准备测试 Amazon WAF 保护 - Amazon WAF、Amazon Firewall Manager、Amazon Shield Advanced 和 Amazon Shield 网络安全分析器
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

介绍 Amazon WAF 的全新控制台体验

现在,您可以使用更新后的体验访问控制台中任意位置的 Amazon WAF 功能。有关更多详细信息,请参阅 使用更新的控制台体验

准备测试 Amazon WAF 保护

本节介绍如何进行设置以测试和调整 Amazon WAF 保护。

注意

要遵循本节中的指导,您需要大致了解如何创建和管理 Amazon WAF 保护,例如保护包(web ACL)、规则和规则组。本指南前面部分将介绍该信息。

准备测试
  1. 为保护包(web ACL)启用保护包(web ACL)日志记录、Amazon CloudWatch 指标和 web 请求采样

    使用日志记录、指标和采样,以监控保护包(web ACL)规则与 web 流量的交互情况。

    • 日志记录:您可以配置 Amazon WAF,以记录保护包(web ACL)评估的 web 请求。您可以将日志发送到 CloudWatch 日志、Amazon S3 存储桶或 Amazon Data Firehose 传输流。您可以编辑字段并应用筛选。有关更多信息,请参阅 Amazon WAF 保护包(web ACL)流量日志记录

    • Amazon Security Lake:可以配置 Security Lake 来收集保护包(web ACL)数据。Security Lake 会从各种来源收集日志和事件数据进行标准化、分析和管理。有关此选项的信息,请参阅《Amazon Security Lake 用户指南》中的什么是 Amazon Security Lake 以及从 Amazon 服务中收集数据

    • Amazon CloudWatch 指标:在您的保护包(web ACL)配置中,提供您要监控的所有内容的指标规范。您可以通过 Amazon WAF 和 CloudWatch 控制台查看指标。有关更多信息,请参阅 使用 Amazon CloudWatch 监控

    • web 请求采样:您可以查看保护包(web ACL)评估的所有 Web 请求示例。有关 web 请求采样的信息,请参阅 查看 web 请求示例

  2. 将保护设置为 Count 模式

    在保护包(web ACL)配置中,将要测试的任何内容切换到计数模式。这会使测试保护在不改变请求处理方式的情况下记录与 web 请求的匹配情况。您将能够在指标、日志和采样请求中看到匹配项,以验证匹配条件并了解可能对您的 web 流量产生的影响。无论规则操作如何,向匹配请求添加标签的规则都将添加标签。

    • 保护包(web ACL)中定义的规则:编辑保护包(web ACL)中的规则,并将其操作设置为 Count。

    • 规则组:在 保护包(web ACL)配置中,编辑规则组的规则语句,然后在规则窗格中打开覆盖所有规则操作下拉列表,并选择 Count。如果您以 JSON 格式管理保护包(web ACL),请将规则添加到规则组参考语句的 RuleActionOverrides 设置中,ActionToUse 设置为 Count。以下示例列表显示了 AWSManagedRulesAnonymousIpList Amazon 托管规则的规则组中两个规则的覆盖。

        "ManagedRuleGroupStatement": {
    "VendorName": "AWS",
    "Name": "AWSManagedRulesAnonymousIpList",
      "RuleActionOverrides": [
        {
          "ActionToUse": {
            "Count": {}
          },
          "Name": "AnonymousIPList"
        },
        {
          "ActionToUse": {
            "Count": {}
          },
          "Name": "HostingProviderIPList"
        }
      ],
      "ExcludedRules": []
    }
  },

      有关规则操作覆盖的更多信息,请参阅 覆盖规则组的规则操作

      对于您自己的规则组,请勿修改规则组本身中的规则操作。带有 Count 操作的规则组规则不会生成测试所需的指标或其他工件。此外,更改规则组会影响使用该规则组的所有保护包(web ACL),而保护包(web ACL)配置内部的更改仅影响单个保护包(web ACL)。

    • 保护包(web ACL):如果您正在测试新的保护包(web ACL),请将保护包(web ACL)的默认操作设置为允许请求。这使您可以试用 web ACL,而不会以任何方式影响流量。

    通常,计数模式生成的匹配项多于生产模式。这是因为计算请求数的规则不会阻止保护包(web ACL)对请求的评估,因此稍后在保护包(web ACL)中运行的规则也可能与请求匹配。当您将规则操作更改为生产设置时,允许或阻止请求的规则将终止对它们匹配的请求的评估。因此,通常会由保护包(web ACL)中较少的规则来检查匹配的请求。有关规则操作对 web 请求总体评估的效果的更多信息,请参阅 在 Amazon WAF 中使用规则操作

    使用这些设置,您的新保护不会改变 web 流量,但会在指标、保护包(web ACL)日志和请求样本中生成匹配信息。

  3. 将保护包(web ACL)与资源关联

    如果保护包(web ACL)尚未与资源关联,请将其关联。

    请参阅 将保护与 Amazon 资源关联或取消关联

您现在可以监控和调整保护包(web ACL)。