在 Web ACL 中使用规则组 - Amazon WAFAmazon Firewall Manager、和 Amazon Shield Advanced
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

在 Web ACL 中使用规则组

要在 Web ACL 中使用规则组,请在规则组参考语句中将其添加到 Web ACL 中。

生产流量风险

在 Web ACL 中为生产流量部署更改之前,请在暂存或测试环境中对其进行测试和调整,直到您对流量可能产生的影响感到满意。然后,在启用之前,在计数模式下使用生产流量对更新后的规则进行测试和调整。有关操作指南,请参阅 测试和调整您的 Amazon WAF 保护措施

注意

在 Web ACL 中使用超过 1,500 个 WCU 所产生的成本超出了基本 Web ACL 的价格。有关更多信息,请参阅 Amazon WAF Web ACL 容量单位 (WCU)Amazon WAF 定价

在控制台上,当您在 Web ACL 中添加或更新规则时,在添加规则和规则组页面上选择添加规则,然后选择添加我自己的规则和规则组。然后选择 规则组,并从列表中选择规则组。

在 Web ACL 中,您可以通过将单个规则操作设置为 Count 或通过任何其他操作来更改规则组及其规则的行为。这可以帮助您执行测试规则组、识别规则组中规则的误报,以及自定义托管规则组处理请求的方式等操作。有关更多信息,请参阅 规则组中的操作覆盖

如果您的规则组包含基于速率的语句,则您使用该规则组的每个 Web ACL 都会对基于速率的规则分别进行费率跟踪和管理,与您使用规则组的任何其他 Web ACL 无关。有关更多信息,请参阅 基于速率的规则语句

更新期间暂时出现不一致

创建或更改 Web ACL 或其他 Amazon WAF 资源时,更改需要很少的时间才能传播到存储资源的所有区域。传播时间可以从几秒钟到几分钟不等。

以下示例是更改传播过程中可能暂时出现的不一致:

  • 创建 Web ACL 后,如果您尝试将其与资源关联,则可能会出现异常,指示 Web ACL 不可用。

  • 将规则组添加到 Web ACL 后,新的规则组规则可能在某个使用 Web ACL 的区域生效,而在另一个区域不生效。

  • 更改规则操作设置后,可能会在某些位置显示旧操作而在另一些位置显示新操作。

  • 将 IP 地址添加到阻止规则中使用的 IP 集后,新地址可能会在一个区域中被阻止,而在另一个区域中仍然允许。