步骤 4:创建并应用 Amazon Firewall ManagerAmazon WAF Classic 策略 - Amazon WAFAmazon Firewall Manager、和 Amazon Shield Advanced
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

步骤 4:创建并应用 Amazon Firewall ManagerAmazon WAF Classic 策略

注意

这是 Amazon WAF Classic 文档。仅当 2019 年 11 月之前在 Amazon WAF 中创建了 Amazon WAF 资源(例如规则和 Web ACL),但尚未将这些资源迁移到最新版本时,才应使用此版本。要迁移您的资源,请参阅将您的 Amazon WAF 经典资源迁移到 Amazon WAF

有关 Amazon WAF 的最新版本,请参阅 Amazon WAF

在创建规则组后,您将创建 Amazon Firewall Manager Amazon WAF 策略。Firewall Manager Amazon WAF 策略包含您要应用于资源的规则组。

创建 Firewall Manager Amazon WAF 策略(控制台)
  1. 在您创建规则组(上一个过程步骤 3:创建规则组中的最后一步)后,控制台会显示 Rule group summary (规则组摘要) 页面。请选择 Next(下一步)

  2. 对于 Name (名称),输入一个易于理解的名称。

  3. 对于 Policy type (策略类型),选择 WAF

  4. 对于区域,选择一个 Amazon Web Services 区域。要保护 Amazon CloudFront 资源,请选择 “全球”。

    要保护多个区域中的资源( CloudFront 资源除外),必须为每个区域创建单独的 Firewall Manager 策略。

  5. 选择要添加的规则组,然后选择 Add rule group (添加规则组)。

  6. 一个策略有两个可能的操作:Action set by rule group (由规则组设置的操作) 和 Count (计数)。如果您要测试策略和规则组,请将操作设置为 Count (计数)。此操作会覆盖该策略中包含的规则组指定的任何阻止 操作。即,如果将策略的操作设置为 Count (计数),则只会对这些请求进行计数而不会阻止它们。相反,如果将策略的操作设置为 Action set by rule group (由规则组设置的操作),则会使用该策略中规则组的操作。在本教程中,请选择 Count (计数)。

  7. 请选择 Next(下一步)

  8. 如果您希望仅在策略中包含特定账户,或者仅从策略中排除特定账户,请选择 Select accounts to include/exclude from this policy (optional) (选择要在此策略中包含/排除的账户 (可选))。选择 Include only these accounts in this policy (仅在此策略中包含这些账户)Exclude these accounts from this policy (仅从此策略中排除这些账户)。您只能选择一个选项。选择添加。选择要包含或排除的账号,然后选择 OK (确定)

    注意

    如果您不选择此选项,Firewall Manager 在 Amazon Organizations 中将策略应用于您组织中的所有账户。如果您将新账户添加到组织,Firewall Manager 会将该策略自动应用于该账户。

  9. 选择要保护的资源的类型。

  10. 如果您只想保护带特定标签的资源,或者排除带特定标签的资源,请选择 Use tags to include/exclude resources (使用标签来包含/排除资源),输入标签,然后选择 Include (包含)Exclude (排除)。您只能选择一个选项。

    如果您输入了多个标签 (以逗号分隔),并且某个资源带有任一这些标签,则会将该资源视为匹配项。

    有关标签的更多信息,请参阅使用标签编辑器

  11. 选择 Create and apply this policy to existing and new resources (创建此策略并将其应用于现有资源和新资源)。

    此选项在 Amazon Organizations 中为组织内的每个适用账户创建一个 Web ACL,并将 Web ACL 与账户中的指定资源关联。此选项还将策略应用于符合上述条件 (资源类型和标签) 的所有新资源。或者,如果您选择创建策略但不将策略应用于现有资源或新资源,则 Firewall Manager 会在组织内的每个适用账户中创建一个 Web ACL,但不会将 Web ACL 应用于任何资源。您稍后必须将策略应用于资源。

  12. 在默认设置中保留对 Replace existing associated web ACLs (替换现有关联 Web ACL) 的选择。

    选择此选项后,Firewall Manager 会从范围内资源中删除所有现有 Web ACL 关联,然后再将新策略的 Web ACL 与资源关联。

  13. 请选择 Next(下一步)

  14. 查看新策略。要进行任何更改,请选择 Edit (编辑)。若您满意所创建的策略,请选择 Create policy (创建策略)。