建立規則和新增條件 - AWS WAF、AWS Firewall Manager 與 AWS Shield Advanced

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

建立規則和新增條件

注意

這是AWS WAF傳統文件中)。如果您在 2019 年 11 月 AWS WAF 之前建立 AWS WAF 資源 (例如規則和 Web ACL),而且並未將其移轉至最新版本,則應該只使用此版本。若要移轉資源,請參閱 遷移您的AWS WAF傳統資源AWS WAF

如需的最新版本AWS WAF,請參閱AWS WAF

如果您將一個以上的條件新增至規則,Web 請求必須符合AWS WAF傳統,允許或封鎖根據規則的請求。

建立規則並新增條件

  1. 登入。AWS Management Console開啟AWS WAF主控台https://console.aws.amazon.com/wafv2/

  2. 在導覽窗格中,選擇 Rules (規則)

  3. 選擇 Create rule (建立規則)。

  4. 輸入下列值:

    名稱

    輸入名稱。

    CloudWatch 指標名稱

    輸入 CloudWatch 指標的名稱,AWS WAF傳統將會建立此規則並將其與規則關聯。名稱只能包含英數字元 (A-Z、a-z、0-9),最大長度為 128 且最短長度為 1。不能包含空格或保留給使用的指標名稱AWS WAF經典,包括「All」和「Default_Action」。

    Rule type (規則類型)

    選擇 Regular ruleRate–based rule。以速率為基礎的規則與一般規則相同,但還會考慮每五分鐘,從 IP 地址所發出的請求數量。如需這些規則類型的詳細資訊,請參閱操作說明AWS WAF傳統作品

    速率限制

    對於以速率為基礎的規則,輸入五分鐘期間內允許來自符合規則條件之 IP 地址的最大請求數量。速率限制必須至少為 100。

    您可以單獨指定速率限制,也可以同時指定速率限制和條件。如果您只指定速率限制,AWS WAF 會對所有 IP 地址設定限制。如果您同時指定速率限制和條件,AWS WAF 會針對符合條件的 IP 地址設定限制。

    當 IP 地址達到速率限制閾值時,AWS WAF 會盡快套用指派的動作 (封鎖或計數),通常會在 30 秒內套用。動作就緒後,如果五分鐘過後沒有來自 IP 地址的請求,AWS WAF 會將計數器重設為零。

  5. 若要新增條件至規則,請指定以下值:

    請求為有 (does)/沒有 (does not) 的時機

    如果您想要...AWS WAF傳統若要根據條件篩選項目來允許或封鎖請求,選擇do。例如,IP 比對條件如果包含 IP 地址範圍 192.0.2.0/24,且您想讓AWS WAF如果要允許或封鎖來自這些 IP 位址的要求,請選擇do

    如果您想要...AWS WAF傳統若要根據條件篩選的反向來允許或封鎖請求,選擇。例如,IP 比對條件如果包含 IP 地址範圍 192.0.2.0/24,且您想讓AWS WAF允許或阻止來自這些 IP 位址,請選擇

    符合/來自

    選擇要新增到規則的條件類型。

    • 跨網站指令碼比對條件:選擇至少符合跨網站指令碼比對條件裡的一項篩選條件

    • IP 比對條件 — 選擇源自的 IP 地址

    • 地理比對條件 — 選擇源於的地理位置

    • 尺寸限制條件 — 選擇至少符合容量限制條件裡的一項篩選條件

    • SQL Infaection 比對條件-選擇至少符合 SQL injection 比對條件裡的一項篩選條件

    • 字串比對條件 — 選擇至少符合字串比對條件裡的一項篩選條件

    • 規則運算式符合條件 — 選擇至少符合規則運算式比對條件裡的一項篩選條件

    條件名稱

    選擇要新增到規則的條件。指清單只顯示您在前述步驟中所選擇的條件類型。

  6. 若要新增其他條件至規則,請選擇新增另一個條件,並重複步驟四和五。請注意以下各項:

    • 如果您新增一個以上的條件,Web 請求必須符合每個條件中的至少一個篩選條件AWS WAF傳統可根據該規則允許或封鎖要求

    • 如果您將兩個 IP 符合條件新增至相同的規則,AWS WAF傳統只有在請求源自的 IP 地址同時出現在這兩個 IP 比對條件時,才會進行允許或封鎖

  7. 完成新增條件,請選擇建立