介绍 Amazon WAF 的全新控制台体验
现在,您可以使用更新后的体验访问控制台中任意位置的 Amazon WAF 功能。有关更多详细信息,请参阅 使用更新的控制台体验。
步骤 4:创建并应用 Amazon Firewall ManagerAmazon WAF Classic 策略
警告
Amazon WAF Classic 正经历计划中的生命周期结束过程。有关您所在区域特定的里程碑和日期,请参阅您的 Amazon Health 控制面板。
注意
这是 Amazon WAF Classic 文档。仅当 2019 年 11 月之前在 Amazon WAF 中创建了 Amazon WAF 资源(例如规则和 Web ACL),但尚未将这些资源迁移到最新版本时,才应使用此版本。要迁移您的 Web ACL,请参阅 将 Amazon WAF Classic 资源迁移到 Amazon WAF。
有关 Amazon WAF 的最新版本,请参阅 Amazon WAF。
在创建规则组后,您将创建 Amazon Firewall Manager Amazon WAF 策略。Firewall Manager Amazon WAF 策略包含您要应用于资源的规则组。
创建 Firewall Manager Amazon WAF 策略(控制台)
-
在您创建规则组(上一个过程步骤 3:创建规则组中的最后一步)后,控制台会显示 规则组摘要 页面。选择下一步。
-
对于名称,输入易于理解的名称。
-
对于策略类型,选择 WAF。
-
对于区域,选择 Amazon Web Services 区域。要保护 Amazon CloudFront 资源,请选择全局。
为了保护多个区域中的资源(而不是 CloudFront 资源),您必须为每个区域创建单独的 Firewall Manager 策略。
-
选择要添加的规则组,然后选择 添加规则组。
-
一个策略有两个可能的操作:由规则组设置的操作和计数。如果您要测试策略和规则组,请将操作设置为计数。此操作会覆盖该策略中包含的规则组指定的任何阻止操作。即,如果将策略的操作设置为计数,则只会对这些请求进行计数而不会阻止它们。相反,如果将策略的操作设置为由规则组设置的操作,则会使用该策略中规则组的操作。在本教程中,请选择计数。
-
选择下一步。
-
如果您希望仅在策略中包含特定账户,或者仅从策略中排除特定账户,请选择选择要在此策略中包含/排除的账户(可选)。选择仅在此策略中包含这些账户或仅从此策略中排除这些账户。您只能选择一个选项。选择添加。选择要包含或排除的账号,然后选择确定。
注意
如果您不选择此选项,Firewall Manager 在 Amazon Organizations 中将策略应用于您组织中的所有账户。如果您将新账户添加到组织,Firewall Manager 会将该策略自动应用于该账户。
-
选择要保护的资源的类型。
-
如果您只想保护带特定标签的资源,或者排除带特定标签的资源,请选择 使用标签来包含/排除资源,输入标签,然后选择包含或排除。您只能选择一个选项。
如果您输入了多个标签(以逗号分隔),并且某个资源带有任一这些标签,则会将该资源视为匹配项。
有关标签的更多信息,请参阅使用标签编辑器。
-
选择创建此策略并将其应用于现有资源和新资源。
此选项在 Amazon Organizations 中为组织内的每个适用账户创建一个 Web ACL,并将 Web ACL 与账户中的指定资源关联。此选项还将策略应用于符合上述条件(资源类型和标签)的所有新资源。或者,如果您选择创建策略但不将策略应用于现有资源或新资源,则 Firewall Manager 会在组织内的每个适用账户中创建一个 Web ACL,但不会将 Web ACL 应用于任何资源。您稍后必须将策略应用于资源。
-
在默认设置中保留对 替换现有关联 Web ACL 的选择。
选择此选项后,Firewall Manager 会从范围内资源中删除所有现有 Web ACL 关联,然后再将新策略的 Web ACL 与资源关联。
-
选择下一步。
-
查看新策略。要进行任何更改,请选择编辑。若您满意所创建的策略,请选择创建策略。