介绍 Amazon WAF 的全新控制台体验
现在,您可以使用更新后的体验访问控制台中任意位置的 Amazon WAF 功能。有关更多详细信息,请参阅 使用更新的控制台体验。
创建规则并添加条件
警告
Amazon WAF Classic 正经历计划中的生命周期结束过程。有关您所在区域特定的里程碑和日期,请参阅您的 Amazon Health 控制面板。
注意
这是 Amazon WAF Classic 文档。仅当 2019 年 11 月之前在 Amazon WAF 中创建了 Amazon WAF 资源(例如规则和 web ACL),但尚未将这些资源迁移到最新版本时,才应使用此版本。要迁移您的 web ACL,请参阅 将 Amazon WAF Classic 资源迁移到 Amazon WAF。
有关 Amazon WAF 的最新版本,请参阅 Amazon WAF。
如果您将多个条件添加到一个规则,则 web 请求必须匹配所有条件,Amazon WAF Classic 才会基于该规则允许或阻止请求。
创建规则并添加条件
登录到 Amazon Web Services 管理控制台,然后打开 Amazon WAF 控制台,网址为:https://console.aws.amazon.com/wafv2/
。 如果您在导航窗格中看到切换到 Amazon WAF Classic,请将其选中。
在导航窗格中,选择规则。
选择创建规则。
输入以下值:
- 名称
输入名称。
- CloudWatch 指标名称
为 Amazon WAF Classic 将创建并与规则关联的 CloudWatch 指标输入名称。该名称只能包含字母数字字符(A-Z、a-z、0-9),最大长度为 128 和最小长度为 1。名称不能包含空格或为 Amazon WAF Classic 预留的指标名称,包括“All”和“Default_Action”。
- 规则类型
选择
Regular rule或Rate–based rule。基于速率的规则与常规规则基本相同,但还考虑到任何五分钟时段来自标识的 IP 地址的请求数。有关这些规则类型的详细信息,请参阅 Amazon WAF Classic 的工作原理。- 速率限制
-
对于基于速率的规则,请输入与规则条件匹配的 IP 地址在任何五分钟内允许的最大请求数。速率限制必须至少为 100。
您可以单独指定速率限制,也可以指定速率限制和条件。如果您仅指定速率限制,Amazon WAF 会对所有 IP 地址设置限制。如果您指定速率限制和条件,Amazon WAF 会对与条件匹配的 IP 地址设置限制。
当 IP 地址达到速率限制阈值时,Amazon WAF 会尽快应用指定的操作(阻止或计数),通常在 30 秒内。一旦操作到位,如果五分钟没有来自 IP 地址的请求,则 Amazon WAF 会将计数器重置为零。
要将条件添加到规则,请指定以下值:
- When a request does/does not
如果 Amazon WAF Classic 应基于条件中的筛选条件允许或阻止请求,请选择是。例如,如果 IP 匹配条件包含 IP 地址范围 192.0.2.0/24 并且 Amazon WAF Classic 应允许或阻止来自这些 IP 地址的请求,请选择是。
如果 Amazon WAF Classic 应基于条件中的筛选器的反向条件允许或阻止请求,请选择不。例如,如果 IP 匹配条件包含 IP 地址范围 192.0.2.0/24 并且希望 Amazon WAF Classic 允许或阻止不是来自这些 IP 地址的请求,请选择不。
- match/originate from
选择要添加到规则的条件的类型:
跨站点脚本匹配条件:选择在跨站点脚本匹配条件中匹配至少一个筛选条件
IP 匹配条件:选择源自 IP 地址
地理匹配条件:选择源自地理位置
大小约束条件:选择在大小约束条件中匹配至少一个筛选条件
SQL 注入匹配条件:选择在 SQL 注入匹配条件中匹配至少一个筛选条件
字符串匹配条件:选择在字符串匹配条件中匹配至少一个筛选条件
正则表达式匹配条件:选择(在正则表达式匹配条件中匹配至少一个筛选条件
- condition name
选择要添加到规则的条件。列表仅显示在上一步选择的类型的条件。
要将另一个条件添加到规则中,请选择 添加另一个条件,然后重复步骤 4 和 5。请注意以下几点:
如果您添加多个条件,则 web 请求必须与每个条件中的至少一个筛选条件匹配,Amazon WAF Classic 才会基于该规则允许或阻止请求
如果您将两个 IP 匹配条件添加到同一个规则,则 Amazon WAF Classic 只允许或阻止源自在两个 IP 匹配条件中同时出现的 IP 地址的请求
添加完条件后,选择创建。