如何使用 CloudFront 和 AWS WAF 保护我的 Web 应用程序免受网络威胁？

简短描述

常见的应用层攻击包括 SQL 注入或跨站脚本攻击 (XSS)。为了保护您的 Web 应用程序免受这些攻击，请使用 AWS WAF 配置 CloudFront 以检查边缘站点的 HTTP/HTTPS 请求。然后，他们可以在恶意流量到达您的原始服务器之前将其阻止。有关详细信息，请参阅使用 AWS WAF 保护 CloudFront 分配的常见用例。

解决方法

先决条件：

• 一种应用程序负载均衡器，用于将流量路由到您的 Amazon Elastic Compute Cloud (Amazon EC2) 实例或任何其他 AWS 区域端点。
• 您的应用程序内容已部署并正在运行。
• 您拥有配置 CloudFront 和 AWS WAF 所需的权限。

设置 CloudFront

要将 CloudFront 设置为安全护盾，请完成以下步骤：

1. 打开 CloudFront 控制台。
2. 创建分配。
3. 在 Origin domain（源域）字段中，输入您的网站地址。
4. 在 Viewer Protocol Policy（查看器协议策略）下，选择 Redirect HTTP to HTTPS（将 HTTP 重定向到 HTTPS）。
5. 选择 Create distribution（创建分配）。

注意： 当您在边缘站点缓存静态和动态内容时，可以减少到达源的请求数量。此操作可降低成本并提升性能。

设置 AWS WAF

要将 AWS WAF 设置为安全护盾，请完成以下步骤：

1. 打开 AWS WAF 控制台。
2. 创建 Web ACL（Web 访问列表）。
3. 选择您的 AWS Region（AWS 区域）。
4. 为其命名。例如，"MyWebsiteProtection"。
5. 选择 Add rules（添加规则），然后选择 Add rate-based rule（添加基于速率的规则）。
   输入以下速率限制规则：
   将其设置为阻止发送过多请求的 IP 地址。例如，每 5 分钟 2,000 个请求。
6. 选择 Add rules（添加规则），然后选择 Add managed rules（添加托管规则）。
   添加 AWS 托管规则核心规则集 (CRS)。CRS 包括防御常见攻击，例如 SQL 注入和 XSS。
   注意： 边缘站点强制执行 AWS WAF 规则，并在靠近源的地方阻止恶意流量。
7. 选择 Next（下一步），然后选择 Create web ACL（创建 Web ACL）。

**注意：**现在，您可以使用更新的体验在控制台中的任何位置访问 AWS WAF 功能。有关详细信息，请参阅使用更新的控制台体验开始使用 AWS WAF。

将 AWS WAF 连接到 CloudFront

为确保 AWS WAF 和 CloudFront 协同工作，请完成以下步骤：

1. 打开 AWS WAF 控制台。
2. 选择您的 Web ACL。
3. 选择 Associated AWS resources（关联的 AWS 资源）。
4. 选择 Add AWS resources（添加 AWS 资源）。
5. 选择您的 CloudFront 分配。
6. 选择 Add（添加）。有关详细信息，请参阅将 AWS WAF 与 Amazon CloudFront 配合使用。

设置监控

注意： 如果您激活日志记录，则会产生额外费用。CloudWatch 提供免费套餐，但当您超过免费套餐限额时，将会产生费用。有关当前定价，请参阅 Amazon CloudWatch 定价。

要在 CloudFront 中设置监控，请完成以下步骤：

1. 打开 CloudFront 控制台。
2. 选择您的分配。
3. 转到 Logs（日志）。
4. 开启标准日志记录。

要在 AWS WAF 中设置监控，请完成以下步骤：

1. 打开 AWS WAF 控制台。
2. 打开您的 Web ACL。
3. 选择 Logging and metrics（日志记录和指标）。
4. 开启日志记录。有关详细信息，请参阅 CloudFront 和边缘函数日志记录。

相关信息

使用 Shield Advanced 自动缓解应用层 DDoS

Accelerate and protect your websites using Amazon CloudFront and AWS WAF（使用 Amazon CloudFront 和 AWS WAF 加速和保护您的网站）