选择您的 Cookie 首选项

我们使用必要 Cookie 和类似工具提供我们的网站和服务。我们使用性能 Cookie 收集匿名统计数据,以便我们可以了解客户如何使用我们的网站并进行改进。必要 Cookie 无法停用,但您可以单击“自定义”或“拒绝”来拒绝性能 Cookie。

如果您同意,AWS 和经批准的第三方还将使用 Cookie 提供有用的网站功能、记住您的首选项并显示相关内容,包括相关广告。要接受或拒绝所有非必要 Cookie,请单击“接受”或“拒绝”。要做出更详细的选择,请单击“自定义”。

首选项
联系我们
反馈
AWS Documentation
创建 AWS 账户

为测试 AWS WAF 防护做好准备

PDF
RSS
聚焦模式
为测试 AWS WAF 防护做好准备 - AWS WAFAWS Firewall Manager、和 AWS Shield Advanced

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

本节介绍如何进行设置以测试和调整 AWS WAF 保护措施。

注意

要遵循本节中的指导,你需要大致了解如何创建和管理诸如 Web ACLs、规则和规则组之类的 AWS WAF 保护。本指南前面部分将介绍该信息。

准备测试
  1. 为网页 ACL 启用网页 ACL 日志记录、Amazon CloudWatch 指标和网络请求采样

    使用日志记录、指标和采样来监控 Web ACL 规则与您的 Web 流量的交互情况。

    • 日志记录-您可以配置 AWS WAF 为记录 Web ACL 评估的 Web 请求。您可以将日志发送到日 CloudWatch 志、亚马逊 S3 存储桶或 Amazon Data Firehose 传输流。您可以编辑字段并应用筛选。有关更多信息,请参阅 记录 AWS WAF Web ACL 流量

    • Amazon Security Lake:可以配置 Security Lake 来收集 Web ACL 数据。Security Lake 会从各种来源收集日志和事件数据进行标准化、分析和管理。有关此选项的信息,请参阅什么是 Amazon Security Lake? 以及 Amazon Security Lake 用户指南中的从 AWS 服务中收集数据

    • Amazon CloudWatch 指标 — 在您的 Web ACL 配置中,为要监控的所有内容提供指标规范。您可以通过 AWS WAF 和 CloudWatch控制台查看指标。有关更多信息,请参阅 使用 Amazon 进行监控 CloudWatch

    • Web 请求采样 – 您可以查看您的 Web ACL 评估的所有 Web 请求的示例。有关 Web 请求采样的信息,请参阅 查看 Web 请求示例

  2. 将您的保护设置为 Count mode

    在 Web ACL 配置中,将要测试的任何内容切换到计数模式。这会使测试保护在不改变请求处理方式的情况下记录与 Web 请求的匹配情况。您将能够在指标、日志和采样请求中看到匹配项,以验证匹配条件并了解可能对您的 Web 流量产生的影响。无论规则操作如何,向匹配请求添加标签的规则都将添加标签。

    • Web ACL 中定义的规则-编辑 Web ACL 中的规则并将其操作设置为 Count.

    • 规则组-在 Web ACL 配置中,编辑规则组的规则语句,然后在 “规则” 窗格中打开 “覆盖所有规则操作” 下拉列表并选择 Count。 如果您以 JSON 格式管理 Web ACL,请将规则添加到规则组参考语句的RuleActionOverrides设置中,ActionToUse设置为 Count。 以下示例列表显示了 “AWSManagedRulesAnonymousIpList AWS 托管规则” 规则组中两个规则的替代。

        "ManagedRuleGroupStatement": {
    "VendorName": "AWS",
    "Name": "AWSManagedRulesAnonymousIpList",
      "RuleActionOverrides": [
        {
          "ActionToUse": {
            "Count": {}
          },
          "Name": "AnonymousIPList"
        },
        {
          "ActionToUse": {
            "Count": {}
          },
          "Name": "HostingProviderIPList"
        }
      ],
      "ExcludedRules": []
    }
  },

      有关规则操作覆盖的更多信息,请参阅 覆盖规则组的规则操作

      对于您自己的规则组,请勿修改规则组本身中的规则操作。规则组规则包含 Count action 不会生成测试所需的指标或其他工件。此外,更改规则组会影响所有使用 ACLs 该规则组的 Web,而 Web ACL 配置中的更改仅影响单个 Web ACL。

    • Web ACL – 如果您正在测试新的 Web ACL,请将 Web ACL 的默认操作设置为允许请求。这使您可以试用 Web ACL,而不会以任何方式影响流量。

    通常,计数模式生成的匹配项多于生产模式。这是因为计算请求数的规则不会阻止 Web ACL 对请求的评估,因此稍后在 Web ACL 中运行的规则也可能与请求匹配。当您将规则操作更改为生产设置时,允许或阻止请求的规则将终止对它们匹配的请求的评估。因此,通常会由 Web ACL 中较少的规则来检查匹配的请求。有关规则操作对 Web 请求总体评估的效果的更多信息,请参阅 在中使用规则操作 AWS WAF

    使用这些设置,您的新保护不会改变 Web 流量,但会在指标、Web ACL 日志和请求样本中生成匹配信息。

  3. 将 Web ACL 与资源关联

    如果 Web ACL 尚未与资源关联,请将其关联。

    请参阅 将 Web ACL 与资源关联或取消关联 AWS

您现在可以监控和调整 Web ACL。

隐私网站条款Cookie 首选项
© 2025, Amazon Web Services, Inc. 或其附属公司。保留所有权利。