本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
本节提供 ACLs 通过 AWS 控制台创建 Web 的过程。
要创建新的 Web ACL,请按照本页上的步骤使用 Web ACL 创建向导。
生产流量风险
在 Web ACL 中为生产流量部署更改之前,请在暂存或测试环境中对其进行测试和调整,直到您对流量可能产生的影响感到满意。然后,在启用之前,在计数模式下使用生产流量对更新后的规则进行测试和调整。有关指南,请参阅测试和调整您的 AWS WAF 保护措施。
注意
在 Web ACL WCUs 中使用超过 1,500 的容量会产生超出基本网络 ACL 价格的成本。有关更多信息,请参阅 Web ACL 容量单位 (WCUs) AWS WAF 和 AWS WAF 定价
创建 Web ACL
登录 AWS Management Console 并打开 AWS WAF 控制台,网址为https://console.aws.amazon.com/wafv2/
。 -
在导航窗格 ACLs中选择 Web,然后选择创建 Web ACL。
-
对于 名称,输入要用于标识此 Web ACL 的名称。
注意
Web ACL 在创建之后无法更改名称。
-
(可选)对于 描述 - 可选,如果需要,请输入 Web ACL 的较长描述。
-
对于 CloudWatch metric name (CloudWatch 指标名称),更改默认名称(如果适用)。按照控制台上的指导进行有效字符操作。名称不能包含为其保留的特殊字符、空格或指标名称 AWS WAF,包括 “全部” 和 “Default_Action”。
注意
创建 Web ACL 后,您无法更改 CloudWatch 指标名称。
-
在 “资源类型” 下,选择要与此 Web ACL 关联的 AWS 资源类别,即 Amazon CloudFront 分配或区域资源。有关更多信息,请参阅 将 Web ACL 与资源关联或取消关联 AWS。
-
对于区域,如果您选择了区域资源类型,请选择 AWS WAF 要存储 Web ACL 的区域。
您只需要为区域资源类型选择此选项。对于 CloudFront 分发,对于全球 () 应用程序,区域被硬编码为美国东部(弗吉尼亚北部CloudFront)区域。
us-east-1 -
(CloudFront、API Gateway、Amazon Cognito、App Runner 和已验证访问权限)对于 Web 请求检查大小限制-可选,如果您想指定不同的身体检查大小限制,请选择该限制。如果检查正文大小是否超过默认值 16 KB,可能会产生额外费用。有关此选项的更多信息,请参阅管理车身检查的大小限制 AWS WAF。
-
(可选)对于关联 AWS 资源-可选,如果您想立即指定资源,请选择添加 AWS 资源。在对话框中,选择要关联的资源,然后选择添加。 AWS WAF 返回到描述 Web ACL 和关联 AWS 资源页面。
-
选择下一步。
-
(可选)如果要添加托管规则组,请在 添加规则和规则组 页面上,选择 添加规则,然后选择 添加托管规则组。对要添加的每个托管规则组执行以下操作:
-
在添加托管规则组页面上,展开 AWS 托管规则组或您选择的 AWS Marketplace 卖家的列表。
-
对于要添加的规则组,在操作列中,打开添加到 Web ACL切换选项。
要自定义 Web ACL 使用规则组的方式,请选择编辑。以下是常见的自定义设置:
-
覆盖部分或全部规则的规则操作。如果您没有为规则定义覆盖操作,则评估将使用规则组中定义的规则操作。有关此选项的更多信息,请参阅覆盖中的规则组操作 AWS WAF。
-
通过添加范围缩小语句,缩小规则组检查的 Web 请求的范围。有关此选项的更多信息,请参阅在中使用范围缩小语句 AWS WAF。
-
某些托管规则组要求您提供其他配置。请参阅您的托管规则组提供程序所提供的文档。有关 AWS 托管规则组的特定信息,请参阅AWS 的托管规则 AWS WAF。
完成设置后,选择保存规则。
-
选择 添加规则 以完成托管规则的添加,然后返回 添加规则和规则组 页面。
注意
如果您向 Web ACL 添加多个规则,则 AWS WAF 会按照 Web ACL 中列出的顺序对这些规则进行评估。有关更多信息,请参阅 使用 ACLs 带有规则和规则组的 Web AWS WAF。
-
-
(可选)如果要添加您自己的托管规则组,请在 添加规则和规则组 页面上,选择 添加规则,然后选择 添加我自己的规则和规则组。对要添加的每个规则组执行以下操作:
-
在 添加我自己的规则和规则组 页面上,选择 规则组。
-
在名称中,输入要用于此 Web ACL 中的规则组规则的名称。不要使用以
AWS、Shield、PreFM或PostFM开头的名称。这些字符串要么是保留字符串,要么可能与其他服务所管理的规则组混淆。请参阅 识别其他服务提供的规则组。 -
从列表中选择您的规则组。
注意
如果您要覆盖自己的规则组的规则操作,请先将其保存到 Web ACL 中,然后在 Web ACL 的规则列表中编辑 Web ACL 和规则组参考语句。您可以将规则操作改写为任何有效的操作设置,这与托管规则组的操作相同。
-
选择 添加规则。
-
-
(可选)如果要添加您自己的规则,请在 添加规则和规则组 页面上,依次选择 添加规则、添加我自己的规则和规则组、规则生成器,然后选择 规则可视化编辑器。
注意
控制台 规则可视化编辑器 支持一个嵌套级别。例如,您可以使用单个逻辑
AND或OR语句,并在其中嵌套一个级别的其他语句,但不能在逻辑语句中嵌套逻辑语句。要管理更复杂的规则语句,请使用 规则 JSON 编辑器。有关规则的所有选项的信息,请参阅 AWS WAF 规则。此过程涵盖 规则可视化编辑器。
-
对于 名称,输入要用于标识此规则的名称。不要使用以
AWS、Shield、PreFM或PostFM开头的名称。这些字符串要么是保留字符串,要么可能与其他服务所管理的规则组混淆。 -
根据您的需求输入您的规则定义。您可以在逻辑
AND和OR规则语句中组合规则。该向导将根据上下文指导您学习每个规则的选项。有关规则选项的信息,请参阅 AWS WAF 规则。 -
对于 操作,选择您希望规则在与 Web 请求匹配时执行的操作。有关您的选择的信息,请参阅 在中使用规则操作 AWS WAF和 使用 ACLs 带有规则和规则组的 Web AWS WAF。
如果您正在使用 CAPTCHA 或 Challenge操作,根据规则的需要调整免疫时间配置。如果您未指定设置,则规则将从 Web ACL 继承设置。要修改 Web ACL 免疫时间设置,请在创建 Web ACL 后对其进行编辑。有关免疫时间的更多信息,请参阅 将时间戳到期时间和令牌免疫时间设置为 AWS WAF。
注意
当您使用时,您需要支付额外费用 CAPTCHA 或 Challenge 在您的一个规则中执行规则操作或在规则组中作为规则操作覆盖。有关更多信息,请参阅AWS WAF 定价
。 如果您想自定义请求或响应,请选择相应选项并填写自定义的详细信息。有关更多信息,请参阅 AWS WAF中的自定义 Web 请求和响应。
如果您想让您的规则为匹配的 Web 请求添加标签,请选择相应选项并填写标签详细信息。有关更多信息,请参阅 在 Web 请求中添加标签 AWS WAF。
-
选择 添加规则。
-
-
选择 Web ACL 的默认操作 Block 或 Allow。 当 Web ACL 中的规则未明确允许或阻止请求时,这是对请求采取的操作。 AWS WAF 有关更多信息,请参阅 在中设置 Web ACL 的默认操作 AWS WAF。
如果您想自定义默认操作,请选择相应选项并填写自定义的详细信息。有关更多信息,请参阅 AWS WAF中的自定义 Web 请求和响应。
-
您可以定义令牌域列表,以便在受保护的应用程序之间实现令牌共享。代币由 CAPTCHA 以及 Challenge 操作以及您在使用 AWS 托管规则组进行 AWS WAF 欺诈控制账户创建欺诈 (ACFP)、 AWS WAF 欺诈控制账户接管预防 (ATP) 和 AWS WAF 机器人控制时实施的应用程序集成 SDKs 。
不允许使用公共后缀。例如,您不能使用
gov.au或co.uk作为令牌域。默认情况下,仅 AWS WAF 接受受保护资源域的令牌。如果您在此列表中添加令牌域,则 AWS WAF 接受列表中所有域和关联资源域的令牌。有关更多信息,请参阅 AWS WAF Web ACL 令牌域列表配置。
-
选择下一步。
-
在 “设置规则优先级” 页面中,选择您的规则和规则组,然后按照您想要的顺序 AWS WAF 进行处理。 AWS WAF 从列表顶部开始处理规则。保存 Web ACL 时, AWS WAF 会按照规则的列出顺序为规则分配数字优先级设置。有关更多信息,请参阅 在 Web ACL 中设置规则优先级。
-
选择下一步。
-
在配置指标页面中,查看选项并应用所需的任何更新。您可以通过为多个来源提供相同的CloudWatch 指标名称来合并这些指标。
-
选择下一步。
-
在 审核和创建 Web ACL 页面中,检查您的定义。如果要更改任何区域,请为该区域选择 Edit (编辑)。这将使您返回到 Web ACL 向导中的页面。进行任何更改,然后在后续页面中选择 下一步,直到您返回 审核和创建 Web ACL 页面。
-
选择 创建 Web ACL。您的新 Web ACL 已在 ACLs网页中列出。
