本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
创建规则并添加条件
注意
这是 Amazon WAF Classic 文档。只有在 2019 年 11 月 Amazon WAF 之前创建了 Amazon WAF 资源(如规则和 Web ACL),并且尚未将其迁移到最新版本时,才应使用此版本。要迁移您的资源,请参阅将您的 Amazon WAF 经典资源迁移到 Amazon WAF。
有关的最新版本 Amazon WAF,请参阅Amazon WAF。
如果您向规则添加多个条件,则 Web 请求必须符合所有条件,Cl Amazon WAF assic 才能根据该规则允许或阻止请求。
创建规则并添加条件
登录 Amazon Web Services Management Console 并打开 Amazon WAF 控制台,网址为 https://console.aws.amazon.com/wafv2/
。 如果您在导航窗格中看到 “切换到 Amazon WAF 经典版”,请将其选中。
在导航窗格中,选择规则。
选择 创建规则。
输入以下值:
- 名称
输入名称。
- CloudWatch 指标名称
输入 C Amazon WAF lassic 将创建并与规则关联的 CloudWatch 指标的名称。该名称只能包含字母数字字符(A-Z、a-z、0-9),最大长度为 128 和最小长度为 1。它不能包含为 C Amazon WAF lassic 保留的空格或指标名称,包括 “全部” 和 “Default_Action”。
- Rule type
选择
Regular rule或Rate–based rule。基于速率的规则与常规规则基本相同,但还考虑到任何五分钟时段来自标识的 IP 地址的请求数。有关这些规则类型的详细信息,请参阅 Amazon WAF 经典版的工作原理。- 速率限制
-
对于基于速率的规则,请输入与规则条件匹配的 IP 地址在任何五分钟内允许的最大请求数。速率限制必须至少为 100。
您可以单独指定速率限制,也可以指定速率限制和条件。如果仅指定速率限制, Amazon WAF 则对所有 IP 地址施加限制。如果您指定速率限制和条件, Amazon WAF 则会对符合条件的 IP 地址设置限制。
当 IP 地址达到速率限制阈值时,通常在 30 秒内尽快 Amazon WAF 应用分配的操作(封锁或计数)。操作完成后,如果五分钟过去了,没有来自该 IP 地址的请求,则将计数器 Amazon WAF 重置为零。
要将条件添加到规则,请指定以下值:
- When a request does/does not
如果您希望 Amazon WAF Classic 根据条件中的筛选条件允许或阻止请求,请选择 d oes。例如,如果 IP 匹配条件包括 IP 地址范围 192.0.2.0/24,并且您希望 Cl Amazon WAF assic 允许或阻止来自这些 IP 地址的请求,则选择允许。
如果您希望 Amazon WAF Classic 根据条件中过滤器的反向来允许或阻止请求,请选择 “不是”。例如,如果 IP 匹配条件包括 IP 地址范围 192.0.2.0/24,并且您希望 Cl Amazon WAF assic 允许或阻止不是来自这些 IP 地址的请求,则选择 “不是”。
- match/originate from
选择要添加到规则的条件的类型:
跨站点脚本匹配条件:选择在跨站点脚本匹配条件中匹配至少一个筛选条件
IP 匹配条件:选择源自 IP 地址
地理匹配条件:选择源自地理位置
大小约束条件:选择在大小约束条件中匹配至少一个筛选条件
SQL 注入匹配条件:选择在 SQL 注入匹配条件中匹配至少一个筛选条件
字符串匹配条件:选择在字符串匹配条件中匹配至少一个筛选条件
正则表达式匹配条件:选择(在正则表达式匹配条件中匹配至少一个筛选条件
- condition name
选择要添加到规则的条件。列表仅显示在上一步选择的类型的条件。
要将另一个条件添加到规则中,请选择 添加另一个条件,然后重复步骤 4 和 5。请注意以下几点:
如果您添加多个条件,则 Web 请求必须在每个条件中至少匹配一个筛选条件,Cl Amazon WAF assic 才能根据该规则允许或阻止请求
如果您向同一规则添加两个 IP 匹配条件,则 Cl Amazon WAF assic 将仅允许或阻止来自两个 IP 匹配条件中都出现的 IP 地址的请求
添加完条件后,选择 创建。