**引入全新的主机体验 AWS WAF**

现在，您可以使用更新的体验访问控制台中任意位置的 AWS WAF 功能。有关更多详细信息，请参阅[使用控制台](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html)。

本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 作为来源的应用程序负载均衡器的必需配置 CloudFront
<a name="waf-tokens-with-alb-and-cf"></a>

如果您将保护包 (Web ACL) 关联到应用程序负载均衡器，并将应用程序负载均衡器部署为 CloudFront 分配的来源，请阅读本节。

使用此架构，您需要提供以下额外配置才能正确处理令牌信息。
+ 配置为将 `aws-waf-token` Cookie 转发 CloudFront 到 Application Load Balancer。默认情况下， CloudFront 会先从网络请求中删除 Cookie，然后再将其转发到源。要在网络请求中保留令牌 cookie，请将 CloudFront 缓存行为配置为仅包含令牌 cookie 或所有 Cookie。有关如何执行此操作的信息，请参阅《*亚马逊 CloudFront开发者指南》*中的[基于 Cookie 缓存内容](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/Cookies.html)。
+ 进行配置， AWS WAF 使其将 CloudFront分配的域识别为有效的令牌域。默认情况下， CloudFront 将`Host`标头设置为 Application Load Balan AWS WAF cer 来源，并将其用作受保护资源的域。但是，客户端浏览器将 CloudFront分配视为主机域，而为客户端生成的令牌使用该 CloudFront 域作为令牌域。如果不进行任何其他配置，当根据令牌域 AWS WAF 检查受保护的资源域时，它将出现不匹配的情况。要修复此问题，请将 CloudFront 分发域名添加到保护包 (Web ACL) 配置中的令牌域列表中。有关如何执行此操作的信息，请参阅 [AWS WAF 保护包 (Web ACL) 令牌域列表配置](waf-tokens-domains.md#waf-tokens-domain-lists)。