推出 的新主控台體驗 AWS WAF
您現在可以使用更新後的體驗,在主控台的任何位置存取 AWS WAF 功能。如需詳細資訊,請參閱使用 主控台。
本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
AWS WAF 搭配 Amazon CloudFront 使用
了解如何 AWS WAF 搭配 Amazon CloudFront 功能使用 。
當您建立保護套件 (Web ACL) 時,您可以指定要檢查的 AWS WAF 一或多個 CloudFront 分佈。CloudFront 支援兩種分佈類型:保護個別租用戶的標準分佈,以及透過單一共用組態範本保護多個租用戶的多租用戶分佈。 會根據您在保護套件 (Web ACLs) 中定義的規則,針對每種類型使用不同的實作模式來 AWS WAF 檢查兩種分佈類型的 Web 請求。
主題
AWS WAF 如何使用不同的分佈類型
分佈類型
AWS WAF 為標準和多租戶分佈 CloudFront 分佈提供 Web 應用程式防火牆功能。
標準分佈
對於標準分佈, AWS WAF 會為每個分佈新增使用單一保護套件 (Web ACL) 的保護。您可以將現有的保護套件 (Web ACL) 與 CloudFront 分佈建立關聯,或在 CloudFront 主控台中使用一鍵式保護來啟用此保護。這可讓您獨立管理每個分發的安全控制,因為保護套件 (Web ACL) 的任何變更只會影響與其相關聯的分發。
這種保護 CloudFront 分佈的直接方法最適合為個別網域提供單一保護套件 (Web ACL) 的特定保護。
標準分佈考量
-
保護套件 (Web ACL) 的變更只會影響其關聯的分佈
-
每個分佈都需要獨立的保護套件 (Web ACL) 組態
-
規則和規則群組會針對每個分佈分別管理
多租戶分佈
對於多租戶分佈, 使用單一保護套件 (Web ACL) 在多個網域中 AWS WAF 新增保護。由多租用戶分佈管理的網域稱為分佈租用戶。您只能在多租用戶分佈建立程序期間或之後,在 CloudFront 主控台中啟用多租用戶分佈的 AWS WAF 保護。不過,保護套件 (Web ACL) 的變更仍會透過 AWS WAF 主控台或 API 進行管理。
多租戶分佈提供在兩個層級啟用 AWS WAF 保護的彈性:
-
多租戶分佈層級 – 關聯的保護套件 (Web ACLs) 提供基準安全控制,適用於共用該分佈的所有應用程式
-
分佈租用戶層級 – 多租用戶分佈中的個別租用戶可以擁有自己的保護套件 (Web ACLs),以實作額外的安全控制或覆寫多租用戶分佈設定
這兩個層使多租戶分佈最適合跨多個網域共用 AWS WAF 保護,而不會失去為個別分佈自訂安全性的能力。
多租戶分佈考量事項
-
個別分佈租用戶會繼承對與相關多租用戶分佈相關聯的保護套件 (Web ACLs) 所做的變更
-
與特定分佈租用戶相關聯的保護套件 (Web ACLs) 可以覆寫在多租用戶保護套件 (Web ACL) 層級設定的設定
-
受管規則群組可以在分佈和分佈租用戶層級實作
-
應用程式識別符可以位於日誌中,以依分佈追蹤安全事件
AWS WAF 依分佈類型的 功能
| AWS WAF 功能 | 標準分佈 | 多租戶分佈 |
|---|---|---|
| 關聯保護套件 (Web ACLs) | 每個分佈一個保護套件 (Web ACL) | 您可以使用選用的租用戶特定保護套件 (Web ACLs),跨租用戶共用保護套件 (Web ACLs) |
| 規則管理 | 規則會影響單一分佈 | 多租用戶分佈規則會影響所有相關租用戶;分佈租用戶特定規則只會影響該租用戶 |
| 受管規則群組 | 套用至個別分佈 | 可套用至所有租用戶的多租用戶分佈層級,或套用至特定應用程式的租用戶層級 |
| 記錄 | 標準 AWS WAF 日誌 | 日誌包含安全事件屬性的租戶識別符 |
使用 AWS WAF 搭配 CloudFront 固定費率定價計劃
CloudFront 固定費率定價計劃將 Amazon CloudFront 全球內容交付網路 (CDN) 與多個 AWS 服務 和 功能結合為每月價格,而不會產生超額費用,無論流量峰值或攻擊。
固定費率定價計劃包含以下 AWS 服務 和 功能,每月價格簡單:
-
CloudFront CDN
-
AWS WAF 和 DDoS 保護
-
機器人管理和分析
-
Amazon Route 53 DNS
-
Amazon CloudWatch Logs 擷取
-
TLS 憑證
-
無伺服器邊緣運算
-
每月 Amazon S3 儲存點數
計劃提供免費、專業、商業和高級方案,以符合應用程式的需求。計劃不需要年度承諾,即可獲得最佳的可用費率。從 免費計劃開始並升級,以存取更多功能和更大的用量限額。
如需詳細資訊和完整的計劃和功能清單,請參閱《Amazon CloudFront 開發人員指南》中的 CloudFront 固定費率定價計劃。 Amazon CloudFront
重要
使用任何定價計劃時,有效的 AWS WAF 保護套件 (Web ACL) 必須與您的 CloudFront 分佈保持關聯。除非您切換回pay-as-you-go定價,否則無法移除保護套件 (Web ACL) 關聯。
雖然 AWS WAF Web ACL 必須保持與分佈的關聯,但您可以完全控制安全組態。您可以透過調整 Web ACL 中啟用或停用哪些規則來自訂保護,並修改規則設定以符合您的安全需求。如需管理 Web ACL 規則的資訊,請參閱AWS WAF 規則。
使用 CloudFront 的 AI 流量獲利
AI 流量獲利僅適用於與 Amazon CloudFront 分佈相關聯的 AWS WAF Web ACL 資源。付款驗證和和解發生在 CloudFront 節點,將全球客服人員的延遲降至最低。
搭配 CloudFront Functions 和 Lambda@Edge 使用 AI 流量獲利時的考量
當您使用 CloudFront Functions 或 Lambda@Edge 搭配具有貨幣化規則的分佈時 AWS WAF,請注意下列 AWS WAF針對產生回應的行為。
AWS WAF產生的回應 (402 付款必要挑戰)
檢視器回應函數 (CloudFront Functions 和 Lambda@Edge) 不會執行 AWS WAF產生的 402 回應。您無法使用這些函數來自訂付款必要挑戰。您也無法新增標頭或修改標頭。如果您需要將自訂標頭新增至 402 個回應 (例如 CORS 或分析標頭),請改用回應標頭政策。回應標頭政策適用於 AWS WAF產生的回應。
如需 CloudFront Functions 和回應標頭政策的詳細資訊,請參閱下列內容:
付費回應 (和解後 200 個)
成功處理付款後,原始伺服器回應會通過一般 CloudFront 回應管道,包括檢視器-回應函數。瀏覽者-回應函數可以修改客服人員在付款後收到的回應。例如,它可以變更狀態碼或移除標頭。
使用 CloudFront 的 AI 流量獲利
AI 流量獲利僅適用於與 Amazon CloudFront 分佈相關聯的 Web ACLs。付款驗證和存取權杖發行發生在 CloudFront 節點,將全球客服人員的延遲降至最低。
為什麼僅 CloudFront
獲利需要:
邊緣原生付款驗證 – 在邊緣驗證付款證明,無需往返原始伺服器。
全域權杖發行 – 範圍存取權杖會在邊緣發行,並由提供相同分佈的所有節點接受。
價格資訊清單產生 – 具有定價詳細資訊的 402 回應會在邊緣產生,使流程低於machine-to-machine付款通訊協定的延遲目標。
區域 Web ACLs (Application Load Balancer、、、Cognito、App Runner、Verified Access) 不支援 Monetize 動作。如果在區域 Web ACL 上設定獲利規則,則會略過規則,且請求會繼續下一個規則。
具有獲利內容的快取行為
獲利資源需要特殊快取組態,以防止某個客服人員的付費存取將快取內容提供給另一個客服人員。
獲利路徑的建議快取設定:
| 設定 | Value | Reason |
|---|---|---|
| 快取政策 | CachingDisabled 或自訂 | 防止跨代理程式快取共用 |
| 原始伺服器請求政策 | 包含 X-Agent-Id和 X-Access-Token標頭 | 允許原始伺服器驗證代理程式特定的字符 |
| TTL | 0 (或簡短,每個內容的新鮮度需求) | 確保每個客服人員請求都由 評估 AWS WAF |
如果您需要快取以取得效能,請設定每個代理程式快取金鑰:
使用自訂快取政策將
X-Agent-Id新增至快取金鑰。這可確保每個客服人員在付款後收到自己的快取副本,而不會將付費內容提供給其他客服人員。
重要
如果您在沒有每個代理程式快取金鑰的情況下啟用快取,則付費回應可能會從快取提供給後續代理程式,而無需付款驗證。一律在獲利路徑的快取金鑰中包含代理程式身分。
延遲特性
| 階段 | 典型延遲 | 備註 |
|---|---|---|
| 分類 + 402 產生 | <10 毫秒 | 在邊緣內嵌執行 |
| 付款驗證 | <30 毫秒 | 驗證是密碼編譯,沒有外部呼叫 |
| 字符發行 + 原始伺服器擷取 | 標準 CloudFront 延遲 | 與一般請求相同 |
| 額外開銷總計 | <50 毫秒 | 高於標準請求延遲 |
CloudFront 分佈組態
不需要變更 CloudFront 分佈設定即可啟用獲利。此功能完全透過 AWS WAF Web ACL 和保護套件組態控制。
請確定下列事項:
Web ACL 關聯 – 您的分發必須具有與機器人控制和獲利規則相關聯的 AWS WAF Web ACL。
原始伺服器回應標頭 – 如果您的原始伺服器設定
Cache-Control標頭,請確認它們不會與獲利路徑的每個代理程式快取策略衝突。自訂錯誤頁面 – 4xx 回應的 CloudFront 自訂錯誤頁面不適用於 AWS WAF產生的 402 回應。價格資訊清單由 直接提供 AWS WAF。