建立規則和新增條件 - AWS WAF、AWS Firewall Manager 與 AWS Shield Advanced

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

建立規則和新增條件

注意

這是AWS WAF傳統文件中)。如果您在 2019 年 11 月 AWS WAF 之前建立 AWS WAF 資源 (例如規則和 Web ACL),而且並未將其移轉至最新版本,則應該只使用此版本。若要移轉資源,請參閱 遷移您的AWS WAF傳統資源AWS WAF

如需的最新版本AWS WAF,請參AWS WAF

如果您將一個以上的條件新增至規則,Web 請求必須符合AWS WAF傳統式:允許或封鎖根據該規則的請求。

建立規則並新增條件

  1. 登入AWS Management Console開啟AWS WAF主控台https://console.aws.amazon.com/wafv2/

    如果您看到切換到AWS WAF傳統,選取 Toles (導覽窗格)。

  2. 在導覽窗格中,選擇 Rules (規則)。

  3. 選擇 Create rule (建立規則)

  4. 輸入下列值:

    名稱

    輸入名稱。

    CloudWatch 指標名稱

    輸入 CloudWatch 的指標AWS WAFClassic 將會建立此規則並將其與規則關聯。名稱只能包含英數字元 (A-Z、a-z、0-9),最大長度為 128 且最短長度為 1。不能包含空格或保留給AWS WAF經典,包括「All」和「默認-操作」。

    Rule type (規則類型)

    選擇 Regular ruleRate–based rule。基於速率的規則與一般規則相同,但還會考慮五分鐘,從 IP 地址所發出的請求數量。如需這些規則類型的詳細資訊,請參閱操作方式AWS WAF傳統作品

    速率限制

    對於以速率為基礎的規則,輸入五分鐘期間內允許來自符合規則條件之 IP 地址的最大請求數量。速率限制必須至少為 100。

    您可以單獨指定速率限制,也可以同時指定速率限制和條件。如果您只指定速率限制,AWS WAF 會對所有 IP 地址設定限制。如果您同時指定速率限制和條件,AWS WAF 會針對符合條件的 IP 地址設定限制。

    當 IP 地址達到速率限制閾值時,AWS WAF 會盡快套用指派的動作 (封鎖或計數),通常會在 30 秒內套用。動作就緒後,如果五分鐘過後沒有來自 IP 地址的請求,AWS WAF 會將計數器重設為零。

  5. 若要新增條件至規則,請指定以下值:

    請求為有 (does)/沒有 (does not) 的時機

    如果您想要...AWS WAFClassic (傳統) 若要根據條件的篩選項目來允許或封鎖請求,選擇不會發展。例如,IP 比對條件如果包含 IP 地址範圍 192.0.2.0/24,且您想讓AWS WAF傳統版要允許或阻止來自這些 IP 地址的請求,請選擇不會發展

    如果您想要...AWS WAFClassic (傳統) 若要根據條件篩選的反向來允許或封鎖請求,選擇不會。例如,IP 比對條件如果包含 IP 地址範圍 192.0.2.0/24,且您想讓AWS WAF傳統條件,允許或封鎖不要來自這些 IP 地址,請選擇不會

    符合/來自

    選擇要新增到規則的條件類型。

    • 跨網站指令碼比對條件 — 選擇至少符合跨網站指令碼比對條件裡的一項篩選條件

    • IP 比對條件 — 選擇源自的 IP 地址

    • 地理匹配條件 — 選擇源於的地理位置

    • 大小約束條件 — 選擇至少符合容量限制條件裡的一項篩選條件

    • SQL Injection 比對條件 — 選擇至少符合 SQL injection 比對條件裡的一項篩選條件

    • 字符串匹配條件 — 選擇至少符合字串比對條件裡的一項篩選條件

    • 正則表達式匹配條件 — 選擇至少符合規則運算式比對條件裏的一項篩選條件

    條件名稱

    選擇要新增到規則的條件。指清單只顯示您在前述步驟中所選擇的條件類型。

  6. 若要新增其他條件至規則,請選擇新增另一個條件,並重複步驟四和五。注意下列事項:

    • 如果您新增一個以上的條件,Web 請求必須符合每個條件中的至少一個篩選條件AWS WAF基於此規則允許或封鎖請求的傳統條件

    • 如果將兩個 IP 匹配條件添加到同一規則,AWS WAF傳統版只有在請求源自的 IP 地址同時出現在這兩個 IP 比對條件時,才會進行允許或封鎖

  7. 完成新增條件,請選擇建立