**推出 的新主控台體驗 AWS WAF**

您現在可以使用更新後的體驗，在主控台的任何位置存取 AWS WAF 功能。如需詳細資訊，請參閱[使用 主控台](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html)。

本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# AWS WAF 搭配 Amazon CloudFront 使用
<a name="cloudfront-features"></a>

了解如何 AWS WAF 搭配 Amazon CloudFront 功能使用 。

當您建立保護套件 (Web ACL) 時，您可以指定要檢查的 AWS WAF 一或多個 CloudFront 分佈。CloudFront 支援兩種分佈類型：保護個別租用戶的標準分佈，以及透過單一共用組態範本保護多個租用戶的多租用戶分佈。 會根據您在保護套件 (Web ACLs) 中定義的規則，針對每種類型使用不同的實作模式來 AWS WAF 檢查兩種分佈類型的 Web 請求。

**Topics**
+ [AWS WAF 如何使用不同的分佈類型](#cloudfront-features-distribution-types)
+ [使用 AWS WAF 搭配 CloudFront 固定費率定價計劃](#waf-cf-pricing-plans)
+ [使用 保護 CloudFront 分佈的常見使用案例 AWS WAF](cloudfront-waf-use-cases.md)

## AWS WAF 如何使用不同的分佈類型
<a name="cloudfront-features-distribution-types"></a>

### 分佈類型
<a name="distribution-types-overview"></a>

AWS WAF 為標準和多租戶分佈 CloudFront 分佈提供 Web 應用程式防火牆功能。

#### 標準分佈
<a name="standard-distribution-overview"></a>

對於標準分佈， 會為每個分佈使用單一保護套件 (Web ACL) AWS WAF 新增保護。您可以透過將現有的保護套件 (Web ACL) 與 CloudFront 分佈建立關聯，或在 CloudFront 主控台中使用一鍵式保護來啟用此保護。這可讓您獨立管理每個分佈的安全控制，因為保護套件 (Web ACL) 的任何變更都只會影響與其相關聯的分佈。

這種保護 CloudFront 分佈的直接方法最適合為個別網域提供單一保護套件 (Web ACL) 的特定保護。

##### 標準分佈考量
<a name="standard-waf-considerations"></a>
+ 保護套件 (Web ACL) 的變更只會影響其關聯的分佈
+ 每個分佈都需要獨立的保護套件 (Web ACL) 組態
+ 規則和規則群組會針對每個分佈分別管理

#### 多租戶分佈
<a name="tenant-distribution-overview"></a>

對於多租戶分佈， 使用單一保護套件 (Web ACL) 在多個網域中 AWS WAF 新增保護。由多租用戶分佈管理的網域稱為分佈租用戶。您只能在多租用戶分佈建立程序期間或之後，在 CloudFront 主控台中啟用多租用戶分佈的 AWS WAF 保護。不過，保護套件 (Web ACL) 的變更仍會透過 AWS WAF 主控台或 API 進行管理。

多租戶分佈提供在兩個層級啟用 AWS WAF 保護的彈性：
+ **多租戶分佈層級** – 關聯的保護套件 (Web ACLs) 提供基準安全控制，適用於共用該分佈的所有應用程式
+ **分佈租用戶層級** – 多租用戶分佈中的個別租用戶可以擁有自己的保護套件 (Web ACLs)，以實作額外的安全控制或覆寫多租用戶分佈設定

這兩個層使多租戶分佈最適合跨多個網域共用 AWS WAF 保護，而不會失去為個別分佈自訂安全性的能力。

#### 多租戶分佈考量
<a name="tenant-waf-considerations"></a>
+ 個別分佈租用戶會繼承對與相關多租用戶分佈相關聯的保護套件 (Web ACLs) 所做的變更
+ 與特定分佈租用戶相關聯的保護套件 (Web ACLs) 可以覆寫在多租用戶保護套件 (Web ACL) 層級設定的設定
+ 受管規則群組可以在分佈和分佈租用戶層級實作
+ 應用程式識別符可以位於日誌中，以依分佈追蹤安全事件

### AWS WAF 依分佈類型的功能
<a name="distribution-types-comparison"></a>


**比較保護套件 (Web ACL) 實作**  

| AWS WAF 功能 | 標準分佈 | 多租戶分佈 | 
| --- | --- | --- | 
| 關聯保護套件 (Web ACLs) | 每個分佈一個保護套件 (Web ACL) | 您可以使用選用的租用戶特定保護套件 (Web ACLs)，跨租用戶共用保護套件 (Web ACLs) | 
| 規則管理 | 規則會影響單一分佈 | 多租用戶分佈規則會影響所有相關租用戶；分佈租用戶特定規則只會影響該租用戶 | 
| 受管規則群組 | 套用至個別分佈 | 可套用至所有租用戶的多租用戶分佈層級，或套用至特定應用程式的租用戶層級 | 
| 日誌 | 標準 AWS WAF 日誌 | 日誌包含安全事件屬性的租戶識別符 | 

## 使用 AWS WAF 搭配 CloudFront 固定費率定價計劃
<a name="waf-cf-pricing-plans"></a>

CloudFront 固定費率定價計劃將 Amazon CloudFront 全球內容交付網路 (CDN) 與多個 AWS 服務 和 功能結合為每月價格，而不會產生超額費用，無論流量峰值或攻擊。

固定費率定價計劃包含下列 AWS 服務 和 功能，每月價格簡單：
+ CloudFront CDN
+ AWS WAF 和 DDoS 保護
+ 機器人管理和分析
+ Amazon Route 53 DNS
+ Amazon CloudWatch Logs 擷取
+ TLS 憑證
+ 無伺服器邊緣運算
+ 每月 Amazon S3 儲存額度

計劃提供免費、專業、商業和高級方案，以符合應用程式的需求。計劃不需要年度承諾，即可獲得最佳的可用費率。從 免費計劃開始並升級，以存取更多功能和更大的用量限額。

如需詳細資訊和計劃和功能的完整清單，請參閱《Amazon [CloudFront 開發人員指南》中的 CloudFront 固定費率定價計劃](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/flat-rate-pricing-plan.html)。 *Amazon CloudFront *

**重要**  
使用任何定價計劃時，有效的 AWS WAF 保護套件 (Web ACL) 必須與您的 CloudFront 分佈保持關聯。除非您切換回pay-as-you-go定價，否則無法移除保護套件 (Web ACL) 關聯。  
雖然 AWS WAF Web ACL 必須與您的分佈保持關聯，但您可以完全控制您的安全組態。您可以透過調整 Web ACL 中啟用或停用哪些規則來自訂保護，並修改規則設定以符合您的安全需求。如需管理 Web ACL 規則的資訊，請參閱[AWS WAF 規則](https://docs.aws.amazon.com/waf/latest/developerguide/waf-rules.html)。