AWS WAF 為發佈啟用 - Amazon CloudFront

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

AWS WAF 為發佈啟用

您可以在建立發佈 AWS WAF 時啟用,也可以為現有的存取控制清單啟用安全性保護 (ACL)。

如果您 AWS WAF 為 CloudFront 發佈啟用,您也可以啟用機器人控制,並依機器人類別設定安全防護。

為新 AWS WAF 的發行版啟用

下列程序說明如何在建立新 CloudFront 發佈 AWS WAF 時啟用。

若要為新 AWS WAF 的發行版啟用
  1. 在開啟 CloudFront 主控台https://console.aws.amazon.com/cloudfront/v4/home

  2. 在導覽窗格中,選擇 [分配],然後選擇 [建立分配]。

  3. 如有需要,請遵循 建立分發 中的步驟。

  4. 在「Web 應用程式防火牆」區段中,選擇 「編輯」,然後選擇「啟動安全保護」。

  5. 完成下列欄位:

    • [使用監視模式] — 當您想要先收集資料以測試防護的運作方式時,啟用監視模式。在您啟用監控模式時,如果保護處於作用中狀態,則不會封鎖請求。而是監控模式會收集請求相關資料,如果保護處於作用中狀態,則會封鎖這些請求。當您準備好開始封鎖時,您可以在 [安全性] 頁面上啟用封鎖功能。

    • 其他保護 — 選擇您要啟用的任何選項。如果您啟用速率限制,請參閱設定速率限制取得詳細資訊。

    • 估價 — 您可以打開該部分以顯示一個字段,您可以在該字段中輸入不同的請求/月數並查看新的估計值。

  6. 檢閱剩餘的分佈設定,然後選擇 [建立分發]。

建立發行版後,建 CloudFront 立安全性儀表板。您可以使用此儀表板來停用或啟用 AWS WAF。如果 AWS WAF 尚未啟用,儀表板中的圖表和圖形將保持空白。

使用現有的網頁 ACL

如果您有現有的 WebACL,則可以使用它來代替提供的保護 AWS WAF。

使用現有的 AWS WAF 模型組態
  1. 在開啟 CloudFront 主控台https://console.aws.amazon.com/cloudfront/v4/home

  2. 執行以下任意一項:

    1. 選擇建立分佈並依照 建立分發 中的步驟執行,然後返回本主題。

    2. 選擇現有的組態,然後選擇 [安全性] 索引標籤。

  3. Web 應用程式防火牆 (WAF) 區段中,選擇編輯,然後選擇啟用安全性保護

  4. 選擇使用現有的WAF組態。只有在您已ACLs設定 Web 時,才會顯示此選項。

  5. 從「選擇網頁」ACL 表格ACL中選擇您現有的網頁

  6. 檢閱剩餘的分佈設定,然後選擇 [建立發佈]。

啟用機器人控制

如果您啟 AWS WAF 用 CloudFront 發佈功能,您可以在 CloudFront 主控台的安全性儀表板下檢視特定時間範圍內的機器人要求。您也可以在此處啟用或停用機器人控制。

啟用機器人控制時會產生費用。安全儀表板提供成本估算。

如果您啟用機器人控制,安全性儀表板會依每個機器人類型和類別顯示機器人流量。如果停用機器人控制,則會根據請求取樣顯示機器人流量。

啟用機器人控制功能
  1. 在開啟 CloudFront 主控台https://console.aws.amazon.com/cloudfront/v4/home

  2. 在導覽窗格中,選擇分佈,然後選擇您要變更的分佈。

  3. 選擇 Security (安全) 標籤。

  4. 向下捲動至指定時間範圍的機器人請求區段,然後選擇啟用機器人控制功能

  5. 在「機器人控制」對話方塊的「組態」下,選取「為一般機器人啟用機器人控制」核取方塊。

  6. 選擇 Save changes (儲存變更)。

依機器人類別設定防護

當您啟用機器人控制時,您可以配置每個未驗證的機器人如何處理每個機器人類別。例如,您可以將程式HTTP庫機器人設定為「監控」模式,並將「挑戰」指派給連結檢查程式。

注意

已知為常見且可驗證 AWS 的機器人 (例如已知的搜尋引擎搜尋器) 不受您在此處設定的動作所限制。機器人控制功能會在將經過驗證的機器人標記為已驗證之前,確認其來源是否來自其聲明的來源。

若要設定機器人類別的防護
  1. 在開啟 CloudFront 主控台https://console.aws.amazon.com/cloudfront/v4/home

  2. 在導覽窗格中,選擇分佈,然後選擇您要變更的分佈。

  3. 選擇 Security (安全) 標籤。

  4. 在「按機器人分類要求」圖表中,指向「未驗證機器人」動作欄中的任何項目,然後選擇鉛筆圖示進行編輯。

  5. 在導覽窗格清單中,請選擇下列其中一個:

    • 封鎖

    • Allow

    • 監控模式

    • CAPTCHA

    • 挑戰

  6. 選取清單旁邊的核取記號以儲存變更。