# 为分配启用 AWS WAF
<a name="WAF-one-click"></a>

您可以在创建分配时启用 AWS WAF，也可以为现有的访问控制列表（ACL）启用安全保护功能。

如果您为 CloudFront 分配启用 AWS WAF，则还可以启用机器人控制功能并按机器人类别配置安全保护功能。

**Topics**
+ [为新分配启用 AWS WAF](#enable-waf-new-distribution)
+ [使用现有 Web ACL](#acl-new-configuration)
+ [启用机器人控制功能](#bot-traffic)
+ [按机器人类别配置保护功能](#configure-bot-category-protection)

## 为新分配启用 AWS WAF
<a name="enable-waf-new-distribution"></a>

以下步骤演示如何在创建新 CloudFront 分配时启用 AWS WAF。

**为新分配启用 AWS WAF**

1. 通过 [https://console.aws.amazon.com/cloudfront/v4/home](https://console.aws.amazon.com/cloudfront/v4/home) 打开 CloudFront 控制台

1. 在导航窗格中，选择**分配**，然后选择**创建分配**。

1. 根据需要，按照[创建分配](distribution-web-creating-console.md)中的步骤进行操作。

1. 在 **Web 应用程序防火墙**部分，选择**编辑**，然后选择**启用安全保护**。

1. 填写以下字段：
   + **使用监控模式** – 如果要先收集数据以测试保护的工作原理，可以启用监控模式。启用监控模式后，如果保护处于活动状态，则不会阻止请求。相反，监控模式会收集有关在保护处于活动状态时将被阻止的请求的数据。当您准备好开始阻止时，可以在**安全**页面上启用阻止功能。
   + **其他保护** – 选择要启用的任何选项。如果您启用了速率限制，请参阅 [设置速率限制](WAF-one-click-rate-limiting.md)以了解更多信息。
   + **价格估算** – 您可以打开该部分以显示一个字段，在该字段中输入不同的请求数/月份，并查看新的估算值。

1. 查看其余分配设置，然后选择**创建分配**。

当您创建分配时，CloudFront 会创建一个**安全**控制面板。您可以使用此控制面板禁用或启用 AWS WAF。如果您尚未启用 AWS WAF，控制面板中的图表和图形将保持空白。

## 使用现有 Web ACL
<a name="acl-new-configuration"></a>

如果您已有 Web ACL，则可以使用它来代替 AWS WAF 提供的保护功能。

**使用现有 AWS WAF 配置**

1. 通过 [https://console.aws.amazon.com/cloudfront/v4/home](https://console.aws.amazon.com/cloudfront/v4/home) 打开 CloudFront 控制台

1. 请执行以下操作之一：

   1. 选择**创建分配**并按照[创建分配](distribution-web-creating-console.md)中的步骤操作，然后返回本主题。

   1. 选择现有配置，然后选择**安全**选项卡。

1. 在 **Web 应用程序防火墙（WAF）**部分，选择**编辑**，然后选择**启用安全保护**。

1. 选择**使用现有 WAF 配置**。此选项仅在配置了 Web ACL 时才会出现。

1. 从**选择 Web ACL** 表中选择现有的 Web ACL。

1. 查看其余分配设置，然后选择**创建分配**。

## 启用机器人控制功能
<a name="bot-traffic"></a>

如果您为 CloudFront 分配启用 AWS WAF，则可以在 CloudFront 控制台的安全控制面板下，查看给定时间范围内的机器人请求。您也可在此处启用或禁用机器人控制功能。

启用机器人控制功能后会产生费用。安全控制面板提供了成本估算。

如果您启用机器人控制功能，则安全控制面板会按每种机器人类型和类别显示机器人的流量。如果您禁用机器人控制功能，则会根据请求采样显示机器人的流量。

**启用机器人控制功能**

1. 通过 [https://console.aws.amazon.com/cloudfront/v4/home](https://console.aws.amazon.com/cloudfront/v4/home) 打开 CloudFront 控制台

1. 在导航窗格中，选择**分配**，然后选择要更改的分配。

1. 选择**安全性**选项卡。

1. 向下滚动到**给定时间范围内的机器人请求**部分，然后选择**启用机器人控制功能**。

1. 在**机器人控制功能**对话框的**配置**下，选中**为普通机器人启用机器人控制功能**复选框。

1. 选择**保存更改**。

## 按机器人类别配置保护功能
<a name="configure-bot-category-protection"></a>

启用机器人控制功能后，您可以配置如何按机器人类别处理每个未经验证的机器人。例如，您可以将 HTTP 库机器人设置为**监控模式**，并将**质询**分配给链接检查工具。

**注意**  
AWS 已知的常见且可验证的机器人（如已知的搜索引擎爬网程序）不受您在此设置的操作的限制。机器人控制功能会确认经过验证的机器人来自他们声称的来源，然后再将其标记为已验证。

**为类别配置保护功能**

1. 通过 [https://console.aws.amazon.com/cloudfront/v4/home](https://console.aws.amazon.com/cloudfront/v4/home) 打开 CloudFront 控制台

1. 在导航窗格中，选择**分配**，然后选择要更改的分配。

1. 选择**安全性**选项卡。

1. 在**按机器人类别划分的请求**图表中，指向**未经验证的机器人操作**列中的任何项目，然后选择铅笔图标来对它进行编辑。

1. 打开结果列表并选择下列选项之一：
   + **阻止**
   + **允许**
   + **监控模式**
   + **验证码**
   + **质询**

1. 选中列表旁边的复选标记来保存您的更改。