**推出 的新主控台體驗 AWS WAF**
您現在可以使用更新後的體驗,在主控台的任何位置存取 AWS WAF 功能。如需詳細資訊,請參閱[使用 主控台](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html)。
本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 開始使用 AWS WAF
入門 AWS WAF 取決於您使用的主控台體驗。這兩種體驗都可以存取相同的核心 AWS WAF 功能,但它們在您設定和管理 Web 應用程式保護的方式上有所不同。
AWS WAF 提供兩種使用 主控台的選項:
**新的主控台**旨在簡化標準主控台工作流程所需的 Web ACL 組態程序。您可以使用引導式工作流程,透過保護套件簡化 Web ACL 建立和管理程序。保護套件可讓您更輕鬆地在主控台中使用和管理 Web ACLs,但功能與 Web ACL 沒有差異。除了改善的保護組態程序之外,新的主控台還透過安全儀表板提供增強的防護可見性,讓您更輕鬆地在主控台中 AWS WAF 監控您的安全狀態。
**標準 AWS WAF 主控台**提供使用 Web ACLs 設定 Web 應用程式防火牆保護的傳統方法。它提供對個別規則和規則群組的精細控制,並熟悉現有 AWS WAF 使用者。使用此主控台,您可以詳細控制保護組態,以便精確自訂您的安全設定。
**提示**
選擇最符合您需求的主控台體驗。如果您是初次接觸 , AWS WAF 或想要根據 AWS 建議開始設定保護,我們建議您從新的主控台體驗開始。不過,標準體驗一律可從 主控台的導覽窗格開啟。
下列各節提供兩種主控台體驗的入門指引。檢閱每個方法,並選取最符合您安全需求和操作偏好設定的方法:
**Topics**
+ [AWS WAF 開始使用新的主控台體驗](setup-iap-console.md)
+ [AWS WAF 開始使用標準主控台體驗](setup-existing-console.md)
# AWS WAF 開始使用新的主控台體驗
本節將引導您使用新的主控台體驗進行設定,這可提供簡化 AWS WAF 的組態工作流程和增強的安全管理功能。
## 存取新的主控台體驗
若要存取新的 AWS WAF 主控台體驗:
登入新的 AWS 管理主控台 ,並在 https://[https://console.aws.amazon.com/wafv2-pro](https://console.aws.amazon.com/wafv2-pro) 開啟 AWS WAF 主控台。
+ 在導覽窗格中,尋找並選取**嘗試新的體驗**。
**注意**
您可以隨時使用導覽窗格中的連結在主控台體驗之間切換。
## 開始使用保護套件 (Web ACL)
本教學課程說明如何建立和設定保護套件 (Web ACL) 來保護您的應用程式。保護套件 (Web ACLs) 提供針對特定工作負載類型量身打造的預先設定安全規則。
於本教學課程中,您會了解如何:
+ 建立保護套件 (Web ACL)
+ 設定應用程式特定的保護設定
+ 新增要保護 AWS 的資源
+ 選擇和自訂規則
+ 設定記錄和監控
**注意**
AWS 對於您在本教學課程中建立的資源, 通常會向您收取每天不到 0.25 USD 的費用。當您完成時,我們建議您刪除資源以免產生不必要的費用。
### 步驟 1:設定 AWS WAF
如果您尚未遵循 中的一般設定步驟[設定您的帳戶以使用 服務](setting-up-waf.md),請立即執行此操作。
### 步驟 2:建立保護套件 (Web ACL)
在此步驟中,您將建立保護套件 (Web ACL),並設定其基本設定以符合您的應用程式類型。
1. 登入新的 AWS 管理主控台 ,並在 https://[https://console.aws.amazon.com/wafv2-pro](https://console.aws.amazon.com/wafv2-pro) 開啟 AWS WAF 主控台。
1. 在導覽窗格中,選擇**資源與保護套件 (Web ACLs)**。
1. 在**資源與保護套件 (Web ACLs**頁面上,選擇**新增保護套件 (Web ACL)**。
1. 在**告訴我們您的應用程式**,針對**應用程式類別**,選取一或多個最能描述您應用程式的應用程式類別。
1. 針對**流量來源**,選擇應用程式處理的流量類型:
+ **API** - 僅適用於 API 的應用程式
+ **Web** - 僅適用於 Web 的應用程式
+ **API 和 Web** - 適用於處理這兩種流量的應用程式
### 步驟 3:新增要保護的資源
現在,您將指定要使用保護套件 (Web ACL) 保護哪些 AWS 資源。
1. 在**要保護的資源**下,選擇**新增資源**。
1. 選擇要與此保護套件建立關聯的 AWS 資源類別 (Web ACL):
+ Amazon CloudFront 分佈
+ 區域資源
如需資源類型的詳細資訊,請參閱 [將保護與 AWS 資源建立關聯](web-acl-associating.md)。
### 步驟 4:選擇初始保護
在此步驟中,您將選取保護套件 (Web ACL) 的規則。對於第一次使用的使用者,我們建議您選擇**建議**選項。
AWS WAF 會根據您在**告訴我們您的應用程式**區段中的選擇,為您產生**建議**。這些套件會為您的應用程式類型實作安全最佳實務。
+ 選擇**下一步**以繼續保護套件 (Web ACL) 設定。
**注意**
如果您有興趣建立自訂規則或使用**您建置的** 選項,建議您先取得預先設定選項的體驗。如需建立自訂保護套件 (Web ACLs) 和規則的詳細資訊,請參閱 [在 中建立保護套件 (Web ACL) AWS WAF](web-acl-creating.md)。
### 步驟 5:自訂保護套件 (Web ACL) 設定
現在,您將設定其他設定,例如預設動作、速率限制和記錄。
1. 在**名稱和描述**下,輸入保護套件的名稱 (Web ACL)。或者,輸入描述。
**注意**
您無法在建立保護套件 (Web ACL) 之後變更名稱。
1. 在**自訂保護套件 (Web ACL)** 下,設定下列設定:
1. 在**預設規則動作**下,為不符合任何規則的請求選擇預設動作。如需詳細資訊,請參閱[中的自訂 Web 請求和回應 AWS WAF](waf-custom-request-response.md)。
1. 在**規則組態**下,自訂這些設定:
+ **預設速率限制** - 設定限制以防止 DDoS 攻擊
+ **IP 地址** - 設定 IP 允許/封鎖清單
+ 國家/**地區特定原始**伺服器 - 依國家/地區管理存取權
1. 針對**記錄目的地**,設定您要存放日誌的位置。如需詳細資訊,請參閱[AWS WAF 記錄目的地](logging-destinations.md)。
1. 檢閱您的設定,然後選擇**新增保護套件 (Web ACL)**。
### 步驟 6:清理資源
現在,您已成功完成教學課程。為了防止您的帳戶產生 AWS WAF 額外費用,您應該刪除您建立的保護套件 (Web ACL),或修改它以符合您的生產需求。
**刪除您的保護套件 (Web ACL)**
1. 在導覽窗格中,選擇**資源與保護套件 (Web ACLs)**。
1. 選取您建立的保護套件 (Web ACL)。
1. 選擇垃圾桶圖示,然後輸入「刪除」來確認刪除。
**注意**
如果您計劃在生產環境中使用此保護套件 (Web ACL),而不是將其刪除,您應該檢閱和調整保護設定,以符合應用程式的安全需求。
# AWS WAF 開始使用標準主控台體驗
AWS WAF 主控台會引導您完成設定程序 AWS WAF ,以根據您指定的條件封鎖或允許 Web 請求,例如請求源自的 IP 地址或請求中的值。在此步驟中,您會建立保護套件 (Web ACL)。如需 AWS WAF 保護套件 (Web ACLs) 的詳細資訊,請參閱 [在 中設定保護 AWS WAF](web-acl.md)。
本教學課程說明如何使用 AWS WAF 來執行下列任務:
+ 設定 AWS WAF。
+ 使用 AWS WAF 主控台中的精靈建立 Web 存取控制清單 (Web ACL)。
**建立 Web ACL**
1. 登入 AWS 管理主控台 並開啟位於 https://[https://console.aws.amazon.com/wafv2/homev2](https://console.aws.amazon.com/wafv2/homev2) 的 AWS WAF 主控台。
1. 在 AWS WAF 首頁中,選擇**建立 Web ACL**。
1. 對於 **Name (名稱)**,輸入您要用來識別此 Web ACL 的名稱。
**注意**
建立 Web ACL 後無法修改名稱。
1. (選擇性) 對於 **Description - optional (描述 - 選用性)**,如果需要,請為 Web ACL 輸入較長的描述。
1. 對於 **CloudWatch 指標名稱**,如果適用,請變更預設名稱。遵循主控台上的指引,以瞭解有效的字元。名稱不能包含特殊字元、空格或保留給 AWS WAF使用的指標名稱,包括「All」和「Default\$1Action」。
**注意**
您無法在建立 Web ACL 之後變更 CloudWatch 指標名稱。
1. 對於 **Resource type (資源類型)**,選擇 **CloudFront distributions (CloudFront 分發)**。**Region (區域)** 會自動填入 CloudFront 分發的 **Global (CloudFront) (全域 (CloudFront))**。
1. (選用) 對於**關聯的 AWS 資源 - 選用**,選擇**新增 AWS 資源**。在對話方塊中,選擇您要關聯的資源,然後選擇**新增**。 AWS WAF 會返回**描述 Web ACL 和關聯的 AWS 資源**頁面。
1. 選擇**下一步**。
**注意**
AWS 對於您在本教學課程中建立的資源, 通常會向您收取每天不到 0.25 USD 的費用。當您完成此教學課程,我們建議您刪除資源以免產生不必要的費用。
## 步驟 1:設定 AWS WAF
如果您尚未遵循 中的一般設定步驟[設定您的帳戶以使用 服務](setting-up-waf.md),請立即執行此操作。
## 步驟 2:建立 Web ACL
AWS WAF 主控台會引導您完成設定程序 AWS WAF ,以根據您指定的條件封鎖或允許 Web 請求,例如請求源自的 IP 地址或請求中的值。在此步驟中,建立Web ACL。如需 AWS WAF Web ACLs的詳細資訊,請參閱 [在 中設定保護 AWS WAF](web-acl.md)。
**建立 Web ACL**
1. 登入 AWS 管理主控台 ,並在 https://[https://console.aws.amazon.com/wafv2/homev2](https://console.aws.amazon.com/wafv2/homev2) 開啟 AWS WAF 主控台。
1. 在 AWS WAF 首頁中,選擇**建立 Web ACL**。
1. 對於 **Name (名稱)**,輸入您要用來識別此 Web ACL 的名稱。
**注意**
建立 Web ACL 後無法修改名稱。
1. (選擇性) 對於 **Description - optional (描述 - 選用性)**,如果需要,請為 Web ACL 輸入較長的描述。
1. 對於 **CloudWatch 指標名稱**,如果適用,請變更預設名稱。遵循主控台上的指引,以瞭解有效的字元。名稱不能包含特殊字元、空格或保留給 AWS WAF使用的指標名稱,包括「All」和「Default\$1Action」。
**注意**
您無法在建立 Web ACL 之後變更 CloudWatch 指標名稱。
1. 對於 **Resource type (資源類型)**,選擇 **CloudFront distributions (CloudFront 分發)**。**Region (區域)** 會自動填入 CloudFront 分發的 **Global (CloudFront) (全域 (CloudFront))**。
1. (選用) 對於**關聯的 AWS 資源 - 選用**,選擇**新增 AWS 資源**。在對話方塊中,選擇您要關聯的資源,然後選擇**新增**。 AWS WAF 會返回**描述 Web ACL 和關聯的 AWS 資源**頁面。
1. 選擇**下一步**。
## 步驟 3:新增字串比對規則
在此步驟中,您會建立使用字串比對陳述式的規則,並指出如何處理比對請求。字串比對規則陳述式可識別您要 AWS WAF 在請求中搜尋的字串。通常,字串包含可列印 ASCII 字元,但您可以指定十六字元範圍 0x00 到 0xFF 的任何字元 (小數點 0 到 255)。除了指定要搜尋的字串之外,您還可以指定要搜尋的 Web 請求元件,例如標頭、查詢字串或請求內文。
此陳述式類型在 Web 請求元件上運作,且需要下列請求元件設定:
+ **請求元件** – 要檢查的 Web 請求部分,例如查詢字串或內文。
**警告**
如果您檢查請求元件**內**文、**JSON 內文**、**標頭**或 **Cookie**,請閱讀有關 AWS WAF 可檢查多少內容的限制[在 中過大 Web 請求元件 AWS WAF](waf-oversize-request-components.md)。
如需 Web 請求元件的詳細資訊,請參閱 [在 中調整規則陳述式設定 AWS WAF](waf-rule-statement-fields.md)。
+ **選用文字轉換** – AWS WAF 您想要在檢查請求元件之前對請求元件執行的轉換。例如,您可以將 轉換為小寫或標準化空格。如果您指定多個轉換, 會依列出的順序 AWS WAF 處理它們。如需相關資訊,請參閱[在 中使用文字轉換 AWS WAF](waf-rule-statement-transformation.md)。
如需 AWS WAF 規則的其他資訊,請參閱 [AWS WAF 規則](waf-rules.md)。
**建立字串比對規則陳述式**
1. 在 **Add rules and rule groups (新增規則和規則群組)** 頁面上,選擇 **Add rules (新增規則)**、**Add my own rules and rule groups (新增我自己的規則和規則群組)**、**Rule builder (規則建置器)** 及 **Rule visual editor (規則視覺化編輯器)**。
**注意**
主控台提供 **Rule visual editor (規則視覺化編輯器)** 和 **Rule JSON editor (規則 JSON 編輯器)**。JSON 編輯器可讓您在 Web ACL 之間輕鬆複製組態,並且是更複雜的規則集所需,例如具有多層巢狀的規則集。
此程序使用 **Rule visual editor (規則視覺化編輯器)**。
1. 對於 **Name (名稱)**,輸入您要用來識別此規則的名稱。
1. 對於 **Type (類型)**,選擇 **Regular rule (一般規則)**。
1. 對於 **If a request (如果請求)**,選擇 **matches the statement (比對陳述式)**。
其他選項適用於邏輯規則陳述式類型。您可以使用它們來合併或否定其他規則陳述式的結果。
1. 在**陳述**式上,針對**檢查**,開啟下拉式清單,然後選擇您要檢查的 Web AWS WAF 請求元件。在此範例中,選擇**單一標頭**。
選擇**單一標頭**時,您也可以指定要 AWS WAF 檢查的標頭。輸入 **User-Agent**。此值不會區分大小寫。
1. 對於 **Match type (比對類型)**,選擇指定的字串必須顯示在 `User-Agent` 標頭中的位置。
對於此範例,選擇 **Exactly matches string (完全符合字串)**。這表示 會 AWS WAF 檢查每個 Web 請求中的使用者代理程式標頭是否有與您指定的字串相同的字串。
1. 對於 **String to match (要比對的字串)**,指定您要 AWS WAF 搜尋的字串。**String to match (符合值)** 的長度上限為 200 個字元。如果您想要指定 base64 編碼值,可在編碼前指定最多 200 個字元。
在此範例中,輸入 **MyAgent**。 AWS WAF 將在 Web 請求中檢查 `User-Agent`標頭的值 `MyAgent`。
1. 將 **Text transformation (文字轉換)** 保持設定為 **None (無)**。
1. 針對**動作**,選取您希望規則在符合 Web 請求時採取的動作。在此範例中,選擇**計數**並保留其他選項。計數動作會為符合規則的 Web 請求建立指標,但不會影響是否允許或封鎖請求。如需動作選擇的詳細資訊,請參閱 [在 中使用規則動作 AWS WAF](waf-rule-action.md)和 [設定規則優先順序](web-acl-processing-order.md)。
1. 選擇**新增規則**。
## 步驟 4:新增 AWS 受管規則規則群組
AWS 受管規則提供一組受管規則群組供您使用,其中大多數都是免費提供給 AWS WAF 客戶。如需規則群組的詳細資訊,請參閱[AWS WAF 規則群組](waf-rule-groups.md)。我們會將 AWS 受管規則規則群組新增至此 Web ACL。
**新增 AWS 受管規則規則群組**
1. 在 **Add rules and rule groups (新增規則和規則群組)** 頁面上,選擇 **Add rules (新增規則)**,然後選擇 **Add managed rule groups (新增受管規則群組)**。
1. 在**新增受管規則群組**頁面上,展開**AWS 受管規則群組**的清單。(您也會看到提供給 AWS Marketplace 賣方的清單。 您可以訂閱其方案,然後以與 AWS 受管規則規則群組相同的方式使用它們。)
1. 對於您要新增的規則群組,請執行下列動作:
1. 在**動作**欄中,開啟**新增至 Web ACL** 切換。
1. 選取**編輯**,然後在規則群組的**規則**清單中,開啟**覆寫所有規則動作**下拉式清單,然後選取 **Count**。這會將規則群組中所有規則的動作設定為僅計數。這可讓您查看規則群組中的所有規則如何在 Web 請求中運作,然後再使用任何規則群組。
1. 選擇**儲存規則**。
1. 在**新增受管規則群組**頁面中,選擇**新增規則**。這會讓您返回**新增規則和規則群組**頁面。
## 步驟 5:完成 Web ACL 組態
完成將規則和規則群組新增至 Web ACL 組態時,請在 Web ACL 中管理規則的優先順序,以及進行指標、標記和記錄等設定來完成工作。
**完成您的 Web ACL 組態**
1. 在 **Add rules and rule groups (新增規則和規則群組)** 頁面上,選擇 **Next (下一步)**。
1. 在**設定規則優先順序**頁面上,您可以在 Web ACL 中查看規則和規則群組的處理順序。 會從清單頂端開始 AWS WAF 處理它們。您可以上下移動規則來變更處理順序。若要這樣做,請在清單中選取一個,然後選擇 **Move up (上移)** 或 **Move down (下移)**。如需有關規則優先順序的詳細資訊,請參閱 [設定規則優先順序](web-acl-processing-order.md)。
1. 選擇**下一步**。
1. 在**設定指標**頁面上,對於 **Amazon CloudWatch 指標**,您可以查看規則和規則群組的計劃指標,也可以查看 Web 請求取樣選項。如需檢視取樣請求的詳細資訊,請參閱 [檢視 Web 請求的範例](web-acl-testing-view-sample.md)。如需 Amazon CloudWatch 指標的相關資訊,請參閱 [使用 Amazon CloudWatch 監控](monitoring-cloudwatch.md)。
您可以在 AWS WAF 主控台的 Web ACL 頁面上,流量概觀索引標籤下存取 Web **流量**指標的摘要。主控台儀表板提供 Web ACL Amazon CloudWatch 指標的近乎即時摘要。如需詳細資訊,請參閱[保護套件的流量概觀儀表板 (Web ACLs)](web-acl-dashboards.md)。
1. 選擇**下一步**。
1. 在 **Review and create web ACL (檢閱並建立 Web ACL)** 頁面上,檢閱您的設定,然後選擇 **Create web ACL (建立 Web ACL)**。
精靈會將您返回列出新 **Web ACL** 的 Web ACL 頁面。
## 步驟 6:清理資源
現在,您已成功完成教學課程。若要防止您的帳戶產生 AWS WAF 額外費用,請清除您建立的 AWS WAF 物件。或者,您可以變更組態,以符合您真正要使用的 Web 請求 AWS WAF。
**注意**
AWS 對於您在本教學課程中建立的資源, 通常會向您收取每天不到 0.25 USD 的費用。當您完成時,我們建議您刪除資源以免產生不必要的費用。
**刪除 AWS WAF 收費的物件**
1. 在 **Web ACL** 頁面中,從清單中選擇您的 Web ACL,然後選擇**編輯**。
1. 在**關聯的 AWS 資源**索引標籤上,針對每個相關聯的資源,選取資源名稱旁的選項按鈕,然後選擇**取消關聯**。這會取消 Web ACL 與 AWS 資源的關聯。
1. 在下列每個畫面中,選擇**下一步**,直到您返回 **Web ACL** 頁面。
在 **Web ACL** 頁面中,從清單中選擇您的 Web ACL,然後選擇**刪除**。
規則和規則陳述式無法存在於規則群組和 Web ACL 定義之外。如果您刪除 Web ACL,這會刪除您在 Web ACL 中定義的所有個別規則。當您從 Web ACL 移除某個規則群組時,您只是移除對它的參考。