编辑 Web ACL - Amazon WAFAmazon Firewall Manager、和 Amazon Shield Advanced
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

编辑 Web ACL

要在 Web ACL 中添加或删除规则或更改配置设置,请使用本页面上的步骤访问 Web ACL。更新 Web ACL 时 Amazon WAF ,可以持续覆盖您与 Web ACL 关联的资源。

生产流量风险

在 Web ACL 中为生产流量部署更改之前,请在暂存或测试环境中对其进行测试和调整,直到您对流量可能产生的影响感到满意。然后,在启用之前,在计数模式下使用生产流量对更新后的规则进行测试和调整。有关操作指南,请参阅 测试和调整您的 Amazon WAF 保护措施

注意

在 Web ACL 中使用超过 1,500 个 WCU 所产生的成本超出了基本 Web ACL 的价格。有关更多信息,请参阅 Amazon WAF 网络 ACL 容量单位 (WCU)Amazon WAF 定价

编辑 Web ACL

  1. 登录 Amazon Web Services Management Console 并打开 Amazon WAF 控制台,网址为 https://console.aws.amazon.com/wafv2/

  2. 在导航窗格中,选择 Web ACL

  3. 选择要编辑的 Web ACL 的名称。控制台会将您转到 Web ACL 的描述。

    注意

    由管理的 Web ACL Amazon Firewall Manager 的名称以开头FMManagedWebACLV2-。Firewall Manager 管理员通过防火墙管理器 Amazon WAF 策略对其进行管理。这些 Web ACL 可能包含指定为在 Web ACL 中最先运行和最后运行的规则组集,这两个规则组集分别位于由您添加和管理的任何规则或规则组的两端。您无法更改任何第一个和最后一个规则组规范。第一个和最后一个规则组的名称分别以 PREFMManaged-POSTFMManaged- 开头。有关这些策略的更多信息,请参阅 Amazon WAF 政策

  4. 根据需要编辑 Web ACL。选择您感兴趣的配置区域的选项卡,然后编辑可变设置。对于您编辑的每个设置,当您选择保存并返回 Web ACL 的描述页面时,控制台会保存您对 Web ACL 所做的更改。

    下面列出了包含 Web ACL 配置组件的选项卡。

    • 规则选项卡

      • 在 Web ACL 中定义的规则 – 您可以编辑和管理在 Web ACL 中定义的规则,正如您创建 Web ACL 时的操作一样。

        注意

        请勿更改任何未手动添加到 Web ACL 的规则的名称。如果您使用其他服务为您管理规则,则更改其名称可能会取消或削弱他们提供预期保护的能力。 Amazon Shield Advanced 并且 Amazon Firewall Manager 两者都在您的 Web ACL 中创建规则。有关信息,请参阅 其他服务提供的规则组

        注意

        如果您更改了规则的名称,并且希望该规则的指标名称反映更改,则还必须更新该指标名称。 Amazon WAF 当您更改规则名称时,不会自动更新规则的指标名称。在控制台中编辑规则时,您可以使用规则 JSON 编辑器更改指标名称。您也可以通过 API 以及在用于定义 Web ACL 或规则组的任何 JSON 列表中更改这两个名称。

        有关规则和规则组设置的信息,请参阅 Amazon WAF 规则Amazon WAF 规则组

      • Web ACL 规则使用的容量单位 – Web ACL 的当前容量使用情况。这一项仅供查看。

      • 与任何规则都不匹配的请求的默认 Web ACL 操作 – 有关此设置的信息,请参阅 Web ACL 默认操作

      • Web ACL 验证码和质询配置 – 这些免疫时间决定了验证码或质询令牌在被获取后的有效时间。只有在创建 Web ACL 之后,才能在此处修改此设置。有关这些设置的信息,请参阅时间戳过期: Amazon WAF 代币免疫时间

      • 令牌域名列表 — Amazon WAF 接受列表中所有域名和关联资源域的令牌。有关更多信息,请参阅 Amazon WAF Web ACL 令牌域列表配置

    • 关联 Amazon 资源” 选项卡

      • Web 请求检查大小限制 — 仅适用于保护 CloudFront 分发的 Web ACL。车身检查的大小限制决定了车身部件的多少被转 Amazon WAF 送到接受检查。有关该设置的更多信息,请参阅 管理车身检查的大小限制

      • 关联 Amazon 资源-Web ACL 当前关联并保护的资源列表。您可以找到与 Web ACL 位于同一区域的资源,并将它们与 Web ACL 关联起来。有关更多信息,请参阅 将 Web ACL 与资源关联或取消关联 Amazon

    • 自定义响应正文选项卡

    • 日志和指标选项卡

更新期间暂时出现不一致

创建或更改 Web ACL 或其他 Amazon WAF 资源时,更改需要很少的时间才能传播到存储资源的所有区域。传播时间可以从几秒钟到几分钟不等。

以下示例是更改传播过程中可能暂时出现的不一致:

  • 创建 Web ACL 后,如果您尝试将其与资源关联,则可能会出现异常,指示 Web ACL 不可用。

  • 将规则组添加到 Web ACL 后,新的规则组规则可能在某个使用 Web ACL 的区域生效,而在另一个区域不生效。

  • 更改规则操作设置后,可能会在某些位置显示旧操作而在另一些位置显示新操作。

  • 将 IP 地址添加到阻止规则中使用的 IP 集后,新地址可能会在一个区域中被阻止,而在另一个区域中仍然允许。