BagaimanaAWS WAFKarya Klasik dengan Amazon CloudFront fitur - AWS WAF, AWS Firewall Manager, dan AWS Shield Advanced

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

BagaimanaAWS WAFKarya Klasik dengan Amazon CloudFront fitur

catatan

Ini adalahAWS WAFKlasikdokumentasi. Anda sebaiknya hanya menggunakan versi ini jika membuatAWS WAFsumber daya, seperti aturan dan ACL web, diAWS WAFsebelum November 2019, dan Anda belum memigrasinya ke versi terbaru. Untuk memigrasi sumber Anda, lihatMigrasiAWS WAFSumber daya KlasikAWS WAF.

Untuk versi terbaru dariAWS WAF, LihatAWS WAF.

Saat Anda membuat ACL web, Anda dapat menentukan satu atau lebih CloudFront distribusi yang Anda inginkanAWS WAFKlasik untuk diperiksa.AWS WAF Klasik mulai mengizinkan, memblokir, atau menghitung permintaan web untuk distribusi tersebut berdasarkan kondisi yang Anda identifikasi di ACL web. CloudFront menyediakan beberapa fitur yang meningkatkanAWS WAFFungsionalitas Klasik. Bab ini menjelaskan beberapa cara yang dapat Anda konfigurasikanCloudFront untuk membuat CloudFront danAWS WAFKlasik bekerja lebih baik bersama.

MenggunakanAWS WAFKlasik dengan CloudFront Halaman kesalahan kustom

SaatAWS WAFBlok Klasik permintaan web berdasarkan kondisi yang Anda tentukan, ia mengembalikan kode status HTTP 403 (Terlarang) ke HTTP CloudFront. Selanjutnya, CloudFront mengembalikan kode status ke penampil. Penampil kemudian menampilkan pesan default yang diformat secara singkat dan jarang serupa dengan ini:

Forbidden: You don't have permission to access /myfilename.html on this server.

Jika Anda lebih suka menampilkan pesan kesalahan khusus, mungkin menggunakan format yang sama dengan situs web Anda lainnya, Anda dapat mengonfigurasi CloudFront untuk kembali ke penampil objek (misalnya, file HTML) yang berisi pesan kesalahan kustom Anda.

catatan

CloudFront tidak dapat membedakan antara kode status HTTP 403 yang dikembalikan oleh asal Anda dan yang dikembalikan olehAWS WAFKlasik ketika permintaan diblokir. Ini berarti bahwa Anda tidak dapat mengembalikan halaman kesalahan kustom yang berbeda berdasarkan penyebab yang berbeda dari kode status HTTP 403.

Untuk informasi lebih lanjut tentang CloudFront halaman kesalahan kustom, lihatMenyesuaikan Respons Kesalahandi dalamAmazon CloudFront Panduan Pengembang.

MenggunakanAWS WAFKlasik dengan CloudFrontuntuk aplikasi yang berjalan di server HTTP Anda sendiri

Saat Anda menggunakanAWS WAFKlasik dengan CloudFront, Anda dapat melindungi aplikasi yang berjalan di server web HTTP apa pun, baik itu server web yang berjalan di Amazon Elastic Compute Cloud (Amazon EC2) atau server web yang Anda kelola secara pribadi. Anda juga dapat mengonfigurasi CloudFront untuk membutuhkan HTTPS antara CloudFrontdan server web Anda sendiri, serta antara pemirsa dan CloudFront.

Memerlukan HTTPS Antara CloudFront dan Webserver Anda Sendiri

Untuk membutuhkan HTTPS antara CloudFront dan webserver Anda sendiri, Anda dapat menggunakan CloudFront fitur asal kustom dan mengkonfigurasiKebijakan Protokol AsaldanNama Domain Asalpengaturan untuk asal-usul tertentu. Di CloudFront konfigurasi, Anda dapat menentukan nama DNS server bersama dengan port dan protokol yang Anda inginkan CloudFront untuk digunakan saat mengambil objek dari asal Anda. Anda juga harus memastikan bahwa sertifikat SSL/TLS di server asal khusus Anda cocok dengan nama domain asal yang Anda konfigurasikan. Ketika Anda menggunakan webserver HTTP Anda sendiri di luarAWS, Anda harus menggunakan sertifikat yang ditandatangani oleh otoritas sertifikat pihak ketiga (CA) tepercaya, DigiCert, atau Symantec. Untuk informasi selengkapnya tentang mewajibkan HTTPS untuk komunikasi antara CloudFrontdan webserver Anda sendiri, lihat topiknyaMemerlukan HTTPS untuk Komunikasi Antara CloudFront dan Asal Kustom Andadi dalamAmazon CloudFront Panduan Pengembang.

Memerlukan HTTPS Antara Penampil dan CloudFront

Untuk mengharuskan HTTPS antara penampil dan CloudFront, Anda dapat menggantiKebijakan Protokol Penampiluntuk satu atau lebih perilaku cache di CloudFrontdistribusi. Untuk informasi selengkapnya tentang penggunaan HTTPS antara penampil dan CloudFront, Lihat topikMemerlukan HTTPS untuk Komunikasi Antara Penampil dan CloudFrontdi dalamAmazon CloudFront Panduan Pengembang. Anda juga dapat membawa sertifikat SSL Anda sendiri sehingga penonton dapat terhubung ke CloudFront distribusi melalui HTTPS menggunakan nama domain Anda sendiri, misalnyahttps://www.mysite.com. Untuk informasi selengkapnya, lihat topikMengonfigurasi Nama Domain Alternatif dan HTTPSdi dalamAmazon CloudFront Panduan Pengembang.

Memilih metode HTTP yang CloudFrontmerespons

Saat Anda membuat Amazon CloudFront distribusi web, Anda memilih metode HTTP yang Anda inginkan CloudFront untuk memproses dan meneruskan ke asal Anda. Anda dapat memilih dari opsi berikut:

  • MENDAPATKAN, KEPALA— Anda dapat menggunakan CloudFront hanya untuk mendapatkan objek dari asal Anda atau untuk mendapatkan header objek.

  • DAPATKAN, KEPALA, OPSI— Anda dapat menggunakan CloudFront hanya untuk mendapatkan objek dari asal Anda, header objek, atau mengambil daftar opsi yang didukung server asal Anda, atau mengambil daftar opsi yang didukung server asal Anda, atau mengambil daftar opsi yang didukung server asal Anda,

  • MENDAPATKAN, KEPALA, PILIHAN, MENEMPATKAN, POSTING, PATCH, MENGHAPUS— Anda dapat menggunakan CloudFront untuk mendapatkan, memperbarui, dan menghapus objek, dan untuk mendapatkan header objek, dan untuk mendapatkan header objek, dan untuk mendapatkan header objek. Selain itu, Anda dapat melakukan operasi POST lainnya seperti mengirimkan data dari formulir web.

Anda juga dapat menggunakanAWS WAFKondisi pencocokan string klasik untuk mengizinkan atau memblokir permintaan berdasarkan metode HTTP, seperti yang dijelaskan dalamBekerja dengan kondisi pencocokan string. Jika Anda ingin menggunakan kombinasi metode itu CloudFront mendukung, sepertiGETdanHEAD, maka Anda tidak perlu mengonfigurasiAWS WAFKlasik untuk memblokir permintaan yang menggunakan metode lain. Jika Anda ingin mengizinkan kombinasi metode itu CloudFront tidak mendukung, sepertiGET,HEAD, danPOST, Anda dapat mengonfigurasi CloudFront untuk menanggapi semua metode, dan kemudian menggunakanAWS WAFKlasik untuk memblokir permintaan yang menggunakan metode lain.

Untuk informasi selengkapnya tentang memilih metode yang CloudFront merespon, melihatMetode HTTP yang Diizinkandalam topikNilai yang Anda Nyatakan Saat Membuat atau Memperbarui Distribusi Webdi dalamAmazon CloudFront Panduan Pengembang.