本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
创建 Web ACL
要创建新的 Web ACL,请按照本页上的步骤使用 Web ACL 创建向导。
生产流量风险
在 Web ACL 中为生产流量部署更改之前,请在暂存或测试环境中对其进行测试和调整,直到您对流量可能产生的影响感到满意。然后,在启用之前,在计数模式下使用生产流量对更新后的规则进行测试和调整。有关操作指南,请参阅 测试和调整您的 Amazon WAF 保护措施。
注意
在 Web ACL 中使用超过 1,500 个 WCU 所产生的成本超出了基本 Web ACL 的价格。有关更多信息,请参阅 Amazon WAF Web ACL 容量单位 (WCU) 和 Amazon WAF 定价
创建 Web ACL
登录 Amazon Web Services Management Console 并打开 Amazon WAF 控制台,网址为 https://console.aws.amazon.com/wafv2/
。 -
请在导航窗格中选择 Web ACL,然后选择 创建 Web ACL。
-
对于 名称,输入要用于标识此 Web ACL 的名称。
注意
Web ACL 在创建之后无法更改名称。
-
(可选)对于 描述 - 可选,如果需要,请输入 Web ACL 的较长描述。
-
对于CloudWatch 指标名称,如果适用,请更改默认名称。按照控制台上的指导进行有效字符操作。名称不能包含为其保留的特殊字符、空格或指标名称 Amazon WAF,包括 “全部” 和 “Default_Action”。
注意
创建 Web ACL 后,您无法更改 CloudWatch 指标名称。
-
在 “资源类型” 下,选择要与此 Web ACL 关联的 Amazon 资源类别,即 Amazon CloudFront 分配或区域资源。有关更多信息,请参阅 将 Web ACL 与资源关联或取消关联 Amazon。
-
对于区域,如果您选择了区域资源类型,请选择 Amazon WAF 要存储 Web ACL 的区域。
您只需要为区域资源类型选择此选项。对于 CloudFront 分发,对于全球 () 应用程序,区域被硬编码为美国东部(弗吉尼亚北部CloudFront)区域。
us-east-1 -
(CloudFront、API Gateway、Amazon Cognito、App Runner 和已验证访问权限)对于 Web 请求检查大小限制-可选,如果您想指定不同的身体检查大小限制,请选择该限制。检查机身大小超过默认值 16 KB 可能会产生额外费用。有关此选项的更多信息,请参阅管理车身检查的大小限制。
-
(可选)对于关联 Amazon 资源-可选,如果您想立即指定资源,请选择添加 Amazon 资源。在对话框中,选择要关联的资源,然后选择添加。 Amazon WAF 返回到描述 Web ACL 和关联 Amazon 资源页面。
-
选择下一步。
-
(可选)如果要添加托管规则组,请在 添加规则和规则组 页面上,选择 添加规则,然后选择 添加托管规则组。对要添加的每个托管规则组执行以下操作:
-
在添加托管规则组页面上,展开 Amazon 托管规则组或您选择的 Amazon Web Services Marketplace 卖家的列表。
-
对于要添加的规则组,在操作列中,打开添加到 Web ACL切换选项。
要自定义 Web ACL 使用规则组的方式,请选择编辑。以下是常见的自定义设置:
-
覆盖部分或全部规则的规则操作。如果您没有为规则定义覆盖操作,则评估将使用规则组中定义的规则操作。有关此选项的更多信息,请参阅规则组中的操作覆盖。
-
通过添加范围缩小语句,缩小规则组检查的 Web 请求的范围。有关此选项的更多信息,请参阅范围缩小语句。
-
某些托管规则组要求您提供其他配置。请参阅您的托管规则组提供程序所提供的文档。有关 Amazon 托管规则组的特定信息,请参阅Amazon 的托管规则 Amazon WAF。
完成设置后,选择保存规则。
-
选择 添加规则 以完成托管规则的添加,然后返回 添加规则和规则组 页面。
-
-
(可选)如果要添加您自己的托管规则组,请在 添加规则和规则组 页面上,选择 添加规则,然后选择 添加我自己的规则和规则组。对要添加的每个规则组执行以下操作:
-
在 添加我自己的规则和规则组 页面上,选择 规则组。
-
在名称中,输入要用于此 Web ACL 中的规则组规则的名称。不要使用以
AWS、Shield、PreFM或PostFM开头的名称。这些字符串要么是保留字符串,要么可能与其他服务所管理的规则组混淆。请参阅 其他服务提供的规则组。 -
从列表中选择您的规则组。
注意
如果要覆盖自己的规则组的规则操作,请先将其保存到 Web ACL 中,然后在 Web ACL 的规则列表中编辑 Web ACL 和规则组参考语句。您可以将规则操作改写为任何有效的操作设置,就像对托管规则组所做的那样。
-
选择 添加规则。
-
-
(可选)如果要添加您自己的规则,请在 添加规则和规则组 页面上,依次选择 添加规则、添加我自己的规则和规则组、规则生成器,然后选择 规则可视化编辑器。
注意
控制台 规则可视化编辑器 支持一个嵌套级别。例如,您可以使用单个逻辑
AND或OR语句,并在其中嵌套一个级别的其他语句,但不能在逻辑语句中嵌套逻辑语句。要管理更复杂的规则语句,请使用 规则 JSON 编辑器。有关规则的所有选项的信息,请参阅 Amazon WAF 规则。此过程涵盖 规则可视化编辑器。
-
对于 名称,输入要用于标识此规则的名称。不要使用以
AWS、Shield、PreFM或PostFM开头的名称。这些字符串要么是保留字符串,要么可能与其他服务所管理的规则组混淆。 -
根据您的需求输入您的规则定义。您可以在逻辑
AND和OR规则语句中组合规则。该向导将根据上下文指导您学习每个规则的选项。有关规则选项的信息,请参阅 Amazon WAF 规则。 -
对于 操作,选择您希望规则在与 Web 请求匹配时执行的操作。有关您的选择的信息,请参阅 规则操作和 Web ACL 规则和规则组评估。
如果您使用的是 CAPTCHA 或 Challenge 操作,请根据规则的需要调整免疫时间配置。如果您未指定设置,则规则将从 Web ACL 继承设置。要修改 Web ACL 免疫时间设置,请在创建 Web ACL 后对其进行编辑。有关免疫时间的更多信息,请参阅 时间戳过期:令牌免疫时间。
注意
当您在其中一个规则中使用 CAPTCHA 或 Challenge 规则操作或在规则组中将其作为规则操作覆盖时,您需要支付额外费用。有关更多信息,请参阅Amazon WAF 定价
。 如果您想自定义请求或响应,请选择相应选项并填写自定义的详细信息。有关更多信息,请参阅 Amazon WAF中的自定义 Web 请求和响应。
如果您想让您的规则为匹配的 Web 请求添加标签,请选择相应选项并填写标签详细信息。有关更多信息,请参阅 Amazon WAF 网络请求上的标签。
-
选择 添加规则。
-
-
选择 Web ACL 的默认操作(Block 或 Allow)。当 Web ACL 中的规则未明确允许或阻止请求时,这是对请求采取的操作。 Amazon WAF 有关更多信息,请参阅 Web ACL 默认操作。
如果您想自定义默认操作,请选择相应选项并填写自定义的详细信息。有关更多信息,请参阅 Amazon WAF中的自定义 Web 请求和响应。
-
您可以定义令牌域列表,以便在受保护的应用程序之间实现令牌共享。当您使用 Amazon 托管规则组进行 Amazon WAF 欺诈控制账户创建、防欺诈 (ACFP)、防欺诈控制账户接管 (ATP) 和机器人控制时, Amazon WAF 令牌由和Challenge Amazon WAF 操作以及应用程序集成 SDK 使用。CAPTCHA
不允许使用公共后缀。例如,您不能使用
gov.au或co.uk作为令牌域。默认情况下,仅 Amazon WAF 接受受保护资源域的令牌。如果您在此列表中添加令牌域,则 Amazon WAF 接受列表中所有域和关联资源域的令牌。有关更多信息,请参阅 配置 Web ACL 令牌域列表。
-
选择 下一步。
-
在 “设置规则优先级” 页面中,选择您的规则和规则组,然后按照您想要的顺序 Amazon WAF 进行处理。 Amazon WAF 从列表顶部开始处理规则。保存 Web ACL 时, Amazon WAF 会按照规则的列出顺序为规则分配数字优先级设置。有关更多信息,请参阅 Web ACL 中规则和规则组的处理顺序。
-
选择 下一步。
-
在配置指标页面中,查看选项并应用所需的任何更新。您可以通过为多个来源提供相同的CloudWatch 指标名称来合并这些指标。
-
选择下一步。
-
在 审核和创建 Web ACL 页面中,检查您的定义。如果要更改任何区域,请为该区域选择 Edit (编辑)。这将使您返回到 Web ACL 向导中的页面。进行任何更改,然后在后续页面中选择 下一步,直到您返回 审核和创建 Web ACL 页面。
-
选择 创建 Web ACL。您的新 Web ACL 将在 Web ACL 页面中列出。