创建 Web ACL - Amazon WAF、Amazon Firewall Manager 和 Amazon Shield Advanced
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

创建 Web ACL

创建 Web ACL
  1. 登录Amazon Web Services Management Console并打开Amazon WAF主机,网址为 https://console.aws.amazon.com/wafv2/

  2. 请在导航窗格中选择 Web ACL,然后选择 Create Web ACL (创建 Web ACL)

  3. 对于 Name (名称),输入要用于标识此 Web ACL 的名称。

    注意

    Web ACL 在创建之后无法更改名称。

  4. (可选)对于 Description - optional (描述 - 可选),如果需要,请输入 Web ACL 的较长描述。

  5. 对于 CloudWatch metric name (CloudWatch 指标名称),更改默认名称(如果适用)。按照控制台上的指导进行有效字符操作。该名称不能包含为 Amazon WAF 保留的特殊字符、空格或指标名称,包括“All”和“Default_Action”。

    注意

    创建 Web ACL 之后,无法更改 CloudWatch 指标名称。

  6. 对于 Resource type (资源类型),请选择要与此 Web ACL 关联的 Amazon 资源类别。有关更多信息,请参阅将 Web ACL 与Amazon资源关联或取消关联

  7. 对于区域,如果您选择了区域资源类型,请选择Amazon WAF要存储 Web ACL 的区域。

    只需为区域资源类型选择该选项。对于 CloudFront 发行版,对于全球 () 应用程序,区域将硬编码为美国东部(弗吉尼亚北部CloudFront)区域中。us-east-1

  8. (可选)对于 “关联Amazon资源-可选”,选择 “添加Amazon资源”。在对话框中,选择要关联的资源,然后再选择 A dd。 Amazon WAF将您返回到 “描述 Web ACL 和相关Amazon资源” 页面。

  9. 选择下一步

  10. (可选)如果要添加托管规则组,请在 Add rules and rule groups (添加规则和规则组) 页面上,选择 Add rules (添加规则),然后选择 Add managed rule groups (添加托管规则组)。对要添加的每个托管规则组执行以下操作:

    1. Add managed rule groups (添加托管规则组) 页面上,展开 Amazon 托管规则组或所选 Amazon Web Services Marketplace 卖家的列表。

    2. 对于要添加的规则组,在操作列中,打开添加到 Web ACL 开关。

      要自定义 Web ACL 使用规则组的方式,请选择编辑。以下是常见的自定义设置:

      • 改写部分或所有规则的规则操作。如果您没有为规则定义替代操作,则评估将使用在规则组内定义的规则操作。有关此选项的更多信息,请参阅规则组中的操作替代

      • 通过添加范围缩小语句,缩小规则组检查的 Web 请求的范围。有关此选项的更多信息,请参阅范围缩小声明

      • 某些托管规则组需要您提供其他配置。请参阅您的托管规则组提供商提供的文档。有关 “Amazon托管规则” 规则组的特定信息,请参阅Amazon的托管规则Amazon WAF

      完成设置后,选择 “保存规则”。

    选择 Add rules (添加规则) 以完成托管规则的添加,然后返回 Add rules and rule groups (添加规则和规则组) 页面。

  11. (可选)如果要添加您自己的托管规则组,请在 Add rules and rule groups (添加规则和规则组) 页面上,选择 Add rules (添加规则),然后选择 Add my own rules and rule groups (添加我自己的规则和规则组)。对要添加的每个规则组执行以下操作:

    1. Add my own rules and rule groups (添加我自己的规则和规则组) 页面上,选择 Rule group (规则组)

    2. 在 “名称” 中,输入要用于此 Web ACL 中的规则组规则的名称。

    3. 从列表中选择您的规则组,然后选择添加规则

  12. (可选)如果要添加您自己的规则,请在 Add rules and rule groups (添加规则和规则组) 页面上,依次选择 Add rules (添加规则)Add my own rules and rule groups (添加我自己的规则和规则组)Rule builder (规则生成器),然后选择 Rule visual editor (规则可视化编辑器)

    注意

    控制台 Rule visual editor (规则可视化编辑器) 支持一个嵌套级别。例如,您可以使用单个逻辑ANDOR语句并在其中嵌套一层其他语句,但不能在逻辑语句中嵌套逻辑语句。要管理更复杂的规则语句,请使用 Rule JSON editor (规则 JSON 编辑器)。有关规则的所有选项的信息,请参阅 规则

    此过程涵盖 Rule visual editor (规则可视化编辑器)

    1. 对于 Name (名称),输入要用于标识此规则的名称。

    2. 根据您的需求输入您的规则定义。可以在逻辑语句AND和规则语句中组合OR规则。该向导将根据上下文指导您学习每个规则的选项。有关规则选项的信息,请参阅 规则

    3. 对于 Action (操作),选择您希望规则在与 Web 请求匹配时执行的操作。有关您的选择的信息,请参阅 Amazon WAF 规则操作Web ACL 规则和规则组评估

      如果您使用的是CAPTCHAChallenge操作,请根据需要调整规则的免疫时间配置。如果您未指定设置,规则会从 Web ACL 中继承设置。有关更多信息,请参阅时间戳到期:代币豁免时间

      注意

      当您在其中一个规则中使用CAPTCHA或Challenge规则操作或在规则组中用作规则操作替代时,会向您收取额外费用。有关更多信息,请参阅 Amazon WAF 定价

      如果您想自定义请求或响应,请选择相应的选项并填写自定义的详细信息。有关更多信息,请参阅中的自定义 Web 请求和响应Amazon WAF

      如果您想让您的规则为匹配的网络请求添加标签,请选择相应的选项并填写您的标签详细信息。有关更多信息,请参阅网络请求上的标签

    4. 选择 Add rule

  13. 选择 Web ACL 的默认操作,即BlockAllow。这是在 Web ACL 中的规则未明确允许或阻止请求时对请求采取的操作。Amazon WAF有关更多信息,请参阅决定 Web ACL 的默认操作

    如果要自定义默认操作,请选择相应的选项并填写自定义的详细信息。有关更多信息,请参阅中的自定义 Web 请求和响应Amazon WAF

  14. 您可以定义令牌域列表以启用受保护应用程序之间的令牌共享。令牌由CAPTCHA和Challenge操作以及您在使用防Amazon WAF欺诈控制账户接管 (ATP) 和Amazon WAF机器人控制的Amazon托管规则组时实现的应用程序集成 SDK 使用。

    不允许使用公共后缀。例如,您不能使用usa.govco.uk作为令牌域。

    默认情况下,仅Amazon WAF接受受保护资源的域的令牌。如果您在此列表中添加令牌域,则Amazon WAF接受列表中所有域和关联资源域的令牌。有关更多信息,请参阅配置 Web ACL 令牌域列表

  15. 选择下一步

  16. 在 “设置规则优先级” 页面中,选择规则和规则组并将其移Amazon WAF至要处理的顺序。 Amazon WAF从列表顶部开始处理规则。保存 Web 时,ACL 会按照您列出的顺序为规则Amazon WAF分配数字优先级设置。有关更多信息,请参阅Web ACL 中规则和规则组的处理顺序

  17. 选择下一步

  18. 配置指标页面中,查看选项并应用所需的任何更新。您可以通过为多个来源提供相同的CloudWatch 指标名称来合并这些指标。

  19. 选择下一步

  20. Review and create web ACL (审核和创建 Web ACL) 页面中,检查您的定义。如果要更改任何区域,请为该区域选择 Edit (编辑)。这将使您返回到 Web ACL 向导中的页面。进行任何更改,然后在后续页面中选择 Next (下一步),直到您返回 Review and create web ACL (审核和创建 Web ACL) 页面。

  21. 选择 Create web ACL (创建 Web ACL)。您的新 Web ACL 将在 Web ACL 页面中列出。