创建规则并添加条件 - Amazon WAF、Amazon Firewall Manager 和 Amazon Shield Advanced
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

创建规则并添加条件

注意

这是Amazon WAFClassic文档中)。仅当 2019 年 11 月之前在 Amazon WAF 中创建了 Amazon WAF 资源(例如规则和 Web ACL),但尚未将这些资源迁移到最新版本时,才应使用此版本。要迁移您的资源,请参阅迁移您的Amazon WAFClassic 资源Amazon WAF

对于最新版本的Amazon WAF请参阅Amazon WAF

如果您将多个条件添加到一个规则,则 Web 请求必须匹配所有条件Amazon WAF经典用于允许或阻止基于该规则的请求。

创建规则并添加条件

  1. 登录到Amazon Web Services Management Console打开Amazon WAF控制台https://console.aws.amazon.com/wafv2/

  2. 在导航窗格中,选择 Rules (规则)

  3. 选择 Create rule

  4. 输入以下值:

    名称

    输入名称。

    CloudWatch 指标名称

    输入 CloudWatch 指标的名称Amazon WAFClassic 将创建并与规则关联。该名称只能包含字母数字字符(A-Z、a-z、0-9),最大长度为 128 和最小长度为 1。且不能包含空格或为预留的指标名称。Amazon WAF传统,包括 “All” 和 “Default_Action”。

    Rule type

    选择 Regular ruleRate–based rule。基于速率的规则与常规规则基本相同,但还考虑到在五分钟时段来自 IP 地址的请求数。有关这些规则类型的详细信息,请参阅 操作方法Amazon WAFClassic 作品

    Rate limit

    对于基于速率的规则,请输入与规则条件匹配的 IP 地址在任何五分钟内允许的最大请求数。速率限制必须至少为 100。

    您可以单独指定速率限制,也可以指定速率限制和条件。如果您仅指定速率限制,Amazon WAF 会对所有 IP 地址设置限制。如果您指定速率限制和条件,Amazon WAF 会对与条件匹配的 IP 地址设置限制。

    当 IP 地址达到速率限制阈值时,Amazon WAF 会尽快应用指定的操作(阻止或计数),通常在 30 秒内。一旦操作到位,如果五分钟没有来自 IP 地址的请求,则 Amazon WAF 会将计数器重置为零。

  5. 要将条件添加到规则,请指定以下值:

    When a request does/does not

    如果要Amazon WAFClassic (经典) 可以根据条件中的筛选条件允许或阻止请求,请选择也是如此。例如,如果 IP 匹配条件包含 IP 地址范围 192.0.2.0/24 并且需要Amazon WAF经典允许或阻止来自这些 IP 地址的请求,请选择也是如此

    如果要Amazon WAF经典款式允许或阻止请求,基于条件中的筛选条件的反向条件允许或阻止请求,请选择不等于。例如,如果 IP 匹配条件包含 IP 地址范围 192.0.2.0/24 并且需要Amazon WAF经典允许或阻止符合不执行该操作来自这些 IP 地址,请选择不等于

    match/originate from

    选择要添加到规则的条件的类型:

    • 跨站点脚本匹配匹配条件 — 选择match condition condition (在跨站点脚本匹配条件中匹配至少一个筛选条件)

    • IP 匹配条件 — 选择源自 IP 地址

    • 地理匹配条件 — 选择originate from a geographic location in

    • 大小约束条件 — 选择match at least one of the filters in the size constraint condition

    • SQL 注入匹配匹配条件 — 选择match at least one of the filters in the SQL injection match condition

    • 字符串匹配条件 — 选择match at least one of the filters in the string match condition

    • 正则表达式匹配条件 — 选择match at match at filters in filter in filter in filters in filter in filter in filter in match at match at match at match at match at match at

    condition name

    选择要添加到规则的条件。列表仅显示在上一步选择的类型的条件。

  6. 要将另一个条件添加到规则中,请选择 Add another condition,然后重复步骤 4 和 5。请注意以下几点:

    • 如果您添加多个条件,则 Web 请求必须与每个条件中的至少一个筛选条件匹配。Amazon WAF经典允许或阻止基于该规则的请求

    • 如果将两个 IP 匹配条件添加到同一规则,Amazon WAFClassic 只允许或阻止源自在两个 IP 匹配条件中同时出现的 IP 地址的请求

  7. 添加完条件后,选择 Create