创建规则并添加条件
警告
AWS WAF Classic 支持将于 2025 年 9 月 30 日结束。
注意
这是 AWS WAF Classic 文档。仅当 2019 年 11 月之前在 AWS WAF 中创建了 AWS WAF 资源(例如规则和 Web ACL),但尚未将这些资源迁移到最新版本时,才应使用此版本。要迁移您的 Web ACL,请参阅 将 AWS WAF Classic 资源迁移到 AWS WAF。
有关 AWS WAF 的最新版本,请参阅 AWS WAF。
如果您将多个条件添加到一个规则,则 Web 请求必须匹配所有条件,AWS WAF Classic 才会基于该规则允许或阻止请求。
创建规则并添加条件
登录 AWS Management Console,然后打开 AWS WAF 控制台,网址为:https://console.aws.amazon.com/wafv2/
。 如果您在导航窗格中看到切换到 AWS WAF Classic,请将其选中。
在导航窗格中,选择规则。
选择 创建规则。
输入以下值:
- 名称
输入名称。
- CloudWatch 指标名称
为 AWS WAF Classic 将创建并与规则关联的 CloudWatch 指标输入名称。该名称只能包含字母数字字符(A-Z、a-z、0-9),最大长度为 128 和最小长度为 1。它不能包含空格或为 AWS WAF Classic 预留的指标名称,包括“All”和“Default_Action”。
- Rule type
选择
Regular rule或Rate–based rule。基于速率的规则与常规规则基本相同,但还考虑到任何五分钟时段来自标识的 IP 地址的请求数。有关这些规则类型的详细信息,请参阅 AWS WAF Classic 的工作原理。- 速率限制
-
对于基于速率的规则,请输入与规则条件匹配的 IP 地址在任何五分钟内允许的最大请求数。速率限制必须至少为 100。
您可以单独指定速率限制,也可以指定速率限制和条件。如果您仅指定速率限制,AWS WAF 会对所有 IP 地址设置限制。如果您指定速率限制和条件,AWS WAF 会对与条件匹配的 IP 地址设置限制。
当 IP 地址达到速率限制阈值时,AWS WAF 会尽快应用指定的操作(阻止或计数),通常在 30 秒内。一旦操作到位,如果五分钟没有来自 IP 地址的请求,则 AWS WAF 会将计数器重置为零。
要将条件添加到规则,请指定以下值:
- When a request does/does not
如果 AWS WAF Classic 应基于条件中的筛选条件允许或阻止请求,请选择是。例如,如果 IP 匹配条件包含 IP 地址范围 192.0.2.0/24 并且 AWS WAF Classic 应允许或阻止来自这些 IP 地址的请求,请选择是。
如果 AWS WAF Classic 应基于条件中的筛选器的反向条件允许或阻止请求,请选择不。例如,如果 IP 匹配条件包含 IP 地址范围 192.0.2.0/24 并且希望 AWS WAF Classic 允许或阻止不是来自这些 IP 地址的请求,请选择 不。
- match/originate from
选择要添加到规则的条件的类型:
跨站点脚本匹配条件:选择在跨站点脚本匹配条件中匹配至少一个筛选条件
IP 匹配条件:选择源自 IP 地址
地理匹配条件:选择源自地理位置
大小约束条件:选择在大小约束条件中匹配至少一个筛选条件
SQL 注入匹配条件:选择在 SQL 注入匹配条件中匹配至少一个筛选条件
字符串匹配条件:选择在字符串匹配条件中匹配至少一个筛选条件
正则表达式匹配条件:选择(在正则表达式匹配条件中匹配至少一个筛选条件
- condition name
选择要添加到规则的条件。列表仅显示在上一步选择的类型的条件。
要将另一个条件添加到规则中,请选择 添加另一个条件,然后重复步骤 4 和 5。请注意以下几点:
如果您添加多个条件,则 Web 请求必须与每个条件中的至少一个筛选条件匹配,AWS WAF Classic 才会基于该规则允许或阻止请求
如果您将两个 IP 匹配条件添加到同一个规则,则 AWS WAF Classic 只允许或阻止源自在两个 IP 匹配条件中同时出现的 IP 地址的请求
添加完条件后,选择 创建。
