创建 Web ACL - Amazon WAF、Amazon Firewall Manager 和 Amazon Shield Advanced
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

创建 Web ACL

注意

这是Amazon WAFClassic文档中)。仅当 2019 年 11 月之前在 Amazon WAF 中创建了 Amazon WAF 资源(例如规则和 Web ACL),但尚未将这些资源迁移到最新版本时,才应使用此版本。要迁移您的资源,请参阅迁移您的Amazon WAFClassic 资源Amazon WAF

对于最新版本的Amazon WAF请参阅Amazon WAF

创建 Web ACL

  1. 登录到Amazon Web Services Management Console并打开Amazon WAF控制台https://console.aws.amazon.com/wafv2/

  2. 如果这是您首次使用Amazon WAFClassic,选择转到Amazon WAFClassic然后配置 Web ACL。如果您已使用Amazon WAF经典之前,请选择Web ACL,然后选择创建 Web ACL

  3. 适用于Web ACL 名称下,输入一个名称。

    注意

    Web ACL 在创建之后无法更改名称。

  4. 适用于CloudWatch 指标名称下,更改默认名称(如果适用)。该名称只能包含字母数字字符(A-Z、a-z、0-9),最大长度为 128 和最小长度为 1。且不能包含空格或为预留的指标名称。Amazon WAF传统,包括 “All” 和 “Default_Action”。

    注意

    Web ACL 在创建之后无法更改名称。

  5. 对于 Region(区域),选择一个区域。

  6. 对于 Amazon resource (Amazon 资源),选择要与此 Web ACL 关联的资源,然后选择 Next (下一步)

  7. 如果您已经创建了所需的条件Amazon WAF经典用于检查 Web 请求,请选择下一步,然后继续执行下一步。

    如果尚未创建条件,请创建条件。有关更多信息,请参阅以下主题:

  8. 如果您已经创建了规则或规则组(或订阅了Amazon Web Services Marketplace规则组),请将这些规则添加到 Web ACL:

    1. Rules 列表中,选择一个规则。

    2. 选择 Add rule to web ACL

    3. 重复步骤 a 和 b,添加所有要添加到此 Web ACL 的规则。

    4. 前往步骤 10。

  9. 如果尚未创建规则,现在可以添加规则:

    1. 选择 Create rule

    2. 输入以下值:

      名称

      输入名称。

      CloudWatch 指标名称

      输入 CloudWatch 指标的名称Amazon WAFClassic 将创建并与规则关联。该名称只能包含字母数字字符(A-Z、a-z、0-9),最大长度为 128 和最小长度为 1。且不能包含空格或为预留的指标名称。Amazon WAF传统,包括 “All” 和 “Default_Action”。

      注意

      创建规则之后,无法更改指标名称。

    3. 要将条件添加到规则,请指定以下值:

      When a request does/does not

      如果要Amazon WAF典型的方式是基于条件中的筛选条件允许或阻止请求 (例如源自 IP 地址范围 192.0.2.0/24 的 Web 请求),请选择也是如此

      如果要Amazon WAF经典款式允许或阻止请求,基于条件中的筛选条件的反向条件允许或阻止请求,请选择不等于。例如,如果 IP 匹配条件包含 IP 地址范围 192.0.2.0/24 并且需要Amazon WAF经典允许或阻止符合不执行该操作来自这些 IP 地址,请选择不等于

      match/originate from

      选择要添加到规则的条件的类型:

      • 跨站点脚本匹配匹配条件 — 选择match condition condition (在跨站点脚本匹配条件中匹配至少一个筛选条件)

      • IP 匹配条件 — 选择源自 IP 地址

      • 地理匹配条件 — 选择originate from a geographic location in

      • 大小约束条件 — 选择match at least one of the filters in the size constraint condition

      • SQL 注入匹配匹配条件 — 选择match at least one of the filters in the SQL injection match condition

      • 字符串匹配条件 — 选择match at least one of the filters in the string match condition

      • 正则表达式匹配条件 — 选择match at match at filters in filter in filter in filters in filter in filter in filter in match at match at match at match at match at match at

      condition name

      选择要添加到规则的条件。列表仅显示您在前面列表中选择的类型的条件。

    4. 要将另一个条件添加到规则,请选择 Add another condition (添加另一个条件),然后重复步骤 b 和 c。请注意以下几点:

      • 如果您添加多个条件,则 Web 请求必须与每个条件中的至少一个筛选条件匹配。Amazon WAF经典用于允许或阻止基于该规则的请求。

      • 如果将两个 IP 匹配条件添加到同一规则,Amazon WAFClassic 只允许或阻止源自在两个 IP 匹配条件中同时出现的 IP 地址的请求。

    5. 重复步骤 9,创建要添加到此 Web ACL 的所有规则。

    6. 选择 Create (创建)

    7. 继续执行步骤 10。

  10. 对于 Web ACL 中的每个规则或规则组,请选择所需的管理类型Amazon WAF经典提供,如下所示:

    • 对于每个规则,选择是否需要Amazon WAF基于规则中的条件允许、阻止或计数 Web 请求:

      • Allow— API Gateway、CloudFront 或应 Application Load Balancer 使用请求的对象进行响应。对于 CloudFront,如果对象不在边缘缓存中,则 CloudFront 将请求转发到源。

      • Block— API Gateway、CloudFront 或应用 Application Load Balancer 使用 HTTP 403 (禁止) 状态代码响应请求。CloudFront 还可以使用自定义错误页面进行响应。有关更多信息,请参阅使用Amazon WAFCloudFront 自定义错误页面

      • 计数–Amazon WAFClassic 使与规则中的条件匹配的请求计数器递增,然后继续基于 Web ACL 中的其余规则检查 Web 请求。

        有关在开始使用 Web ACL 允许或阻止 Web 请求之前,使用 Count (计数) 测试 Web ACL 的信息,请参阅 对与 Web ACL 中的规则匹配的 Web 请求计数

    • 对于每个规则组,为其设置覆盖操作:

      • 无覆盖— 使应使用规则组中各个规则的操作。

      • 覆盖到计数— 覆盖组中各个规则指定的所有阻止操作,以便仅对所有匹配的请求进行计数。

      有关更多信息,请参阅规则组覆盖

  11. 如果需要更改 Web ACL 中的规则顺序,请使用Ordercolumn.Amazon WAF Classic 基于规则出现在 Web ACL 中的顺序来检查 Web 请求。

  12. 如果要删除添加到 Web ACL 的规则,请在规则所在行中选择 x

  13. 选择 Web ACL 的默认操作。这是行动Amazon WAF当 Web 请求不与此 Web ACL 中的任何规则中的条件匹配时,Classic (经典) 需要。有关更多信息,请参阅确定 Web ACL 的默认操作

  14. 选择 Review and create

  15. 查看 Web ACL 的设置,然后选择 Confirm and create