本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 在 CloudFront 安全儀表板中管理 AWS WAF 安全性保護
<a name="security-dashboard"></a>

CloudFront 會為您的每個分佈建立安全性儀表板。使用 CloudFront 主控台中的儀表板。儀表板可讓您在單一位置使用 CloudFront 以及 AWS WAF 來監控和管理 Web 應用程式的常見安全性保護。儀表板提供下列任務和資料：
+ **安全性組態**：您可以啟用和停用 AWS WAF 保護，並查看任何應用程式特有的保護，例如 WordPress 保護。
+ **安全性趨勢**：包括允許和封鎖的請求、挑戰和 CAPTCHA 請求，以及主要攻擊類型。您可以查看流量比例以及它們隨時間變化的情況。例如，如果所有請求提升 3％，但允許的請求增加了 14％，這代表您在目前期間允許更大部分流量通過。
+ **機器人請求**：您可以查看有多少流量來自機器人、有哪些類型的機器人 (已驗證與未驗證)，以及機器人類型的百分比分配 (已驗證與未驗證) 如何隨時間變化。如需有關啟用機器人控制功能的詳細資訊，請參閱 [啟用機器人控制功能](WAF-one-click.md#bot-traffic)。
+ **請求日誌**：日誌資料可有助於回答有關安全性趨勢或機器人請求的問題。您可以在不撰寫查詢的情況下搜尋日誌，並檢視彙整圖表，以協助判斷篩選的日誌集是否主要由 HTTP 方法、IP 位址、URI 路徑或國家/地區的子集來驅動。您可以將滑鼠游標暫留在圖表中的值上，並封鎖 IP 位址和國家/地區。如需更多詳細資訊，請參閱 [啟用 AWS WAF 日誌](#understand-logging)。
+ **地理限制管理****：CloudFront 和 AWS WAF 提供地理限制功能。CloudFront 免費提供地理限制，但安全性儀表板中不會顯示 CloudFront 地理限制的指標。若要查看封鎖國家/地區的請求指標，您必須使用 AWS WAF 地理限制。若要這樣做，請將滑鼠游標停留在安全性儀表板的國家/地區列，然後封鎖國家/地區。如需更多詳細資訊，請參閱 [使用 CloudFront 地理限制](georestrictions.md#georestrictions-cloudfront)。
  + 如果您之前在 CloudFront 主控台以外建立自訂 AWS WAF 規則來封鎖國家/地區，則可能無法使用**封鎖**選項。

**Topics**
+ [必要條件](#prerequisites)
+ [啟用 AWS WAF 日誌](#understand-logging)

## 必要條件
<a name="prerequisites"></a>

如果您想要在 CloudFront **安全性**儀表板中檢視安全指標，則必須啟用 AWS WAF。若您未啟用 AWS WAF，就只能使用**安全性**儀表板來啟用 AWS WAF 或設定 CloudFront 地理限制。

 如需啟用 AWS WAF 的詳細資訊，請參閱[為分佈啟用 AWS WAF](WAF-one-click.md)。

## 啟用 AWS WAF 日誌
<a name="understand-logging"></a>

AWS WAF 日誌資料可協助您隔離特定的流量模式。例如，日誌可以顯示特定流量來自何處或其作用。

如果您啟用 CloudWatch 的 AWS WAF 記錄，則 CloudFront 安全性儀表板會查詢、彙總和顯示來自 CloudWatch 日誌的深入解析。我們不會針對安全性儀表板的使用收取費用，但 CloudWatch 定價適用於透過儀表板查詢的日誌。如需詳細資訊，請參閱 [Amazon CloudWatch 定價](https://aws.amazon.com/cloudwatch/pricing/)。

**啟用日誌**

1. 在**每月請求數**方塊中輸入預期的請求數量，以預估啟用日誌的成本。

1. 選取**啟用 AWS WAF 日誌**核取方塊。

1. 選擇**啟用**。

CloudFront 會建立 CloudWatch 日誌群組，並更新您的 AWS WAF 組態，以便開始記錄到 CloudWatch。首次使用時，日誌資料可能需要幾分鐘才會出現。圖表的**請求**區段會列出每個請求。在個別請求下方，長條圖會依據 HTTP 方法、熱門 URI 路徑、熱門 IP 位址和熱門國家/地區彙總資料。圖表可以幫助您找出模式。例如，您可能會看到來自單一 IP 位址的請求數量不成比例，或是您先前在日誌中未看到的國家/地區的資料。您可以依據**國家/地區**、**主機標頭**和其他屬性篩選請求，以協助尋找不想要的流量。找出該流量後，請將滑鼠游標暫留在個別請求或圖表項目上，並封鎖 IP 位址或國家/地區。

**注意**  
顯示的指標是以 Web ACL 為基礎。因此如果您將相同的 Web ACL 與多個分佈建立關聯，就會看到 Web ACL 的所有指標，而不只是針對該分佈處理的 AWS WAF 請求。