步驟 4:建立並套用AWS Firewall ManagerAWS WAF傳統政策 - AWS WAF、AWS Firewall Manager 與 AWS Shield Advanced

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

步驟 4:建立並套用AWS Firewall ManagerAWS WAF傳統政策

注意

這是AWS WAF傳統文件中)。如果您在 2019 年 11 月 AWS WAF 之前建立 AWS WAF 資源 (例如規則和 Web ACL),而且並未將其移轉至最新版本,則應該只使用此版本。若要移轉資源,請參閱 遷移您的AWS WAF傳統資源AWS WAF

如需的最新版本AWS WAF,請參閱AWS WAF

在您建立規則群組後,您可以建立一個 AWS Firewall Manager AWS WAF 政策。Firewall ManagerAWS WAF政策含有您想要套用到資源的規則群組。

建立 Firewall ManagerAWS WAF政策 (主控台)

  1. 在您建立規則群組後 (上一個程序的最後一個步驟,步驟 3:建立規則群組) 主控台會顯示 Rule group summary (規則群組摘要) 頁面。選擇 Next (下一步)。

  2. Name (名稱) 中,輸入易記的名稱。

  3. 針對政策類型,選擇 WAF

  4. 適用於區域下,選擇AWS 區域。若要保護 Amazon CloudFront 資源,請選擇全球服務

    若要保護多個區域中的資源 (CloudFront 資源除外),您需要針對各區域建立不同的 Firewall Manager 政策。

  5. 選取要新增得規則群組,然後選擇新增規則群組

  6. 政策有兩種動作:依規則群組設定的動作計數。如果您想要測試政策和規則群組,設定動作為計數。這個動作覆寫任何由政策裡規則群組所指定的封鎖動作。也就是說,如果政策的動作是設定為計數,只會計算請求,而不會封鎖請求。反之,如果您設定政策的動作為規則群組這定的動作,則會使用該政策裡規則群組的動作。在此教學課程,請選擇計數

  7. 選擇 Next (下一步)。

  8. 如果您想要在政策中只包含特定帳戶、或在政策中排除特定帳戶,請選取 Select accounts to include/exclude from this policy (optional) (選擇此政策要包含/排除的帳戶選用)。選擇在此政策中只包含這些帳戶在此政策中排除這些帳戶。您只可以選擇一個選項。選擇 Add (新增)。選取要包含或排除的帳戶號碼,然後選擇 OK

    注意

    如果您不選擇此選項,Firewall Manager 會套用政策到您組織中AWS Organizations。如果您新增新帳戶到該組織,Firewall Manager 會自動套用政策到該帳戶中。

  9. 選擇您要保護的資源類型。

  10. 如果您只想保護具有特定標籤的資源,或排除具有特定標籤的資源,請選擇 Use tags to include/exclude resources (使用標籤包含/排除資源),輸入標籤的類型,然後選擇包含排除。您只可以選擇一個選項。

    如果您輸入多個標籤 (以逗號分隔),且如果資源擁有其中任一的標籤,都會被視為符合條件。

    如需標籤的詳細資訊,請參閱使用標籤編輯器

  11. 選擇建立和套用此政策到現有的和新的資源

    此選項是在 AWS Organizations 的組織內每個可用帳戶中,建立 Web ACL,並將 Web ACL 關聯至帳戶中的指定資源。此選項還會將政策套用到與前述條件 (資源類型和標籤) 符合的所有新的資源。或者,如果您選擇建立政策,但不套用此政策到現有或新的資源,Firewall Manager 在組織裡每個可用帳戶內建立 Web ACL,但不套用 Web ACL 到任何資源。之後,您必須將政策套用到資源。

  12. 在預設設定中保留 [取代現有關聯的 Web ACL] 的選擇。

    選取此選項時,Firewall Manager 會先從範圍內資源移除所有現有的 Web ACL 關聯,然後再將新政策的 Web ACL 關聯與其產生關聯。

  13. 選擇 Next (下一步)。

  14. 檢視新政策。若要修改,選擇編輯。當您滿意時,選擇 建立政策