本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
步骤 4:创建并应用 Amazon Firewall ManagerAmazon WAF 经典策略
注意
这是 Amazon WAF Classic 文档。只有在 2019 年 11 月 Amazon WAF 之前创建了 Amazon WAF 资源(如规则和 Web ACL),并且尚未将其迁移到最新版本时,才应使用此版本。要迁移您的资源,请参阅将您的 Amazon WAF 经典资源迁移到 Amazon WAF。
有关的最新版本 Amazon WAF,请参阅Amazon WAF。
创建规则组后,即可创建 Amazon Firewall Manager Amazon WAF 策略。Firewall Manager Amazon WAF 策略包含要应用于资源的规则组。
创建 Firewall Manager Amazon WAF 策略(控制台)
-
在您创建规则组(上一个过程步骤 3:创建规则组中的最后一步)后,控制台会显示 规则组摘要 页面。选择下一步。
-
对于 名称,输入一个易于理解的名称。
-
对于 策略类型,选择 WAF。
-
对于区域,选择一个 Amazon Web Services 区域。要保护 Amazon CloudFront 资源,请选择 “全球”。
要保护多个区域中的资源( CloudFront 资源除外),必须为每个区域创建单独的 Firewall Manager 策略。
-
选择要添加的规则组,然后选择 添加规则组。
-
一个策略有两个可能的操作:由规则组设置的操作 和 计数。如果您要测试策略和规则组,请将操作设置为 计数。此操作会覆盖该策略中包含的规则组指定的任何阻止 操作。即,如果将策略的操作设置为 计数,则只会对这些请求进行计数而不会阻止它们。相反,如果将策略的操作设置为 由规则组设置的操作,则会使用该策略中规则组的操作。在本教程中,请选择 计数。
-
选择下一步。
-
如果您希望仅在策略中包含特定账户,或者仅从策略中排除特定账户,请选择 选择要在此策略中包含/排除的账户 (可选)。选择 仅在此策略中包含这些账户 或 仅从此策略中排除这些账户。您只能选择一个选项。选择 添加。选择要包含或排除的账号,然后选择 确定。
注意
如果您不选择此选项,Firewall Manager 在 Amazon Organizations中将策略应用于您组织中的所有账户。如果您将新账户添加到组织,Firewall Manager 会将该策略自动应用于该账户。
-
选择要保护的资源的类型。
-
如果您只想保护带特定标签的资源,或者排除带特定标签的资源,请选择 使用标签来包含/排除资源,输入标签,然后选择 包含 或 排除。您只能选择一个选项。
如果您输入了多个标签 (以逗号分隔),并且某个资源带有任一这些标签,则会将该资源视为匹配项。
有关标签的更多信息,请参阅使用标签编辑器。
-
选择 创建此策略并将其应用于现有资源和新资源。
此选项在组织中的每个适用账户中创建一个 Web ACL Amazon Organizations,并将该 Web ACL 与账户中的指定资源相关联。此选项还将策略应用于符合上述条件 (资源类型和标签) 的所有新资源。或者,如果您选择创建策略但不将策略应用于现有资源或新资源,则 Firewall Manager 会在组织内的每个适用账户中创建一个 Web ACL,但不会将 Web ACL 应用于任何资源。您稍后必须将策略应用于资源。
-
在默认设置中保留对 替换现有关联 Web ACL 的选择。
选择此选项后,Firewall Manager 会从范围内资源中删除所有现有 Web ACL 关联,然后再将新策略的 Web ACL 与资源关联。
-
选择下一步。
-
查看新策略。要进行任何更改,请选择 编辑。若您满意所创建的策略,请选择 创建策略。