为分配启用 AWS WAF

您可以在创建分配时启用 AWS WAF，也可以为现有的访问控制列表（ACL）启用安全保护功能。

如果您为 CloudFront 分配启用 AWS WAF，则还可以启用机器人控制功能并按机器人类别配置安全保护功能。

为新分配启用 AWS WAF

以下步骤演示如何在创建新 CloudFront 分配时启用 AWS WAF。

通过 https://console.aws.amazon.com/cloudfront/v4/home 打开 CloudFront 控制台
在导航窗格中，选择分配，然后选择创建分配。
根据需要，按照创建分配中的步骤进行操作。
在 Web 应用程序防火墙部分，选择编辑，然后选择启用安全保护。
填写以下字段：
- 使用监控模式 – 如果要先收集数据以测试保护的工作原理，可以启用监控模式。启用监控模式后，如果保护处于活动状态，则不会阻止请求。相反，监控模式会收集有关在保护处于活动状态时将被阻止的请求的数据。当您准备好开始阻止时，可以在安全页面上启用阻止功能。
- 其他保护 – 选择要启用的任何选项。如果您启用了速率限制，请参阅设置速率限制以了解更多信息。
- 价格估算 – 您可以打开该部分以显示一个字段，在该字段中输入不同的请求数/月份，并查看新的估算值。
查看其余分配设置，然后选择创建分配。

当您创建分配时，CloudFront 会创建一个安全控制面板。您可以使用此控制面板禁用或启用 AWS WAF。如果您尚未启用 AWS WAF，控制面板中的图表和图形将保持空白。

如果您已有 Web ACL，则可以使用它来代替 AWS WAF 提供的保护功能。

通过 https://console.aws.amazon.com/cloudfront/v4/home 打开 CloudFront 控制台
请执行以下操作之一：
1. 选择创建分配并按照创建分配中的步骤操作，然后返回本主题。
2. 选择现有配置，然后选择安全选项卡。
在 Web 应用程序防火墙（WAF）部分，选择编辑，然后选择启用安全保护。
选择使用现有 WAF 配置。此选项仅在配置了 Web ACL 时才会出现。
从选择 Web ACL 表中选择现有的 Web ACL。
查看其余分配设置，然后选择创建分配。

如果您为 CloudFront 分配启用 AWS WAF，则可以在 CloudFront 控制台的安全控制面板下，查看给定时间范围内的机器人请求。您也可在此处启用或禁用机器人控制功能。

启用机器人控制功能后会产生费用。安全控制面板提供了成本估算。

如果您启用机器人控制功能，则安全控制面板会按每种机器人类型和类别显示机器人的流量。如果您禁用机器人控制功能，则会根据请求采样显示机器人的流量。

通过 https://console.aws.amazon.com/cloudfront/v4/home 打开 CloudFront 控制台
在导航窗格中，选择分配，然后选择要更改的分配。
选择安全性选项卡。
向下滚动到给定时间范围内的机器人请求部分，然后选择启用机器人控制功能。
在机器人控制功能对话框的配置下，选中为普通机器人启用机器人控制功能复选框。
选择保存更改。

启用机器人控制功能后，您可以配置如何按机器人类别处理每个未经验证的机器人。例如，您可以将 HTTP 库机器人设置为监控模式，并将质询分配给链接检查工具。

AWS 已知的常见且可验证的机器人（如已知的搜索引擎爬网程序）不受您在此设置的操作的限制。机器人控制功能会确认经过验证的机器人来自他们声称的来源，然后再将其标记为已验证。

通过 https://console.aws.amazon.com/cloudfront/v4/home 打开 CloudFront 控制台
在导航窗格中，选择分配，然后选择要更改的分配。
选择安全性选项卡。
在按机器人类别划分的请求图表中，指向未验证的机器人操作列中的任何项目，然后选择编辑图标。
打开结果列表并选择下列选项之一：
- 阻止
- 允许
- 监控模式
- 验证码
- 质询
选中列表旁边的复选标记以提交您的更改。

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

使用 AWS WAF 保护功能

管理 CloudFront AWS WAF 的安全保护功能