本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
建立規則和新增條件
這是AWS WAF傳統文件中)。如果您在 2019 年 11 月 AWS WAF 之前建立 AWS WAF 資源 (例如規則和 Web ACL),而且並未將其移轉至最新版本,則應該只使用此版本。若要移轉資源,請參閱 遷移您的AWS WAF傳統資源AWS WAF。
如需的最新版本AWS WAF,請參AWS WAF。
如果您將一個以上的條件新增至規則,Web 請求必須符合AWS WAF傳統式:允許或封鎖根據該規則的請求。
建立規則並新增條件
登入AWS Management Console開啟AWS WAF主控台https://console.aws.amazon.com/wafv2/
。 如果您看到切換到AWS WAF傳統,選取 Toles (導覽窗格)。
在導覽窗格中,選擇 Rules (規則)。
選擇 Create rule (建立規則)。
輸入下列值:
- 名稱
輸入名稱。
- CloudWatch 指標名稱
輸入 CloudWatch 的指標AWS WAFClassic 將會建立此規則並將其與規則關聯。名稱只能包含英數字元 (A-Z、a-z、0-9),最大長度為 128 且最短長度為 1。不能包含空格或保留給AWS WAF經典,包括「All」和「默認-操作」。
- Rule type (規則類型)
選擇
Regular rule
或Rate–based rule
。基於速率的規則與一般規則相同,但還會考慮五分鐘,從 IP 地址所發出的請求數量。如需這些規則類型的詳細資訊,請參閱操作方式AWS WAF傳統作品。- 速率限制
-
對於以速率為基礎的規則,輸入五分鐘期間內允許來自符合規則條件之 IP 地址的最大請求數量。速率限制必須至少為 100。
您可以單獨指定速率限制,也可以同時指定速率限制和條件。如果您只指定速率限制,AWS WAF 會對所有 IP 地址設定限制。如果您同時指定速率限制和條件,AWS WAF 會針對符合條件的 IP 地址設定限制。
當 IP 地址達到速率限制閾值時,AWS WAF 會盡快套用指派的動作 (封鎖或計數),通常會在 30 秒內套用。動作就緒後,如果五分鐘過後沒有來自 IP 地址的請求,AWS WAF 會將計數器重設為零。
若要新增條件至規則,請指定以下值:
- 請求為有 (does)/沒有 (does not) 的時機
如果您想要...AWS WAFClassic (傳統) 若要根據條件的篩選項目來允許或封鎖請求,選擇不會發展。例如,IP 比對條件如果包含 IP 地址範圍 192.0.2.0/24,且您想讓AWS WAF傳統版要允許或阻止來自這些 IP 地址的請求,請選擇不會發展。
如果您想要...AWS WAFClassic (傳統) 若要根據條件篩選的反向來允許或封鎖請求,選擇不會。例如,IP 比對條件如果包含 IP 地址範圍 192.0.2.0/24,且您想讓AWS WAF傳統條件,允許或封鎖不要來自這些 IP 地址,請選擇不會。
- 符合/來自
選擇要新增到規則的條件類型。
跨網站指令碼比對條件 — 選擇至少符合跨網站指令碼比對條件裡的一項篩選條件
IP 比對條件 — 選擇源自的 IP 地址
地理匹配條件 — 選擇源於的地理位置
大小約束條件 — 選擇至少符合容量限制條件裡的一項篩選條件
SQL Injection 比對條件 — 選擇至少符合 SQL injection 比對條件裡的一項篩選條件
字符串匹配條件 — 選擇至少符合字串比對條件裡的一項篩選條件
正則表達式匹配條件 — 選擇至少符合規則運算式比對條件裏的一項篩選條件
- 條件名稱
選擇要新增到規則的條件。指清單只顯示您在前述步驟中所選擇的條件類型。
若要新增其他條件至規則,請選擇新增另一個條件,並重複步驟四和五。注意下列事項:
如果您新增一個以上的條件,Web 請求必須符合每個條件中的至少一個篩選條件AWS WAF基於此規則允許或封鎖請求的傳統條件
如果將兩個 IP 匹配條件添加到同一規則,AWS WAF傳統版只有在請求源自的 IP 地址同時出現在這兩個 IP 比對條件時,才會進行允許或封鎖
完成新增條件,請選擇建立。