步骤 2:创建并应用 Amazon WAF 策略 - Amazon WAFAmazon Firewall Manager、和 Amazon Shield Advanced
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

步骤 2:创建并应用 Amazon WAF 策略

Firewall Manager Amazon WAF 策略包含要应用于资源的规则组。Firewall Manager 会在您应用策略的每个账户中创建一个 Firewall Manager Web ACL。除了您在此处定义的规则组之外,各个客户经理还可以向生成的 Web ACL 中添加规则和规则组。有关 Firewall Manager Amazon WAF 策略的信息,请参见Amazon WAF 政策

创建 Firewall Manager Amazon WAF 策略(控制台)

Amazon Web Services Management Console 使用您的 Firewall Manager 管理员帐户登录,然后打开防火墙管理器控制台,网址为https://console.amazonaws.cn/wafv2/fmsv2。有关设置 Firewall Manager 管理员账户的信息,请参阅Amazon Firewall Manager 先决条件

  1. 在导航窗格中,选择 安全策略

  2. 选择 创建策略

  3. 对于 策略类型,选择 Amazon WAF

  4. 对于区域,选择一个 Amazon Web Services 区域。要保护 Amazon 的 CloudFront配送,请选择 “全球”。

    要保护多个区域( CloudFront 分布除外)中的资源,必须为每个区域创建单独的 Firewall Manager 策略。

  5. 选择下一步

  6. 对于策略名称,请键入策略的描述性名称。Firewall Manager 在其管理的 Web ACL 的名称中包含策略名称。Web ACL 名称中包括 FMManagedWebACLV2-,后接您在此处输入的策略名称、-,以及 Web ACL 创建时间戳(以 UTC 毫秒为单位)。例如,FMManagedWebACLV2-MyWAFPolicyName-1621880374078

    重要

    Web ACL 名称在创建后无法更改。如果您更新策略的名称,Firewall Manager 将不会更新关联的 Web ACL 名称。要让 Firewall Manager 创建具有不同名称的 Web ACL,您必须创建新的策略。

  7. 策略规则 下的 最先运行的规则组 中,选择 添加规则组。展开 Amazon 托管规则组。对于 核心规则集,切换 添加到 Web ACL。对于 Amazon 已知不良输入,请切换添加到 Web ACL。选择 添加规则

    对于 最后运行的规则组,请选择 添加规则组。展开 Amazon 托管规则组,对于 Amazon IP 声誉列表,切换添加到 Web ACL。选择 添加规则

    在 “第一个规则组” 下,选择 “核心规则集”,然后选择 “向下移动”。 Amazon WAF 先根据Amazon 已知的错误输入规则组评估 Web 请求,然后再根据核心规则集进行评估。

    如果需要,您也可以使用 Amazon WAF 控制台创建自己的 Amazon WAF 规则组。您创建的任何规则组都将显示在描述策略:添加规则组页面的您的规则组下。

    您通过 Firewall Manager 管理的第一个和最后一个 Amazon WAF 规则组的名称分别以PREFMManaged-POSTFMManaged-开头,后跟防火墙管理器策略名称和规则组创建时间戳(以 UTC 毫秒为单位)。例如,PREFMManaged-MyWAFPolicyName-1621880555123

  8. 将 Web ACL 的默认操作保留为 允许

  9. 策略操作 保留为默认状态,以便不会自动修复不合规的资源。您随后可以更改此选项。

  10. 选择下一步

  11. 对于 策略范围,您可以提供用于标识要应用策略的资源的账户、资源类型和标签设置。在本教程中,请保留 Amazon Web Services 账户资源的默认设置,然后选择一种或多种资源类型。

  12. 对于资源,您可以使用标记来缩小策略的范围,方法是包括或排除带有您指定标签的资源。您可以使用 “包含” 或 “排除”,但不能两者兼而有之。有关标签的更多信息,请参阅使用标签编辑器

    如果输入多个标签,则资源必须具有要包括或排除的所有标签。

    资源标签只能有非空值。如果省略标签的值,Firewall Manager 会使用空字符串值保存标记:“”。资源标签仅与具有相同密钥和相同值的标签匹配。

  13. 选择下一步

  14. 对于策略标记,添加要添加到 Firewall Manager 策略资源的所有标识标记。有关标签的更多信息,请参阅使用标签编辑器

  15. 选择下一步

  16. 查看新的政策设置,然后返回需要进行任何调整的页面。

    进行检查以确保 策略操作 设置为 确定不符合策略规则的资源,但不自动修复。这样,您就可以在启用策略之前查看策略将要进行的更改。

  17. 若您满意所创建的策略,请选择 创建策略

    Amazon Firewall Manager 策略窗格下应列出您的策略。它可能会在账户标题下显示 “待处理”,并指示 “自动修复” 设置的状态。策略的创建可能需要几分钟的时间。当 待处理 状态替换为账户计数时,您可以选择策略名称来探索账户和资源的合规状态。有关信息,请参阅。查看 Amazon Firewall Manager 策略的合规性信息