在 AWS WAF 安全儀表板中管理 CloudFront 安全性保護 - Amazon CloudFront
必要條件啟用 AWS WAF 記錄

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

在 AWS WAF 安全儀表板中管理 CloudFront 安全性保護

CloudFront 為您的每個發行版建立安全性儀表板。您可以在 CloudFront 主控台中使用儀表板。透過儀表板,您可以在單一位置使用 CloudFront 並 AWS WAF 一起使用,以監控和管理 Web 應用程式的常見安全防護。儀表板提供下列任務和資料:

  • 安全配置 — 您可以啟用和禁用 AWS WAF 保護,並查看任何應用程序特定的保護,例如保護。 WordPress

  • 安全趨勢 — 包括允許和阻止的請求,挑戰和 CAPTCHA 請求以及主要攻擊類型。您可以查看流量比例以及它們隨時間變化的情況。例如,如果所有請求提升 3%,但允許的請求增加了 14%,這代表您在目前期間允許更大部分流量通過。

  • 器人請求 — 您可以查看來自漫遊器人的流量,哪些類型的機器人(已驗證與未驗證)以及機器人類型(已驗證與未驗證)的百分比分配如何隨時間變化。如需啟用機器人控制的詳細資訊,請參閱啟用機器人控制

  • 求記錄 — 記錄資料可協助回答有關安全性趨勢或機器人要求的問題。您可以在不撰寫查詢的情況下搜尋日誌,並檢視彙整圖表,以協助判斷篩選的日誌集是否主要由 HTTP 方法、IP 地址、URI 路徑或國家/地區的子集來驅動。您可以將滑鼠游標暫留在圖表中的值上,並封鎖 IP 地址和國家/地區。如需詳細資訊,請參閱 啟用 AWS WAF 記錄

  • 地理限制管理 — CloudFront 並 AWS WAF 提供地理限制功能。 CloudFront 免費提供地理限制,但 CloudFront 地理限制的指標不會顯示在安全性儀表板中。若要查看已封鎖國家/地區要求的要求量度,您必須使用 AWS WAF 地理限制。若要這麼做,請將滑鼠暫留在安全性儀表板中的國家列上,並封鎖該國家/地區。如需詳細資訊,請參閱 使用 CloudFront 地理限制

    • 如果您先前在 CloudFront 主控台外建立自訂 AWS WAF 規則來封鎖國家/地區,則可能無法使用 [封鎖] 選項。

必要條件

AWS WAF 如果您想要在「 CloudFront 安全性」儀表板中檢視安全指標,則必須啟用此功能。如果未啟用 AWS WAF,則只能使用 [安全性] 儀表板來啟用 AWS WAF 或設定 CloudFront 地理限制。

如需啟用的詳細資訊 AWS WAF,請參閱AWS WAF 為分佈啟用

啟用 AWS WAF 記錄

AWS WAF 記錄資料可協助您隔離特定的流量模式。例如,日誌可以顯示特定流量來自何處或其作用。

如果您啟用 AWS WAF 記錄功能 CloudWatch, CloudFront 安全性儀表板會查詢、彙總和顯示記 CloudWatch 錄中的見解。我們不會收取使用安全性儀表板的費用,但 CloudWatch 定價適用於透過儀表板查詢的記錄。如需詳細資訊,請參閱 Amazon CloudWatch 定價

啟用日誌

  1. 每月請求數方塊中輸入預期的請求數量,以預估啟用日誌的成本。

  2. 選取 [啟用 AWS WAF 記錄檔] 核取方塊。

  3. 選擇 啟用

CloudFront 會建立記 CloudWatch 錄群組,並更新您的組 AWS WAF 態以開始記錄 CloudWatch。首次使用時,日誌資料可能需要幾分鐘才會出現。圖表的請求區段會列出每個請求。在個別請求下方,長條圖會依據 HTTP 方法、熱門 URI 路徑、熱門 IP 地址和熱門國家/地區彙總資料。圖表可以幫助您找出模式。例如,您可能會看到來自單一 IP 地址的請求數量不成比例,或是您先前在日誌中未看到的國家/地區的資料。您可以依據國家/地區主機標頭和其他屬性篩選請求,以協助尋找不想要的流量。找出該流量後,請將滑鼠游標暫留在個別請求或圖表項目上,並封鎖 IP 地址或國家/地區。

注意

顯示的量度是以 Web ACL 為基礎。因此,如果您將同一個 Web ACL 與多個發行版產生關聯,您將會看到 Web ACL 的所有量度,而不僅是針對該分發處理的 AWS WAF 請求。