在保护包(web ACL)中使用规则组 - Amazon WAF、Amazon Firewall Manager、Amazon Shield Advanced 和 Amazon Shield 网络安全分析器
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

介绍 Amazon WAF 的全新控制台体验

现在,您可以使用更新后的体验访问控制台中任意位置的 Amazon WAF 功能。有关更多详细信息,请参阅 使用更新的控制台体验

在保护包(web ACL)中使用规则组

要在保护包(web ACL)中使用规则组,请在规则组参考语句中将其添加到保护包(web ACL)中。

生产流量风险

在保护包(web ACL)中为生产流量部署更改之前,请在暂存或测试环境中对其进行测试和调整,直到您对流量可能产生的影响感到满意。然后,在启用之前,在计数模式下使用生产流量对更新后的规则进行测试和调整。有关指南,请参阅测试和调整您的 Amazon WAF 保护

注意

在保护包(web ACL)中使用超过 1500 个 WCU 所产生的成本超出了基本保护包(web ACL)的价格。有关更多信息,请参阅 Amazon WAF 中的 Web ACL 容量单位(WCU)数Amazon WAF 定价

使用规则组

  1. 登录到 Amazon Web Services 管理控制台,然后打开 Amazon WAF 控制台,网址为:https://console.aws.amazon.com/wafv2/homev2

  2. 在导航窗格中,选择 规则组

  3. 选择要使用的规则组的名称。

  4. 选择添加规则,然后选择添加自己的规则和规则组

  5. 选择规则组,并从列表中选择规则组。

在保护包(web ACL)中,您可以通过将单个规则操作设置为 Count 或通过任何其他操作,更改规则组及其规则的行为。这可以帮助您执行测试规则组、识别规则组中规则的误报,以及自定义托管规则组处理请求的方式等操作。有关更多信息,请参阅 在 Amazon WAF 中覆盖规则组操作

如果您的规则组包含基于速率的语句,则您使用该规则组的每个保护包(web ACL)都会对基于速率的规则分别进行费率跟踪和管理,与您使用规则组的任何其他保护包(web ACL)无关。有关更多信息,请参阅 在 Amazon WAF 中使用基于速率的规则语句

更新期间暂时出现不一致

创建或更改保护包(web ACL)或其他 Amazon WAF 资源时,更改只需很短的时间即可传播到存储资源的所有区域。传播时间可以从几秒钟到几分钟不等。

以下示例是更改传播过程中可能暂时出现的不一致:

  • 创建保护包(web ACL)后,如果您尝试将其与资源关联,则可能会出现异常,指示保护包(web ACL)不可用。

  • 将规则组添加到保护包(web ACL)后,新的规则组规则可能在某个使用保护包(web ACL)的区域生效,而在另一个区域不生效。

  • 更改规则操作设置后,可能会在某些位置显示旧操作而在另一些位置显示新操作。

  • 将 IP 地址添加到阻止规则中使用的 IP 集后,新地址可能会在一个区域中被阻止,而在另一个区域中仍然允许。