步骤 4:创建并应用 AWS Firewall ManagerAWS WAF Classic 策略 - AWS WAF、AWS Firewall Manager 和 AWS Shield Advanced

步骤 4:创建并应用 AWS Firewall ManagerAWS WAF Classic 策略

警告

AWS WAF Classic 支持将于 2025 年 9 月 30 日结束。

注意

这是 AWS WAF Classic 文档。仅当 2019 年 11 月之前在 AWS WAF 中创建了 AWS WAF 资源(例如规则和 Web ACL),但尚未将这些资源迁移到最新版本时,才应使用此版本。要迁移您的 Web ACL,请参阅 将 AWS WAF Classic 资源迁移到 AWS WAF

有关 AWS WAF 的最新版本,请参阅 AWS WAF

在创建规则组后,您将创建 AWS Firewall Manager AWS WAF 策略。Firewall Manager AWS WAF 策略包含您要应用于资源的规则组。

创建 Firewall Manager AWS WAF 策略(控制台)

  1. 在您创建规则组(上一个过程步骤 3:创建规则组中的最后一步)后,控制台会显示 规则组摘要 页面。选择下一步

  2. 对于 名称,输入一个易于理解的名称。

  3. 对于 策略类型,选择 WAF

  4. 对于区域,选择一个 AWS 区域。要保护 Amazon CloudFront 资源,请选择全局

    为了保护多个区域中的资源(而不是 CloudFront 资源),您必须为每个区域创建单独的 Firewall Manager 策略。

  5. 选择要添加的规则组,然后选择 添加规则组

  6. 一个策略有两个可能的操作:由规则组设置的操作计数。如果您要测试策略和规则组,请将操作设置为 计数。此操作会覆盖该策略中包含的规则组指定的任何阻止 操作。即,如果将策略的操作设置为 计数,则只会对这些请求进行计数而不会阻止它们。相反,如果将策略的操作设置为 由规则组设置的操作,则会使用该策略中规则组的操作。在本教程中,请选择 计数

  7. 选择下一步

  8. 如果您希望仅在策略中包含特定账户,或者仅从策略中排除特定账户,请选择 选择要在此策略中包含/排除的账户 (可选)。选择 仅在此策略中包含这些账户仅从此策略中排除这些账户。您只能选择一个选项。选择 添加。选择要包含或排除的账号,然后选择 确定

    注意

    如果您不选择此选项,Firewall Manager 在 AWS Organizations 中将策略应用于您组织中的所有账户。如果您将新账户添加到组织,Firewall Manager 会将该策略自动应用于该账户。

  9. 选择要保护的资源的类型。

  10. 如果您只想保护带特定标签的资源,或者排除带特定标签的资源,请选择 使用标签来包含/排除资源,输入标签,然后选择 包含排除。您只能选择一个选项。

    如果您输入了多个标签 (以逗号分隔),并且某个资源带有任一这些标签,则会将该资源视为匹配项。

    有关标签的更多信息,请参阅使用标签编辑器

  11. 选择 创建此策略并将其应用于现有资源和新资源

    此选项在 AWS Organizations 中为组织内的每个适用账户创建一个 Web ACL,并将 Web ACL 与账户中的指定资源关联。此选项还将策略应用于符合上述条件 (资源类型和标签) 的所有新资源。或者,如果您选择创建策略但不将策略应用于现有资源或新资源,则 Firewall Manager 会在组织内的每个适用账户中创建一个 Web ACL,但不会将 Web ACL 应用于任何资源。您稍后必须将策略应用于资源。

  12. 在默认设置中保留对 替换现有关联 Web ACL 的选择。

    选择此选项后,Firewall Manager 会从范围内资源中删除所有现有 Web ACL 关联,然后再将新策略的 Web ACL 与资源关联。

  13. 选择下一步

  14. 查看新策略。要进行任何更改,请选择 编辑。若您满意所创建的策略,请选择 创建策略