为测试 Amazon WAF 防护做好准备 - Amazon WAF、 Amazon Firewall ManagerAmazon Shield Advanced、和 Amazon Shield 网络安全总监
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

引入全新的主机体验 Amazon WAF

现在,您可以使用更新的体验访问控制台中任意位置的 Amazon WAF 功能。有关更多详细信息,请参阅 使用更新的主机体验

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

为测试 Amazon WAF 防护做好准备

本节介绍如何进行设置以测试和调整 Amazon WAF 保护措施。

注意

要遵循本节中的指导,您需要大致了解如何创建和管理 Amazon WAF 保护,例如保护包或网络 ACLs、规则和规则组。本指南前面部分将介绍该信息。

准备测试
  1. 为保护包或网页 ACL 启用保护包或网页 ACL 日志记录、Amazon CloudWatch 指标和网络请求采样

    使用日志记录、指标和采样来监控保护包或 Web ACL 规则与您的 Web 流量的交互情况。

    • 日志记录-您可以配置 Amazon WAF 为记录保护包或 Web ACL 评估的 Web 请求。您可以将日志发送到日 CloudWatch 志、亚马逊 S3 存储桶或 Amazon Data Firehose 传输流。您可以编辑字段并应用筛选。有关更多信息,请参阅 记录 Amazon WAF 保护包或 Web ACL 流量

    • Amazon Secur ity Lake — 您可以将安全湖配置为收集保护包或 Web ACL 数据。Security Lake 会从各种来源收集日志和事件数据进行标准化、分析和管理。有关此选项的信息,请参阅什么是 Amazon Security Lake? 以及 Amazon Security Lake 用户指南中的从 Amazon 服务中收集数据

    • Amazon CloudWatch 指标 — 在您的保护包或 Web ACL 配置中,提供您要监控的所有内容的指标规范。您可以通过 Amazon WAF 和 CloudWatch控制台查看指标。有关更多信息,请参阅 使用 Amazon 进行监控 CloudWatch

    • Web 请求采样 — 您可以查看您的保护包或 Web ACL 评估的所有 Web 请求的示例。有关 Web 请求采样的信息,请参阅 查看 Web 请求示例

  2. 将保护设置为 Count 模式

    在保护包或 Web ACL 配置中,将要测试的任何内容切换到计数模式。这会使测试保护在不改变请求处理方式的情况下记录与 Web 请求的匹配情况。您将能够在指标、日志和采样请求中看到匹配项,以验证匹配条件并了解可能对您的 Web 流量产生的影响。无论规则操作如何,向匹配请求添加标签的规则都将添加标签。

    • 在保护包或 Web ACL 中定义的规则-编辑保护包或 Web ACL 中的规则并将其操作设置为Count。

    • 规则组-在保护包或 Web ACL 配置中,编辑规则组的规则语句,然后在 “规则” 窗格中打开 “覆盖所有规则操作” 下拉列表并选择Count。如果您以 JSON 格式管理保护包或 Web ACL,请将规则添加到规则组参考语句的RuleActionOverrides设置中,ActionToUse设置为Count。以下示例列表显示了 “AWSManagedRulesAnonymousIpList Amazon 托管规则” 规则组中两个规则的替代。

        "ManagedRuleGroupStatement": {
    "VendorName": "AWS",
    "Name": "AWSManagedRulesAnonymousIpList",
      "RuleActionOverrides": [
        {
          "ActionToUse": {
            "Count": {}
          },
          "Name": "AnonymousIPList"
        },
        {
          "ActionToUse": {
            "Count": {}
          },
          "Name": "HostingProviderIPList"
        }
      ],
      "ExcludedRules": []
    }
  },

      有关规则操作覆盖的更多信息,请参阅 覆盖规则组的规则操作

      对于您自己的规则组,请勿修改规则组本身中的规则操作。带有 Count 操作的规则组规则不会生成测试所需的指标或其他工件。此外,更改规则组会影响使用 ACLs 该规则组的所有保护包或 Web ACL,而保护包或 Web ACL 配置内部的更改仅影响单个保护包或 Web ACL。

    • 保护包或 Web ACL-如果您正在测试新的保护包或 Web ACL,请将保护包或 Web ACL 的默认操作设置为允许请求。这使您可以试用 Web ACL,而不会以任何方式影响流量。

    通常,计数模式生成的匹配项多于生产模式。这是因为计算请求数的规则不会阻止保护包或 Web ACL 对请求的评估,因此稍后在保护包或 Web ACL 中运行的规则也可能与请求匹配。当您将规则操作更改为生产设置时,允许或阻止请求的规则将终止对它们匹配的请求的评估。因此,通常会由保护包或 Web ACL 中较少的规则检查匹配的请求。有关规则操作对 Web 请求总体评估的效果的更多信息,请参阅 在中使用规则操作 Amazon WAF

    使用这些设置,您的新保护不会改变网络流量,但会在指标、保护包或 Web ACL 日志中生成匹配信息,并请求示例。

  3. 将保护包或 Web ACL 与资源关联

    如果保护包或 Web ACL 尚未与资源关联,请将其关联。

    请参阅将保护与资源关联或取消关联 Amazon

现在,您可以监控和调整您的保护包或 Web ACL 了。