多租用戶分佈層級,或套用至特定應用程式的租用戶層級 |
| 日誌 | 標準 AWS WAF 日誌 | 日誌包含安全事件屬性的租戶識別符 |
