**引入全新的主机体验 AWS WAF**
现在,您可以使用更新的体验访问控制台中任意位置的 AWS WAF 功能。有关更多详细信息,请参阅[使用控制台](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html)。
本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 测试和调整您的 AWS WAF 保护措施
本节提供测试和调整 AWS WAF 保护包 (Web ACLs)、规则、规则组、IP 集和正则表达式模式集的指导。
我们建议您先测试和调整对 AWS WAF 保护包 (Web ACL) 所做的任何更改,然后再将其应用于您的网站或 Web 应用程序流量。
**生产流量风险**
在为生产流量部署保护包(web ACL)实施之前,请在暂存或测试环境中对其进行测试和调整,直到您对流量可能产生的影响感到满意。然后,在启用之前,在计数模式下使用生产流量对规则进行测试和调整。
本节还为测试您使用由其他人管理的规则组提供了一般指导。其中包括 AWS 托管规则规则组、 AWS Marketplace 托管规则组以及其他账户与您共享的规则组。对于这些规则组,还要遵循规则组提供程序提供的任何指导。
+ 有关机器人控制 AWS 托管规则组的信息,另请参阅[测试和部署 AWS WAF 机器人控制](waf-bot-control-deploying.md)。
+ 有关账户盗用防护 AWS 托管规则组的信息,另请参阅[测试和部署 ATP](waf-atp-deploying.md)。
+ 有关账户创建防欺诈 AWS 托管规则组的信息,另请参阅[测试和部署 ACFP](waf-acfp-deploying.md)。
**更新期间暂时出现不一致**
创建或更改保护包 (Web ACL) 或其他 AWS WAF 资源时,更改需要很少的时间才能传播到存储资源的所有区域。传播时间可以从几秒钟到几分钟不等。
以下示例是更改传播过程中可能暂时出现的不一致:
+ 创建保护包(web ACL)后,如果您尝试将其与资源关联,则可能会出现异常,指示保护包(web ACL)不可用。
+ 将规则组添加到保护包(web ACL)后,新的规则组规则可能在某个使用保护包(web ACL)的区域生效,而在另一个区域不生效。
+ 更改规则操作设置后,可能会在某些位置显示旧操作而在另一些位置显示新操作。
+ 将 IP 地址添加到阻止规则中使用的 IP 集后,新地址可能会在一个区域中被阻止,而在另一个区域中仍然允许。
# 测试和调整高级步骤
本节提供了测试 web ACL 更改的步骤列表,包括其使用的任何规则或规则组。
**注意**
要按照本节中的指导进行操作,您需要了解如何创建和管理 AWS WAF 保护包 (Web ACLs)、规则和规则组。本指南前面部分将介绍该信息。
**测试和调整您的保护包(web ACL)**
首先在测试环境中执行这些步骤,然后在生产环境中执行这些步骤。
1.
**准备测试**
准备好监控环境,将新 AWS WAF 保护切换到计数模式进行测试,并创建所需的任何资源关联。
请参阅[为测试您的 AWS WAF 防护做好准备](web-acl-testing-prep.md)。
1.
**在测试和生产环境中进行监控和调整**
首先在测试或暂存环境中监控和调整您的 AWS WAF 保护措施,然后在生产环境中监控和调整您的保护措施,直到您确信它们可以根据需要处理流量。
请参阅[监控和调整您的 AWS WAF 保护措施](web-acl-testing-activities.md)。
1.
**在生产环境中启用保护功能**
当您对测试保护感到满意时,请将其切换到生产模式,清理所有不必要的测试工件,然后继续监控。
请参阅[在生产环境中启用保护](web-acl-testing-enable-production.md)。
完成变更实施后,请继续监控生产环境中的 web 流量和保护,以确保它们按您想要的方式运行。Web 流量模式可能会随着时间的推移而发生变化,因此您可能需要偶尔调整保护。
# 为测试您的 AWS WAF 防护做好准备
本节介绍如何进行设置以测试和调整 AWS WAF 保护措施。
**注意**
要遵循本节中的指导,您需要大致了解如何创建和管理 AWS WAF 保护包 (Web ACLs)、规则和规则组。本指南前面部分将介绍该信息。
**准备测试**
1.
**为保护包 (Web ACL) 启用保护包 (Web ACL) 日志、Amazon CloudWatch 指标和网络请求采样 (Web ACL)**
使用日志记录、指标和采样,以监控保护包(web ACL)规则与 web 流量的交互情况。
+ **日志记录**-您可以配置 AWS WAF 为记录保护包 (Web ACL) 评估的 Web 请求。您可以将日志发送到日 CloudWatch 志、亚马逊 S3 存储桶或 Amazon Data Firehose 传输流。您可以编辑字段并应用筛选。有关更多信息,请参阅 [记录 AWS WAF 保护包 (Web ACL) 流量](logging.md)。
+ **Amazon Security Lake**:可以配置 Security Lake 来收集保护包(web ACL)数据。Security Lake 会从各种 来源收集日志和事件数据进行标准化、分析和管理。有关此选项的信息,请参阅[什么是 Amazon Security Lake?](https://docs.aws.amazon.com/security-lake/latest/userguide/what-is-security-lake.html) 以及 *Amazon Security Lake 用户指南*中的[从 AWS 服务中收集数据](https://docs.aws.amazon.com/security-lake/latest/userguide/internal-sources.html)。
+ **Amazon CloudWatch 指标** — 在您的保护包 (Web ACL) 配置中,提供您要监控的所有内容的指标规范。您可以通过 AWS WAF 和 CloudWatch控制台查看指标。有关更多信息,请参阅 [使用 Amazon 进行监控 CloudWatch](monitoring-cloudwatch.md)。
+ **web 请求采样**:您可以查看保护包(web ACL)评估的所有 Web 请求示例。有关 web 请求采样的信息,请参阅 [查看 web 请求示例](web-acl-testing-view-sample.md)。
1.
**将保护设置为 Count 模式**
在保护包(web ACL)配置中,将要测试的任何内容切换到计数模式。这会使测试保护在不改变请求处理方式的情况下记录与 web 请求的匹配情况。您将能够在指标、日志和采样请求中看到匹配项,以验证匹配条件并了解可能对您的 web 流量产生的影响。无论规则操作如何,向匹配请求添加标签的规则都将添加标签。
+ **保护包(web ACL)中定义的规则**:编辑保护包(web ACL)中的规则,并将其操作设置为 Count。
+ **规则组**:在 保护包(web ACL)配置中,编辑规则组的规则语句,然后在**规则**窗格中打开**覆盖所有规则操作**下拉列表,并选择 **Count**。如果您以 JSON 格式管理保护包(web ACL),请将规则添加到规则组参考语句的 `RuleActionOverrides` 设置中,`ActionToUse` 设置为 Count。以下示例列表显示了 “`AWSManagedRulesAnonymousIpList` AWS 托管规则” 规则组中两个规则的替代。
```
"ManagedRuleGroupStatement": {
"VendorName": "AWS",
"Name": "AWSManagedRulesAnonymousIpList",
"RuleActionOverrides": [
{
"ActionToUse": {
"Count": {}
},
"Name": "AnonymousIPList"
},
{
"ActionToUse": {
"Count": {}
},
"Name": "HostingProviderIPList"
}
],
"ExcludedRules": []
}
},
```
有关规则操作覆盖的更多信息,请参阅 [覆盖规则组的规则操作](web-acl-rule-group-settings.md#web-acl-rule-group-rule-action-override)。
对于您自己的规则组,请勿修改规则组本身中的规则操作。带有 Count 操作的规则组规则不会生成测试所需的指标或其他工件。此外,更改规则组会影响使用该规则组的所有保护包 (Web ACLs),而保护包 (Web ACL) 配置中的更改仅影响单个保护包 (Web ACL)。
+ **保护包(web ACL)**:如果您正在测试新的保护包(web ACL),请将保护包(web ACL)的默认操作设置为允许请求。这使您可以试用 web ACL,而不会以任何方式影响流量。
通常,计数模式生成的匹配项多于生产模式。这是因为计算请求数的规则不会阻止保护包(web ACL)对请求的评估,因此稍后在保护包(web ACL)中运行的规则也可能与请求匹配。当您将规则操作更改为生产设置时,允许或阻止请求的规则将终止对它们匹配的请求的评估。因此,通常会由保护包(web ACL)中较少的规则来检查匹配的请求。有关规则操作对 web 请求总体评估的效果的更多信息,请参阅 [在中使用规则操作 AWS WAF](waf-rule-action.md)。
使用这些设置,您的新保护不会改变 web 流量,但会在指标、保护包(web ACL)日志和请求样本中生成匹配信息。
1.
**将保护包(web ACL)与资源关联**
如果保护包(web ACL)尚未与资源关联,请将其关联。
请参阅[将保护与资源关联或取消关联 AWS](web-acl-associating-aws-resource.md)。
您现在可以监控和调整保护包(web ACL)。
# 监控和调整您的 AWS WAF 保护措施
监控和调整您的 AWS WAF 保护措施。
**注意**
要遵循本节中的指导,您需要大致了解如何创建和管理 AWS WAF 保护包 (Web ACLs)、规则和规则组。本指南前面部分将介绍该信息。
监控 web 流量和规则匹配以验证保护包(web ACL)的行为。如果您发现问题,请调整规则以进行更正,然后进行监控以验证调整。
重复以下步骤,直到保护包(web ACL)根据需要管理您的 web 流量。
**监控和调整**
1.
**监控流量和规则匹配情况**
确保流量畅通,并且您的测试规则正在找到匹配的请求。
请查看以下信息,了解您正在测试的保护:
+ **日志**:访问与 web 请求匹配的规则的相关信息:
+ **您的规则**:保护包(web ACL)中具有 Count 操作的规则列在 `nonTerminatingMatchingRules` 下。带有 Allow 或 Block 的规则列为 `terminatingRule`. 根据规则匹配的结果,带有 CAPTCHA 或 Challenge 的规则可以是终止的,也可以是非终止的,因此列在两个类别之一下。
+ **规则组**:在 `ruleGroupId` 字段中标识规则组,其规则匹配的分类与独立规则的分类相同。
+ **标签**:`Labels` 字段中列出了规则已应用于请求的标签。
有关更多信息,请参阅 [保护包(web ACL)流量的日志字段](logging-fields.md)。
+ **Amazon CloudWatch 指标** — 您可以访问保护包 (Web ACL) 请求评估的以下指标。
+ **您的规则**:指标按照规则操作进行分组。例如,如果在 Count 模式下测试规则,则其匹配项列为保护包(web ACL)的 `Count` 指标。
+ **您的规则组**:您的规则组指标列在规则组指标下。
+ **其他账户拥有的规则组**:规则组指标通常只有规则组的所有者可见。但是,如果覆盖了某个规则的规则操作,则该规则的指标将列示在保护包(web ACL)指标下。此外,任何规则组添加的标签都会列示在您的保护包(web ACL)指标中
规则组中的计数操作规则不会发出 Web ACL 维度指标, RuleGroup仅发出 “规则” 和 “区域” 维度。即使在 Web ACL 中引用了规则组,这也适用。
此类别中的规则组 [AWS 的托管规则 AWS WAF](aws-managed-rule-groups.md)、[AWS Marketplace 规则组](marketplace-rule-groups.md)、[识别其他服务提供的规则组](waf-service-owned-rule-groups.md) 以及其他账户与您共享的规则组。通过 Firewall Manager 部署保护包(web ACL)时,WebACL 中使用计数操作的任何规则均不会在成员账户中显示其指标。
+ **标签**:评估期间添加到 web 请求的标签列在保护包(web ACL)的标签指标中。您可以访问所有标签的指标,无论这些指标是由您的规则和规则组添加的,还是由其他账户拥有的规则添加的。
有关更多信息,请参阅 [查看 web ACL 的指标](web-acl-testing-view-metrics.md)。
+ **保护包 (Web ACL) 流量概述仪表板** — 访问 AWS WAF 控制台中的保护包 (Web ACL) 页面并打开 “流量**概述” 选项卡,即可访问保护包 (Web ACL) 已评估的 Web 流量**摘要。
流量概述控制面板提供了在评估您的应用程序网络流量时 AWS WAF 收集的 Amazon CloudWatch 指标的近乎实时的摘要。
有关更多信息,请参阅 [保护包的流量概述仪表板 (Web ACLs)](web-acl-dashboards.md)。
+ **采样的 web 请求**:访问与 web 请求样本相匹配的规则的信息。示例信息通过保护包(web ACL)中规则的指标名称来标识匹配的规则。对于规则组,该指标标识规则组参考语句。对于规则组内的规则,该示例在中列出了匹配的规则名称 `RuleWithinRuleGroup`。
有关更多信息,请参阅 [查看 web 请求示例](web-acl-testing-view-sample.md)。
1.
**配置缓解以解决误报**
如果您确定某条规则正在生成误报,则通过在不应该出现误报的时候匹配 web 请求,则以下选项可帮助您调整保护包(web ACL)保护以缓解误报。
**更正规则检查条件**
对于您自己的规则,您通常只需要调整用于检查 web 请求的设置即可。示例包括更改正则表达式模式集中的规范,调整在检查之前应用于请求组件的文本转换,或者切换到使用转发 IP 地址。有关导致问题的规则类型,请参阅 [在中使用规则语句 AWS WAF](waf-rule-statements.md) 下方的指南。
**更正复杂的问题**
对于您无法控制的检查条件和某些复杂的规则,您可能需要进行其他更改,例如添加明确允许或阻止请求的规则,或者通过有问题的规则将请求排除在评估范围之外的规则。托管规则组通常需要这种缓解,但其他规则也可以。示例包括基于速率的规则语句和 SQL 注入攻击规则语句。
如何减少误报,因使用案例而异。以下是常规方法:
+ **添加缓解规则**:添加一条规则,该规则在新规则之前运行,并明确允许导致误报的请求。有关 web ACL 中规则评估顺序的信息,请参阅 [设置规则优先级](web-acl-processing-order.md)。
通过这种方法,允许的请求会被发送到受保护的资源,因此它们永远不会达到新的评估规则。如果新规则是付费托管规则组,则此方法还有助于控制使用该规则组的费用。
+ **添加带有缓解规则的逻辑规则**:使用逻辑规则语句将新规则与排除误报的规则相结合。有关信息,请参阅[在中使用逻辑规则语句 AWS WAF](waf-rule-statements-logical.md)。
例如,假设您正在添加一个 SQL 注入攻击匹配语句,该语句会为某类请求生成误报。创建与这些请求相匹配的规则,然后使用逻辑规则语句组合这些规则,这样您就可以只匹配两个请求都不符合误报条件且确实符合 SQL 注入攻击条件的请求。
+ **添加范围缩小语句**:对于基于速率的语句和托管规则组引用语句,通过在主语句中添加范围向下语句,将导致误报的请求排除在评估之外。
与范围缩小语句不匹配的请求永远不会到达规则组或基于速率的评估。有关范围缩小语句的信息,请参阅 [在中使用范围缩小语句 AWS WAF](waf-rule-scope-down-statements.md)。有关示例,请参阅[从机器人管理中排除 IP 范围](waf-bot-control-example-scope-down-ip.md)。
+ **添加标签匹配规则**:对于使用标签的规则组,请确定有问题的规则应用于请求的标签。如果您尚未在计数模式下设置规则组规则,则可能需要先将规则组规则设置为计数模式。添加一个标签匹配规则,该规则位于规则组之后运行,该规则与有问题的规则所添加的标签相匹配。在标签匹配规则中,您可以筛选要允许的请求和要阻止的请求。
如果您使用这种方法,则在完成测试后,请在规则组中将有问题的规则保持在计数模式,并保留您的自定义标签匹配规则。有关标签匹配语句的信息,请参阅 [标签匹配规则语句](waf-rule-statement-type-label-match.md)。有关示例,请参阅 [允许特定的被阻止机器人](waf-bot-control-example-allow-blocked-bot.md) 和 [ATP 示例:针对缺失和被盗凭证的自定义处理](waf-atp-control-example-user-agent-exception.md)。
+ **更改托管规则组的版本**:对于版本控制的托管规则组,请更改您正在使用的版本。例如,您可以切换回已成功使用的最后一个静态版本。
这通常是临时修复。在测试或暂存环境中继续测试最新版本时,或者在等待提供程序提供更兼容的版本时,您可以更改生产流量的版本。有关托管规则组版本的信息,请参阅 [在中使用托管规则组 AWS WAF](waf-managed-rule-groups.md)。
如果您对新规则可以根据您的需要匹配请求感到满意,请进入下一阶段的测试并重复此过程。在您的生产环境中执行测试和调整的最后阶段。
# 查看 web ACL 的指标
本节介绍如何查看保护包(web ACL)的指标。
将保护包 (Web ACL) 与一个或多个 AWS 资源关联后,您可以在 Amazon CloudWatch 图表中查看关联生成的指标。
有关 AWS WAF 指标的信息,请参阅[AWS WAF 指标和维度](waf-metrics.md)。有关 CloudWatch 指标的信息,请参阅 [Amazon CloudWatch 用户指南](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/WhatIsCloudWatch.html)。
对于保护包 (Web ACL) 中的每条规则以及关联资源转发到 AWS WAF 的保护包 (Web ACL) 的所有请求, CloudWatch 您可以执行以下操作:
+ 查看前一个小时或前三个小时的数据。
+ 更改数据点之间的间隔。
+ 更改对数据 CloudWatch 执行的计算,例如最大值、最小值、平均值或总和。
**注意**
AWS WAF w CloudFront ith 是一项全球服务,只有当您在中选择**美国东部(弗吉尼亚北部)**地区时,才可使用指标 AWS 管理控制台。如果您选择其他区域,则 CloudWatch控制台中将不会显示任何 AWS WAF 指标。
**查看保护包(web ACL)中规则的数据**
1. 登录 AWS 管理控制台 并打开 CloudWatch 控制台,网址为[https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/)。
1. 如有必要,请将区域更改为 AWS 资源所在的区域。对于 CloudFront,请选择美国东部(弗吉尼亚北部)区域。
1. 在导航窗格的**指标**下,选择**所有指标**,然后在**浏览**选项卡下搜索`AWS::WAFV2`。
1. 选中要查看其数据的保护包(web ACL)对应的复选框。
1. 更改适用的设置:
**Statistic**
选择对数据 CloudWatch 执行的计算。
**时间范围**
选择您要查看前一个小时还是前三个小时的数据。
**周期**
选择图表中的数据点之间的间隔。
**Rules**
选择要查看其数据的规则。
如果您更改了规则的名称,并且希望该规则的指标名称反映更改,则还必须更新该指标名称。 AWS WAF 当您更改规则名称时,不会自动更新规则的指标名称。在控制台中编辑规则时,您可以使用规则 JSON 编辑器更改指标名称。您还可以通过 APIs 和更改用于定义保护包 (Web ACL) 或规则组的任何 JSON 列表中的名称。
注意以下几点:
+ 如果您最近将保护包 (Web ACL) 与 AWS 资源相关联,则可能需要等待几分钟,数据才会显示在图表中,保护包的指标 (Web ACL) 才会出现在可用指标列表中。
+ 如果您将多个资源与保护包(Web ACL)相关联,则 CloudWatch数据将包括对所有资源的请求。
+ 您可以将鼠标光标悬停在数据点上方,以获取更多信息。
+ 该图表不会自动自行刷新。要更新显示,请选择刷新(![\[Icon to refresh the CloudWatch graph\]](http://docs.aws.amazon.com/zh_cn/waf/latest/developerguide/images/cloudwatch-refresh-icon.png))图标。
有关 CloudWatch 指标的更多信息,请参阅[使用 Amazon 进行监控 CloudWatch](monitoring-cloudwatch.md)。
# 保护包的流量概述仪表板 (Web ACLs)
本节介绍 AWS WAF 控制台中的保护包(web ACL)流量概述控制面板。将保护包 (Web ACL) 与一个或多个 AWS 资源关联并启用保护包 (Web ACL) 的指标后,您可以访问 AWS WAF 控制台中的保护包 (Web ACL) 的流量**概述选项卡,访问保护包 (Web ACL) 评估的 Web 流量**摘要。控制面板包含在评估您的应用程序网络流量时 AWS WAF 收集的 Amazon CloudWatch 指标的近乎实时的摘要,包括专门的 AI 机器人和代理活动分析。
**注意**
如果在控制面板上看不到任何内容,请确保为保护包(web ACL)启用了指标。
保护包(web ACL)的**流量概述**选项卡包含具有以下类别信息的选项卡式控制面板:
+ **重要安全见解** — 通过直接查询 Amazon CloudWatch 日志 AWS WAF 获得的有关您的 AWS WAF 保护的见解。仪表板的其余部分使用这些 CloudWatch 指标。这些见解提供了更丰富的信息,但会增加查询 CloudWatch 日志的成本。有关额外费用的信息,请参阅 [Amazon CloudWatch 日志定价](https://aws.amazon.com/cloudwatch/pricing/)。
+ **AI 流量分析** — 针对 AI 机器人和代理活动的 Web 请求进行分析,包括机器人识别、意图分类、访问模式和时间趋势。当您的保护包 (Web ACL) 收到 AI 机器人流量时,此选项卡可用
+ **所有流量**:保护包(web ACL)评估的所有 web 请求。
控制面板重点是终止操作,但您可以在以下位置查看计数规则的匹配项:
+ 此控制面板的**前 10 条规则**窗格。切换**切换到计数操作**以显示计数规则匹配项。
+ 保护包(web ACL)页面的**采样请求**选项卡。此新选项卡包括所有规则匹配的图表。有关信息,请参阅[查看 web 请求示例](web-acl-testing-view-sample.md)。
+ **Ant DDo i-S** — 保护包 (Web ACL) 使用`AntiDDoSRuleSet`反 DDo S 托管规则组评估的 Web 请求。
只有在保护包(web ACL)中使用此规则组时,此选项卡才可用。
+ **机器人控制功能**:保护包(web ACL)使用机器人控制功能托管规则组评估的 Web 请求。
+ 如果您未在保护包(web ACL)中使用此规则组,则此选项卡会显示根据机器人控制功能规则评估 web 流量样本的结果。这让您可以了解您的应用程序收到的机器人流量,并且是免费的。
此规则组是 AWS WAF 提供的智能威胁缓解选项的一部分。有关更多信息,请参阅[AWS WAF 机器人控制](waf-bot-control.md)和[AWS WAF 机器人控制规则组](aws-managed-rule-groups-bot.md)。
+ **账户盗用防**护 — 保护包 (Web ACL) 使用 AWS WAF 欺诈控制账户接管防护 (ATP) 托管规则组评估的 Web 请求。只有在保护包(web ACL)中使用此规则组时,此选项卡才可用。
ATP 规则组是 AWS WAF 智能威胁缓解产品的一部分。有关更多信息,请参阅[AWS WAF 防欺诈控制账户接管 (ATP)](waf-atp.md)和[AWS WAF 防欺诈控制账户盗用 (ATP) 规则组](aws-managed-rule-groups-atp.md)。
+ **账户创建防作弊** — 保护包 (Web ACL) 使用 AWS WAF 欺诈控制账户创建防作弊 (ACFP) 托管规则组评估的 Web 请求。只有在保护包(web ACL)中使用此规则组时,此选项卡才可用。
ACFP 规则组是 AWS WAF 智能威胁缓解产品的一部分。有关更多信息,请参阅[AWS WAF 欺诈控制账户创建欺诈预防 (ACFP)](waf-acfp.md)和[AWS WAF 欺诈控制账户创建防作弊 (ACFP) 规则组](aws-managed-rule-groups-acfp.md)。
仪表板基于保护包 (Web ACL) 的 CloudWatch 指标,通过图表可以访问中的相应指标 CloudWatch。对于智能威胁缓解控制面板(如机器人控制功能),使用的指标主要是标签指标。
+ 有关 AWS WAF 提供的指标列表,请参阅[AWS WAF 指标和维度](waf-metrics.md)。
+ 有关 CloudWatch 指标的信息,请参阅 [Amazon CloudWatch 用户指南](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/WhatIsCloudWatch.html)。
控制面板提供您选择的终止操作和日期范围的流量模式摘要。无论托管规则组本身是否应用终止操作,智能威胁缓解控制面板都包含相应托管规则组评估的请求。例如,如果选中 Block,则**账户盗用防护**控制面板将包含所有 web 请求的信息,这些请求既由 ATP 托管规则组评估,又在保护包(web ACL)评估期间的某个时候被阻止。请求可以由 ATP 托管规则组、在保护包(web ACL)中规则组之后运行的规则或 web ACL 的默认操作来阻止。
# 查看保护包(web ACL)的控制面板
按照本节中的步骤访问保护包(web ACL)控制面板并设置数据筛选条件。如果您最近将保护包 (Web ACL) 与 AWS 资源相关联,则可能需要等待几分钟才能在仪表板中显示数据。
控制面板包括对已与保护包(web ACL)相关联的所有资源请求。
**查看保护包(web ACL)的**流量概述**控制面板**
1. 登录 AWS 管理控制台 并在 [https://console.aws.amazon.com/wafv2/homev](https://console.aws.amazon.com/wafv2/homev2) 2 上打开主 AWS WAF 机。
1. 在导航窗格中,选择**保护包 (Web ACLs)**,然后搜索您感兴趣的 Web ACL。
1. 选择保护包(web ACL)。控制台会将您转到保护包(web ACL)的页面。**流量概述**默认处于选中状态。
1. 根据需要更改**数据筛选器**设置。
+ **终止规则操作**:选择要包含在控制面板中的终止操作。控制面板汇总了 web 请求的指标,这些请求具有由保护包(web ACL)评估应用的选定操作之一。如果您选择所有可用操作,则控制面板将包含所有已评估的 web 请求。有关操作的信息,请参阅 [如何 AWS WAF 处理规则和规则组操作](web-acl-rule-actions.md)。
+ **时间范围**:选择要在控制面板中查看的时间间隔。您可以选择查看相对于现在的时间范围,例如过去 3 小时或上周,也可以从日历中选择绝对时间范围。
+ **时区**:当您指定绝对时间范围时,此设置适用。您可以使用浏览器的本地时区或 UTC(协调世界时)。
查看选项卡中您感兴趣的信息。数据筛选器选项适用于所有控制面板。在图表窗格中,您可以将光标悬停在数据点或区域上方以查看任何其他详细信息。
**Count 行动规则**
您可以在两个位置之一查看计数操作匹配的信息。
+ 在此**流量概述**选项卡中,在**所有流量**控制面板上,找到**前 10 条规则**窗格并切换**切换到计数操作**。启用此切换后,窗格将显示计数规则匹配,而不是终止规则匹配。
+ 在保护包(web ACL)的**采样请求**选项卡中,查看您在**流量概述**选项卡上所设置时间范围内所有规则匹配项和操作的图表。有关**采样请求**选项卡的信息,请参阅 [查看 web 请求示例](web-acl-testing-view-sample.md)。
**亚马逊 CloudWatch 指标**
在仪表板图表窗格中,您可以访问图表化数据的 CloudWatch 指标。选择图表窗格顶部或窗格内 **⋮**(垂直省略号)下拉菜单中的选项。
**刷新控制面板**
控制面板不会自动刷新。要更新显示,请选择刷新 ![\[Icon to refresh the dashboard graph\]](http://docs.aws.amazon.com/zh_cn/waf/latest/developerguide/images/cloudwatch-refresh-icon.png) 图标。
# 保护包流量概览仪表板示例 (Web ACLs)
本节显示了保护包 (Web ACLs) 的流量概述仪表板的示例屏幕。
**注意**
如果您已经在使用 AWS WAF 保护应用程序资源,则可以在 AWS WAF 控制台的页面上查看任何保护包 (Web ACLs) 的仪表板。有关信息,请参阅[查看保护包(web ACL)的控制面板](web-acl-dashboards-accessing.md)。
**屏幕示例:数据筛选器和**所有流量**控制面板操作计数**
以下屏幕截图描绘了选中**所有流量**选项卡的保护包(web ACL)流量概览。数据筛选器设置为默认值:过去三个小时内的所有终止操作。
所有流量控制面板内是各种终止操作的操作总数。每个窗格都列出了请求计数,并显示一个 up/down 箭头,表示自前三个小时的时间范围以来的变化。
![\[AWS WAF 控制台显示保护包 (Web ACL) 页面的 “流量概述” 选项卡,其中选择了默认的数据过滤器。终止规则操作选项包括 Block、Allow、CAPTCHA 和 Challenge。数据筛选器部分下方是所有流量、机器人控制功能和账户盗用防护的选项卡。\]](http://docs.aws.amazon.com/zh_cn/waf/latest/developerguide/images/web-acl-dashboard-data-filters-default-top-actions.png)
**屏幕示例:**机器人控制功能**面板操作计数**
以下屏幕截图描绘了机器人控制功能控制面板的操作计数。这显示了时间范围内的相同总数窗格,但计数仅适用于机器人控制功能规则组评估的请求。再往下看,在**操作总计**窗格中,您可以看到指定的三小时时间范围内的操作计数。在此时间范围内,该 CAPTCHA 操作未应用于规则组评估的任何请求。
![\[AWS WAF 控制台显示 Bot Control 控制面板的顶部,包括时间范围内的操作总数和整个时间范围内的操作总数。\]](http://docs.aws.amazon.com/zh_cn/waf/latest/developerguide/images/web-acl-dashboard-bot-action-totals.png)
**屏幕示例:**AI 流量分析仪表板控制**面板操作计数**
以下屏幕截图描绘了保护包 (Web ACL) 的 AI 流量分析控制面板。仪表板显示选定时间范围内的 AI 机器人活动,并筛选机器人组织、意图类型和验证状态。
![\[AWS WAF 控制台显示 AI Traffic Analysis 仪表板的顶部,其中包含时间范围内的顶级抓取工具和顶级路径以及整个时间范围内的操作总数。\]](http://docs.aws.amazon.com/zh_cn/waf/latest/developerguide/images/waf-phantom-edge-dashboard.png)
仪表板包括:
+ **机器人身份面板** — 列出检测到的 AI 机器人,包括名称和组织
+ **意图分类** — 对机器人目的进行分类(抓取、索引、研究等)
+ **访问模式** — AI 代理 URLs 访问次数最多的请求数
+ **时间分析** — 每小时和每日活动趋势,提供 14 天历史视图
+ **组织细分 — 按**机器人所有者组织划分的流量
**屏幕示例:**机器人控制功能控制**面板令牌状态摘要图表**
以下屏幕截图描绘了机器人控制功能控制面板中提供的两个摘要图形。**令牌状态**窗格显示各种令牌状态标签的计数,以及应用于请求的规则操作。**IP 令牌缺失阈值**窗格显示了在没有令牌的情况下发送过多请求的请求的数据。 IPs
将鼠标悬停在图表中的任何区域上方会显示可用的信息详细信息。在此屏幕截图的**令牌状态**窗格中,鼠标将鼠标悬停在某个时间点上,而不在任何图形线上,因此控制台会显示该时间点所有线的数据。
![\[AWS WAF 控制台显示两个窗格,分别显示令牌状态和 IP 令牌缺失阈值,每个窗格中都有类似的被屏蔽请求和已质疑请求的曲线。令牌状态窗格中还有一个显示允许请求的图表。\]](http://docs.aws.amazon.com/zh_cn/waf/latest/developerguide/images/web-acl-dashboard-bot-token-panes.png)
本部分仅显示保护包(web ACL)流量概述控制面板中提供的部分流量摘要。要查看任何保护包 (Web ACLs) 的控制面板,请在控制台中打开保护包 (Web ACL) 的页面。有关如何执行此操作的信息,请参阅 [查看保护包(web ACL)的控制面板](web-acl-dashboards-accessing.md) 上的指导。
# 查看 web 请求示例
本节介绍 AWS WAF 控制台中的保护包 (Web ACL) **采样请求**选项卡。在此选项卡中,您可以查看 AWS WAF 已检查的 Web 请求的所有规则匹配项的图表。此外,如果您为保护包(Web ACL)启用了请求采样,则可以看到 AWS WAF 已检查的 Web 请求样本的表格视图。您还可以通过 API 调用 `GetSampledRequests` 检索抽样请求信息。
请求采样包含多达 100 个符合保护包(web ACL)规则条件的请求,另有 100 个请求不符合任何规则,但应用了保护包(web ACL)默认操作。样本中的请求来自所有受保护的资源,这些资源在过去三小时内收到了对您内容的请求。
当 Web 请求与规则中的条件相匹配且该规则的操作未终止请求评估时, AWS WAF 将继续使用保护包 (Web ACL) 中的后续规则检查 Web 请求。因此,web 请求可能会多次出现。有关规则操作行为的信息,请参阅 [在中使用规则操作 AWS WAF](waf-rule-action.md)。
**查看所有规则图表和采样请求**
1. 登录 AWS 管理控制台 并在 [https://console.aws.amazon.com/wafv2/homev](https://console.aws.amazon.com/wafv2/homev2) 2 上打开主 AWS WAF 机。
1. 在导航窗格中,选择**保护包 (Web ACLs)**。
1. 选择要查看其请求的保护包(web ACL)名称。控制台会将您转到保护包(web ACL)的描述,您可以在其中对其进行编辑。
1. 在**采样请求**选项卡中,您可以看到以下内容:
+ **所有规则图表**:此图表显示在指定时间范围内执行的所有 web 请求评估的匹配规则和规则操作。
**注意**
此图表的时间范围在保护包(web ACL)**流量概述**选项卡的**数据筛选器**部分中设置。有关信息,请参阅[查看保护包(web ACL)的控制面板](web-acl-dashboards-accessing.md)。
+ **采样请求表** - 此表显示过去 3 小时的采样请求数据。
**注意**
如果您没有看到预期的托管规则组示例,请参阅此过程以下的部分。
对于每个条目,该表显示下列数据:
**指标名称**
与请求匹配的保护包 (Web ACL) 中规则的 CloudWatch 指标名称。如果 web 请求与保护包(web ACL)中的任何规则都不匹配,则此值为**默认**值。
如果您更改了规则的名称,并且希望该规则的指标名称反映更改,则还必须更新该指标名称。 AWS WAF 当您更改规则名称时,不会自动更新规则的指标名称。在控制台中编辑规则时,您可以使用规则 JSON 编辑器更改指标名称。您也可以通过 APIs 和在用于定义保护包 (Web ACL) 或规则组的任何 JSON 列表中更改两个名称。
**源 IP**
该请求来自的 IP 地址或(如果查看者使用 HTTP 代理或应用程序负载均衡器发送请求)代理或应用程序负载均衡器的 IP 地址。
**URI**
URL 中标识资源的部分 (例如 `/images/daily-ad.jpg`)。
**规则组中的规则数**
如果指标名称标识了规则组参考语句,则该语句标识了规则组中与该请求相匹配的规则。
**Action**
指示对应规则的操作。有关可能的规则操作的信息,请参阅 [在中使用规则操作 AWS WAF](waf-rule-action.md)。
Web ACL 视图中不提供规则组中带有 Count 操作的规则的抽样请求。只有规则组所有者才能看到计数指标和规则组规则的采样请求。
**时间**
从受保护资源 AWS WAF 收到请求的时间。
要显示有关 web 请求组成部分的其他信息,请在请求行中选择 URI 的名称。
**托管规则组中规则的采样请求**
控制台显示规则组的指标,其中 “规则组内的规则” 指定了触发的规则。您可以使用最新`RuleActionOverrides`设置查看默认操作规则集和规则的指标。对于使用旧`ExcludedRules`设置的规则,请从 “**采样请求**” 指标规则下拉列表中选择规则集中的特定规则。
如果您看到较旧的设置,请使用新设置进行替换,以开始通过控制台提供采样请求。您可以通过控制台编辑保护包(web ACL)中的托管规则组并将其保存以完成此操作。 AWS WAF 自动使用 `RuleActionOverrides` 设置替换任何较旧的设置,并将规则操作覆盖设置为 Count。有关这两种设置的更多信息,请参阅 [JSON 列表:`RuleActionOverrides` 取代 `ExcludedRules`](web-acl-rule-group-override-options.md#web-acl-rule-group-override-replaces-exclude)。
您可以通过 AWS WAF REST API 或命令行访问已使用旧覆盖的规则的采样请求。 SDKs有关信息,请参阅 *AWS WAF API 参考[GetSampledRequests](https://docs.aws.amazon.com/waf/latest/APIReference/API_GetSampledRequests.html)*中的。
以下说明命令行请求的语法:
```
aws wafv2 get-sampled-requests \
--web-acl-arn webACL ARN \
--rule-metric-name Metric name of the rule in the managed rule group \
--scope=REGIONAL or CLOUDFRONT \
--time-window StartTime=UTC timestamp,EndTime=UTC timestamp \
--max-items 100
```
# 在生产环境中启用保护
本节提供了在生产环境中启用调整后保护的说明。
在生产环境中完成最后阶段的测试和调整后,请在生产模式下启用保护。
**生产流量风险**
在为生产流量部署保护包(web ACL)实施之前,请在测试环境中对其进行测试和调整,直到您对流量可能产生的影响感到满意。在启用对生产流量的保护之前,还要在计数模式下对其进行测试和调整。
**注意**
要遵循本节中的指导,您需要大致了解如何创建和管理 AWS WAF 保护包 (Web ACLs)、规则和规则组。本指南前面部分将介绍该信息。
首先在测试环境中执行这些步骤,然后在生产环境中执行这些步骤。
**在生产环境中启用 AWS WAF 保护**
1.
**切换到您的生产保护**
更新您的保护包(web ACL)并切换您的生产设置。
1.
**删除您不需要的所有测试规则**
如果您添加了在生产中不需要的测试规则,请将其删除。如果您使用任何标签匹配规则来筛选托管规则组规则的结果,请务必保留这些规则。
1.
**切换为生产操作**
将新规则的操作设置更改为预期的生产设置。
+ **保护包(web ACL)中定义的规则**:编辑保护包(web ACL)中的规则,并将其操作从 Count 更改为生产操作。
+ **规则组**:在规则组的保护包(web ACL)配置中,根据测试和调整活动的结果,将规则切换为使用自己的操作或保留 Count 操作覆盖。如果您使用标签匹配规则来筛选规则组规则的结果,请务必保留该规则的替代规则。
要切换到使用规则的操作,请在您的保护包(web ACL)配置中,编辑规则组的规则语句并删除该规则的 Count 覆盖。如果您以 JSON 格式管理保护包(web ACL),则在规则组参考语句中,从 `RuleActionOverrides` 列表中删除该规则的条目。
+ **保护包(web ACL)**:如果您更改了测试的保护包(web ACL)默认操作,请将其切换到生产设置。
通过这些设置,您的新保护将按照您的意图管理 web 流量。
保存保护包(web ACL)时,与之关联的资源将使用您的生产设置。
1.
**监控和调整**
为确保按照您的要求处理 web 请求,请在启用新功能后密切监控流量。您将监控生产规则操作的指标和日志,而不是您在调整工作中监控的计数操作。继续监控并根据需要调整行为,以适应 web 流量的变化。