本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
ACL在中建立網頁 AWS WAF
本節提供ACLs透過 AWS 控制台。
若要建立新網頁ACL,請遵循此頁面上的程序使用 Web 建ACL立精靈。
生產流量風險
在ACL針對生產流量部署 Web 中的變更之前,請先在測試或測試環境中對其進行測試和調整,直到您熟悉對流量的潛在影響為止。然後在啟用生產流量之前,在計數模式下測試和調整您更新的規則。如需準則,請參閱測試和調整您的 AWS WAF 保護。
注意
在網絡WCUs中使用超過 1,500 ACL 會產生超出基本網絡ACL價格的成本。如需詳細資訊,請參閱 瞭解中的 Web ACL 容量單位 (WCUs) AWS WAF 和 AWS WAF 定價
建立網頁的步驟 ACL
登入 AWS Management Console 並打開 AWS WAF 控制台在https://console.aws.amazon.com/wafv2/
。 -
在導覽窗格ACLs中選擇 [Web],然後選擇 [建立網頁] ACL。
-
在「名稱」中,輸入您要用來識別此網頁的名稱ACL。
注意
建立網頁之後,就無法變更名稱ACL。
-
(選擇性) 對於說明-選用,ACL如果需要,請輸入較長的網頁描述。
-
若為CloudWatch 量度名稱,請變更預設名稱 (如果適用)。遵循主控台上的指引,以瞭解有效的字元。名稱不能包含特殊字元、空格或量度名稱保留給 AWS WAF,包括「全部」和「默認操作」。
注意
建立網頁之後,您就無法變更 CloudWatch 量度名稱ACL。
-
在資源類型下,選擇類別 AWS 您想要與此 Web 建立關聯的資源ACL,無論是 Amazon CloudFront 分佈或區域資源。如需詳細資訊,請參閱關聯或取消關聯網與 ACL AWS 資源。
-
對於「地區」,如果您已選擇「地區」資源類型,請選擇您要的「區域」 AWS WAF 儲存網頁ACL。
您只需要針對區域資源類型選擇此選項。對於 CloudFront 分發,針對全球 () 應用程式,區域會硬式編碼至美國東部 (維吉尼亞北部CloudFront) 區域。
us-east-1
-
(API閘道CloudFront、Amazon Cognito、應用程式執行器和驗證存取) 對於 Web 請求檢查大小限制-選用,如果您要指定不同的本體檢查大小限制,請選取限制。檢查超過預設 16 KB 的機身尺寸可能會產生額外費用。如需此選項的詳細資訊,請參閱管理的車身檢查尺寸限制 AWS WAF。
-
(選擇性) 針對關聯 AWS 資源-選用,如果您要立即指定資源,請選擇 [新增] AWS 資源。在對話方塊中,選擇您要關聯的資源,然後選擇 [新增]。 AWS WAF 返回到描述網頁ACL和關聯 AWS 資源頁面。
-
選擇 Next (下一步)。
-
(選用) 如果您要新增受管規則群組,在 Add rules and rule groups (新增規則和規則群組) 頁面上,選擇 Add rules (新增規則),然後選擇 Add managed rule groups (新增受管規則群組)。對於您要新增的每個受管規則群組執行下列動作:
-
在 [新增受管規則群組] 頁面上,展開下列項目 AWS 受管規則群組或 AWS Marketplace 你選擇的賣家。
-
針對您要新增的規則群組,在「動作」欄中,開啟「新增至網頁」ACL 切換。
若要自訂網站ACL使用規則群組的方式,請選擇 [編輯]。以下是常見的自訂設定:
-
覆寫部分或所有規則的規則動作。如果您未定義規則的覆寫動作,則評估會使用規則群組內定義的規則動作。如需此選項的詳細資訊,請參閱覆寫中的規則群組動作 AWS WAF。
-
新增範圍向下陳述式,以減少規則群組檢查的 Web 要求範圍。如需此選項的詳細資訊,請參閱使用範圍向下語句 AWS WAF。
-
某些受管規則群組會要求您提供其他組態。請參閱受管規則群組提供者的說明文件。有關具體的信息 AWS 受管規則規則群組,請參閱使用 的 AWS Managed Rules 來防範常見的 Web 威脅 AWS WAF。
完成設定後,請選擇 [儲存規則]。
-
選擇 Add rules (新增規則) 以完成新增受管規則,並回到 Add rules and rule group (新增規則和規則群組) 頁面。
注意
如果您將多個規則新增至網頁ACL, AWS WAF 按照規則在 Web 上列出的順序評估規則ACL。如需詳細資訊,請參閱在中使ACLs用規則和規則群組的 Web AWS WAF。
-
-
(選用) 如果您要新增自己的規則群組,在 Add rules and rule groups (新增規則和規則群組) 頁面上,選擇 Add rules (新增規則),然後選擇 Add my own rules and rule groups (新增我自己的規則和規則群組)。對於您要新增的每個規則群組執行下列動作:
-
在 Add my own rules and rule groups (新增我自己的規則和規則群組) 頁面上,選擇 Rule group (規則群組)。
-
在「名稱」中,輸入您要用於此 Web 中規則群組規則的名稱ACL。請勿使用以
AWS
、Shield
、PreFM
或開頭的名稱PostFM
。這些字串是保留的,或者可能會與其他服務為您管理的規則群組造成混淆。請參閱 使用其他服務提供的規則群組。 -
從清單中選擇您的規則群組。
注意
如果您想要覆寫自己的規則群組的規則動作,請先將其儲存至 WebACL,然後在網頁的規則清單中編輯 Web ACL ACL 和規則群組參考陳述式。您可以將規則動作覆寫為任何有效的動作設定,就像對受管規則群組執行的操作一樣。
-
選擇新增規則。
-
-
(選用) 如果您要新增自己的規則,在 Add rules and rule groups (新增規則和規則群組) 頁面上,選擇 Add rules (新增規則)、Add my own rules and rule groups (新增我自己的規則和規則群組)、Rule builder (規則建置器) 及 Rule visual editor (規則視覺化編輯器)。
注意
主控台 Rule visual editor (規則視覺化編輯器) 支援一個層級的巢狀化。例如,您可以使用單一邏輯
AND
或OR
陳述式,並在其中嵌套一個層級的其他陳述式,但您無法在邏輯陳述式中巢狀化邏輯陳述式。若要管理更複雜的規則陳述式,請使用規則JSON編輯器。如需有關規則的所有選項的資訊,請參閱 使用 AWS WAF rules。此程序涵蓋 Rule visual editor (規則視覺化編輯器)。
-
對於 Name (名稱),輸入您要用來識別此規則的名稱。請勿使用以
AWS
、Shield
、PreFM
或開頭的名稱PostFM
。這些字串是保留的,或者可能會與其他服務為您管理的規則群組造成混淆。 -
根據您的需求輸入規則定義。您可以在邏輯語句
AND
和規則語句中組合規OR
則。精靈會根據內容,引導您完成每個規則的選項。如需規則選項的相關資訊,請參閱 使用 AWS WAF rules。 -
對於 Action (動作),選取規則在比對到 Web 請求時要採取的動作。如需有關您的選擇的相關資訊,請參閱 使用規則動作於 AWS WAF和 在中使ACLs用規則和規則群組的 Web AWS WAF。
如果您是使用 CAPTCHA 或 Challenge動作中,根據需要調整規則的免疫時間組態。如果未指定設定,則規則會從 Web ACL 繼承該設定。若要修改網頁ACL免疫時間設定,請在建立網頁ACL後進行編輯。有關免疫時間的更多信息,請參閱設置時間戳到期和令牌免疫時間 AWS WAF。
注意
使用時需要支付額外費用 CAPTCHA 或 Challenge 其中一個規則中的規則動作或規則群組中的規則動作會覆寫。如需詳細資訊,請參閱 AWS WAF 定價
。 如果您想要自訂要求或回應,請選擇該要求或回應的選項,然後填入您的自訂詳細資訊。如需詳細資訊,請參閱在中添加自定義的 Web 請求和響應 AWS WAF。
如果您希望規則為匹配的 Web 請求添加標籤,請選擇相應的選項並填寫標籤詳細信息。如需詳細資訊,請參閱在網頁要求上使用標籤 AWS WAF。
-
選擇新增規則。
-
-
選擇網頁ACL的預設動作 Block 或 Allow。 這是動作 AWS WAF 當網絡中的規則ACL沒有明確允許或阻止它時接受請求。如需詳細資訊,請參閱設定網頁ACL預設動作 AWS WAF。
如果要自定義默認操作,請選擇該操作的選項並填寫自定義的詳細信息。如需詳細資訊,請參閱在中添加自定義的 Web 請求和響應 AWS WAF。
-
您可以定義 Token 網域清單,以啟用受保護應用程式之間的權杖共用。令牌被使用 CAPTCHA 以及 Challenge 動作以及您在使用時實作的應用程式整合 SDKs AWS 的受管規則規則群組 AWS WAF 欺詐控制帳戶創建欺詐預防(ACFP), AWS WAF 防止欺詐控制帳戶接管(ATP)和 AWS WAF 機器人控制。
不允許使用公共後綴。例如,您無法使用
gov.au
或co.uk
做為權杖網域。默認情況下, AWS WAF 僅接受受保護資源的域的令牌。如果您在此清單中新增權杖網域, AWS WAF 接受清單中所有網域的權杖,以及相關資源的網域。如需詳細資訊,請參閱AWS WAF Web ACL 令牌域列表配置。
-
選擇 Next (下一步)。
-
在「設定規則優先順序」頁面中,選取規則和規則群組並將其移至您想要的順序 AWS WAF 來處理它們。 AWS WAF 處理從清單頂端開始的規則。當您儲存網頁時 ACL AWS WAF 依照您列示的順序,將數字優先順序設定指定給規則。如需詳細資訊,請參閱在 Web 中設定規則優先順序 ACL。
-
選擇 Next (下一步)。
-
在「設定測量結果」頁面中,檢閱選項並套用您需要的任何更新。您可以為多個來源提供相同的量度名稱,以合併來自多個來源的CloudWatch 量度。
-
選擇 Next (下一步)。
-
在「檢閱並建立ACL」網頁中,檢查您的定義。如果您要變更任何區域,請針對區域選擇 Edit (編輯)。這會讓您返回 Web ACL 精靈中的頁面。進行任何變更,然後在頁面上選擇 [下一步],直到您返回 [檢閱] 並建立網ACL頁為止。
-
選擇 [建立網頁] ACL。您的新網ACL頁會列在網ACLs頁中。