如何使用CloudFront/WAF保护Classic Load Balancer？

【以下的回答经过翻译处理】 在使用CloudFront/WAF保护CLB源时，将限制客户端与CloudFront以及Cloudfront与经典负载均衡器CLB之间的通信仅限于 HTTP 和 HTTPS。您可以选择指定自定义 HTTP/HTTPS 端口，用于分发版和 CLB 源之间的通信 [1] [2]。

在为CloudFront启用WAF时，您可能会发现仍然需要一些应用程序验证，以确保您制定的任何规则不会意外阻止有效请求。 您实施的规则，无论是自定义规则组还是 AWS 托管规则规则组，都将取决于您的应用程序需求，但无论哪种情况，从最佳实践角度，我们建议遵循我们的 Web ACL 测试指南 [4]，以确保您实施的 WebACL 满足您的需求 。 我们建议将 Web ACL 中的规则设置为Count，并将 Web ACL 的默认操作设置为允许请求。 此外，为 Web ACL 启用日志记录 [5] 可以提供有关 Web ACL 分析的流量的更多详细信息，这可以帮助您决定如何需要针对特定应用程序修改规则。

[1] 您在创建或更新分配时指定的值 - Origin源协议策略 - https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/distribution-web-values-specify.html?icmpid=docs_cf_help_panel #DownloadDistValuesOriginProtocolPolicy

[2] 创建或更新分配时指定的值 - Viewer查看器协议策略 - https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/distribution-web-values-specify.html?icmpid=docs_cf_help_panel #DownloadDistValuesViewerProtocolPolicy

[3] AWS WAF 如何与 Amazon CloudFront 功能配合使用 - 将 AWS WAF 与 CloudFront 结合用于在您自己的 HTTP 服务器上运行的应用程序 - https://docs.aws.amazon.com/waf/latest/developerguide/cloudfront-features.html# cloudfront-features-your-own-http-server

[4] 测试 Web ACL - https://docs.aws.amazon.com/waf/latest/developerguide/web-acl-testing.html

[5] 记录和监控 Web ACL 流量 - https://docs.aws.amazon.com/waf/latest/developerguide/logging.html