建立 Web ACL

注意

這是AWS WAF 經典文檔。只有在您在 2019 年 11 月 AWS WAF 之前建立了規則和 Web ACL 等 AWS WAF 資源，但尚未將資源移轉至最新版本時，才應使用此版本。若要移轉資源，請參閱 將您的 AWS WAF 傳統資源遷移到 AWS WAF。

如需的最新版本 AWS WAF，請參閱AWS WAF。

建立 Web ACL

1. 請登入 AWS Management Console 並開啟 AWS WAF 主控台，網址為 https://console.aws.amazon.com/wafv2/。

   如果您在導覽窗格中看到 [切換到 AWS WAF 傳統]，請選取它。

2. 如果這是您第一次使用「 AWS WAF 典型」，請選擇「移至 AWS WAF 典型」，然後選擇「設定 Web ACL」。如果您之前使用過 AWS WAF 傳統版，請在導覽窗格中選擇 [Web ACL]，然後選擇 [建立 Web ACL]。

3. 在「網頁 ACL 名稱」中，輸入名稱。

   注意

   建立 Web ACL 後無法修改名稱。

4. 若為CloudWatch 量度名稱，請變更預設名稱 (如果適用)。名稱只能包含英數字元 (A-Z、a-z、0-9)，最大長度為 128 且最短長度為 1。它不能包含為 AWS WAF 傳統保留的空白字元或量度名稱，包括「全部」和「Default_Action」。

   注意

   建立 Web ACL 後無法修改名稱。

5. 對於 區域，選擇一個區域。

6. 對於AWS 資源，請選擇您想要將此 Web ACL 關聯的資源，然後選擇下一步。

7. 如果您已經建立了希望 C AWS WAF lassic 用來檢查 Web 請求的條件，請選擇 [下一步]，然後繼續進行下一個步驟。

   若您尚未建立條件，請立即執行。如需詳細資訊，請參閱下列主題：

   • 使用跨網站指令碼比對條件

   • 使用 IP 比對條件

   • 使用地理比對條件

   • 使用容量限制條件

   • 使用 SQL Injection 比對條件

   • 使用字串比對條件

   • 使用 Regex 比對條件

8. 如果您已經建立要新增至此 Web ACL 的規 AWS Marketplace 則或規則群組 (或訂閱規則群組)，請將規則新增至 Web ACL：

   1. 在規則清單中選擇規則。

   2. 選擇 Add rule to web ACL (新增規則至 Web ACL)。

   3. 重複步驟 a 和 b，直到您已新增所有想要新增至 Web ACL 的規則。

   4. 前往步驟 10。

9. 如果您尚未建立規則，您可以現在新增規則：

   1. 選擇建立規則。

   2. 輸入下列值：

      名稱

      輸入名稱。

      CloudWatch 量度名稱

      輸入「 AWS WAF 典型」將建立並與規則產生關聯的 CloudWatch 測量結果名稱。名稱只能包含英數字元 (A-Z、a-z、0-9)，最大長度為 128 且最短長度為 1。它不能包含為 AWS WAF 傳統保留的空白字元或量度名稱，包括「全部」和「Default_Action」。

      注意

      建立規則後無法修改指標名稱。

   3. 若要新增條件至規則，請指定以下值：

      請求為有 (does)/沒有 (does not) 的時機

      如果您希望 AWS WAF 傳統版根據條件的篩選器允許或封鎖要求，例如，來自 IP 位址 192.0.2.0/24 範圍的網頁要求，請選擇 [do]。

      如果您希望 C AWS WAF lassic 根據條件中的反向篩選條件允許或封鎖要求，請選擇「不」。例如，如果 IP 比對條件包含 IP 位址範圍 192.0.2.0/24，而您希望「 AWS WAF 典型」允許或封鎖不來自這些 IP 位址的要求，請選擇「不」。

      符合/來自

      選擇要新增到規則的條件類型。

      • 跨網站指令碼比對條件 — 在跨網站指令碼比對條件中選擇至少符合其中一個篩選器

      • IP 匹配條件 — 從中選擇來自 IP 地址

      • 地理匹配條件 — 選擇源自地理位置

      • 大小限制條件 — 在大小限制條件下選擇至少匹配一個過濾器

      • SQL 注入相符條件 — 選擇符合 SQL 注入相符條件中至少一個篩選條件

      • 字串比對條件 — 選擇符合字串符合條件中至少一個篩選條件

      • 正則表達式匹配條件-在正則表達式匹配條件中選擇至少匹配一個過濾器

      條件名稱

      選擇要新增到規則的條件。指清單只顯示您在前述名單中所選擇的條件類型。

   4. 若要新增其他條件至規則，請選擇 Add another condition (新增另一個條件)，並重複步驟 b 和 c。注意下列事項：

      • 如果您新增多個條件，Web 要求必須符合每個條件中的至少一個篩選器，C AWS WAF lassic 才能根據該規則允許或封鎖要求。

      • 如果您在同一個規則中新增兩個 IP 比對條件，C AWS WAF lassic 將只允許或封鎖來自兩個 IP 比對條件中出現的 IP 位址的要求。

   5. 重複步驟九，直到您已建立所有想要新增至 Web ACL 的規則。

   6. 選擇建立。

   7. 繼續執行步驟 10。

10. 針對 Web ACL 中的每個規則或規則群組，選擇要 AWS WAF 傳統提供的管理類型，如下所示：

    • 針對每個規則，選擇您是否希望 AWS WAF 傳統根據規則中的條件允許、封鎖或計算 Web 要求：

      • 允許 — API Gateway CloudFront 或應用程式負載平衡器會回應要求的物件。在的情況下 CloudFront，如果物件不在邊緣快取中，請將要求 CloudFront 轉寄至原始位置。

      • 封鎖 — API Gateway CloudFront 或應用 Application Load Balancer 會使用 HTTP 403 (禁止) 狀態碼回應要求。CloudFront 也可以使用自定義錯誤頁面響應。如需詳細資訊，請參閱 使用 AWS WAF 經典與 CloudFront 自定義錯誤頁面。

      • 計數 — AWS WAF 傳統會遞增符合規則中條件的要求計數器，然後繼續根據 Web ACL 中的其餘規則檢查 Web 要求。

        如需先使用 Count (計數) 來測試 Web ACL，再開始用於允許或封鎖 Web 請求的詳細資訊，請參閱計數在 Web ACL 中符合規則的 web 請求。

    • 對於每個規則群組，設定規則群組的覆寫動作：

      • 不覆寫 — 使規則群組中個別規則的動作被使用。

      • 覆寫計數 — 覆寫群組中個別規則指定的任何區塊動作，以便僅計算所有相符的請求。

      如需詳細資訊，請參閱 規則群組覆寫。

11. 如果您要變更 Web ACL 中規則的順序，請使用「順序」欄中的箭頭。 AWS WAF 典型會根據規則在 Web ACL 中出現的順序來檢查 Web 請求。

12. 如果您想要移除新增到 Web ACL 的規則，在該規則列選擇 x。

13. 選擇 Web ACL 的預設動作。當 Web 請求與此 Web ACL 中任何規則中的條件不匹配時， AWS WAF 經典採取的操作。如需詳細資訊，請參閱 決定 Web ACL 的預設動作。

14. 選擇 Review and create (檢閱和建立)。

15. 檢視 Web ACL 的設定，然後選擇確認並建立。