# 在 CloudFront 安全控制面板中管理 AWS WAF 安全保护功能
<a name="security-dashboard"></a>

CloudFront 会为您的每个分配创建一个安全控制面板。使用 CloudFront 控制台中的控制面板。借助控制面板，您可以在单一位置结合使用 CloudFront 和 AWS WAF，来监控和管理对 Web 应用程序的一般安全保护。控制面板提供以下任务和数据：
+ **安全配置** – 您可以启用和禁用 AWS WAF 保护功能，并查看任何特定于应用程序的保护功能，例如 WordPress 保护。
+ **安全趋势** – 其中包括允许和阻止的请求、质询和验证码请求以及主要攻击类型。您可以看到流量比率以及它们随时间推移的变化。例如，如果所有请求都增加了 3%，但允许的请求增加了 14%，则意味着您在当前时段允许了更大一部分流量通过。
+ **机器人请求** – 您可以查看有多少流量来自机器人、有哪些类型的机器人（已验证与未验证），以及机器人类型（已验证与未验证）的百分比分配如何随时间变化。有关启用机器人控制功能的更多信息，请参阅[启用机器人控制功能](WAF-one-click.md#bot-traffic)。
+ **请求日志** – 日志数据可以帮助解答有关安全趋势或机器人请求的问题。您无需编写查询即可搜索日志，还可以查看汇总图表，以帮助确定筛选后的日志集是否主要由 HTTP 方法、IP 地址、URI 路径或国家/地区的子集驱动。您可以将鼠标悬停在图表中的值上，并阻止 IP 地址和国家/地区。有关更多信息，请参阅 [启用 AWS WAF 日志](#understand-logging)。
+ **地理限制管理**** – CloudFront 和 AWS WAF 提供地理限制功能。CloudFront 免费提供地理限制功能，但安全控制面板中不会显示 CloudFront 地理限制功能的指标。要查看被屏蔽的国家/地区请求的请求指标，您必须使用 AWS WAF 地理限制功能。为此，请将鼠标悬停在安全控制面板中的国家/地区栏上，然后屏蔽该国家/地区。有关更多信息，请参阅 [使用 CloudFront 地理限制](georestrictions.md#georestrictions-cloudfront)。
  + 如果您之前在 CloudFront 控制台之外创建了用于阻止国家/地区的自定义 AWS WAF 规则，则**阻止**选项可能不可用。

**Topics**
+ [先决条件](#prerequisites)
+ [启用 AWS WAF 日志](#understand-logging)

## 先决条件
<a name="prerequisites"></a>

如果要在 CloudFront **安全**控制面板中查看安全指标，则必须启用 AWS WAF。如果未启用 AWS WAF，则只能使用**安全**控制面板来启用 AWS WAF 或配置 CloudFront 地理限制。

 有关启用 AWS WAF 的更多信息，请参阅 [为分配启用 AWS WAF](WAF-one-click.md)。

## 启用 AWS WAF 日志
<a name="understand-logging"></a>

AWS WAF 日志数据可以帮助您隔离特定的流量模式。例如，日志可以向您显示某些流量的来源或用途。

如果您启用对 CloudWatch 的 AWS WAF 日志记录，则 CloudFront 安全控制面板会查询、汇总和显示来自 CloudWatch 日志的见解。我们不收取安全控制面板的使用费用，但是 CloudWatch 定价适用于通过控制面板查询的日志。有关更多信息，请参阅 [Amazon CloudWatch 定价](https://aws.amazon.com/cloudwatch/pricing/)。

**启用日志**

1. 在**请求数/月**框中输入您的预期请求量，以估算启用日志的成本。

1. 选中**启用 AWS WAF 日志**复选框。

1. 请选择 **启用**。

CloudFront 会创建一个 CloudWatch 日志组并更新您的 AWS WAF 配置以开始将日志记录到 CloudWatch。首次使用时，日志数据可能需要几分钟才能显示。图表的**请求**部分列出了每个请求。在单个请求下方，条形图按 HTTP 方法、主要 URI 路径、主要 IP 地址和主要国家/地区汇总数据。图表可以帮助您找到模式。例如，您可能会看到来自单个 IP 地址的请求量不成比例，或者看到来自您以前在日志中未见过的国家/地区的数据。您可以根据**国家/地区**、**主机标头**和其他属性筛选请求，以帮助查找不需要的流量。识别出那些流量后，将鼠标指针悬停在单个请求或图表项上，然后阻止某个 IP 地址或国家/地区。

**注意**  
显示的指标基于 Web ACL。因此，如果您将同一个 Web ACL 关联到多个分配，您将看到 Web ACL 的所有指标，而不仅仅是针对该分配处理的 AWS WAF 请求。