建立 Web ACL - AWS WAF、 AWS Firewall Manager、和 AWS Shield Advanced

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

建立 Web ACL

若要建立新的 Web ACL,請按照此頁面上的程序使用 Web ACL 建立精靈。

生產流量風險

在 Web ACL 中針對生產流量部署變更之前,請先在測試或測試環境中對其進行測試和調整,直到您熟悉對流量的潛在影響為止。然後在啟用生產流量之前,在計數模式下測試和調整您更新的規則。如需準則,請參閱測試和調整您的 AWS WAF 保護

注意

在網頁 ACL 中使用超過 1,500 個 WCU 會產生超出基本網頁 ACL 價格的成本。如需詳細資訊,請參閱 AWS WAF 網路 ACL 容量單位 (WCU)AWS WAF 定價

建立 Web ACL

  1. 請登入 AWS Management Console 並開啟 AWS WAF 主控台,網址為 https://console.aws.amazon.com/wafv2/

  2. 在導覽窗格中,選擇 Web ACL,然後選擇 Create web ACL (建立 Web ACL)

  3. 對於 Name (名稱),輸入您要用來識別此 Web ACL 的名稱。

    注意

    建立 Web ACL 後無法修改名稱。

  4. (選擇性) 對於 Description - optional (描述 - 選用性),如果需要,請為 Web ACL 輸入較長的描述。

  5. 若為CloudWatch 量度名稱,請變更預設名稱 (如果適用)。遵循主控台上的指引,以瞭解有效的字元。名稱不能包含特殊字元、空格或為其保留的量度名稱 AWS WAF,包括「全部」和「Default_Action」。

    注意

    建立 Web ACL 之後,您就無法變更 CloudWatch 量度名稱。

  6. 在 [資源類型] 下,選擇您要與此 Web ACL 建立關聯的 AWS 資源類別 (Amazon CloudFront 分發或區域資源)。如需詳細資訊,請參閱 建立 Web ACL 與資源的關聯或取消關聯 AWS

  7. 對於「地區」,如果您已選擇區域資源類型,請選擇 AWS WAF 要儲存 Web ACL 的地區。

    您只需要針對區域資源類型選擇此選項。對於 CloudFront 分發,針對全球 () 應用程式,區域會硬式編碼至美國東部 (維吉尼亞北部CloudFront) 區域。us-east-1

  8. (CloudFront、API Gateway、Amazon Cognito、應用程式執行器和驗證存取) 對於 Web 請求檢查大小限制-選用,如果您想要指定不同的本體檢查大小限制,請選取限制。檢測超過預設 16 KB 的機身尺寸可能會產生額外費用。如需此選項的詳細資訊,請參閱管理車身檢查尺寸限制

  9. (選擇性) 針對關聯 AWS 資源-選用,如果您要立即指定資源,請選擇 [新增 AWS 資源]。在對話方塊中,選擇您要關聯的資源,然後選擇 [新增]。 AWS WAF 返回「描述 Web ACL 和相關 AWS 資源」頁面。

  10. 選擇下一步

  11. (選用) 如果您要新增受管規則群組,在 Add rules and rule groups (新增規則和規則群組) 頁面上,選擇 Add rules (新增規則),然後選擇 Add managed rule groups (新增受管規則群組)。對於您要新增的每個受管規則群組執行下列動作:

    1. 在「新增受管規則群組」頁面上,展開 AWS 受管規則群組或您選擇的 AWS Marketplace 賣家的刊登物品。

    2. 針對您要新增的規則群組,在「動作」欄中,開啟「新增至 Web ACL」切換。

      若要自訂 Web ACL 使用規則群組的方式,請選擇 [編輯]。以下是常見的自訂設定:

      • 覆寫部分或所有規則的規則動作。如果您未定義規則的覆寫動作,則評估會使用規則群組內定義的規則動作。如需此選項的詳細資訊,請參閱規則群組的動作覆寫選項

      • 新增範圍向下陳述式,以減少規則群組檢查的 Web 要求範圍。如需此選項的詳細資訊,請參閱範圍向下語句

      • 某些受管規則群組會要求您提供其他組態。請參閱受管規則群組提供者的說明文件。如需 AWS 受管規則規則群組的特定資訊,請參閱AWS 的受管規則 AWS WAF

      完成設定後,請選擇 [儲存規則]。

    選擇 Add rules (新增規則) 以完成新增受管規則,並回到 Add rules and rule group (新增規則和規則群組) 頁面。

  12. (選用) 如果您要新增自己的規則群組,在 Add rules and rule groups (新增規則和規則群組) 頁面上,選擇 Add rules (新增規則),然後選擇 Add my own rules and rule groups (新增我自己的規則和規則群組)。對於您要新增的每個規則群組執行下列動作:

    1. Add my own rules and rule groups (新增我自己的規則和規則群組) 頁面上,選擇 Rule group (規則群組)

    2. 名稱中,輸入要用於此 Web ACL 中規則群組規則的名稱。請勿使用以AWSShieldPreFM或開頭的名稱PostFM。這些字串是保留的,或者可能會與其他服務為您管理的規則群組造成混淆。請參閱由其他服務提供的規則群組

    3. 從清單中選擇您的規則群組。

      注意

      如果您要覆寫自己的規則群組的規則動作,請先將其儲存到 Web ACL,然後在 Web ACL 的規則清單中編輯 Web ACL 和規則群組參考陳述式。您可以將規則動作覆寫為任何有效的動作設定,就像您對受管規則群組執行的操作一樣。

    4. 選擇新增規則

  13. (選用) 如果您要新增自己的規則,在 Add rules and rule groups (新增規則和規則群組) 頁面上,選擇 Add rules (新增規則)Add my own rules and rule groups (新增我自己的規則和規則群組)Rule builder (規則建置器)Rule visual editor (規則視覺化編輯器)

    注意

    主控台 Rule visual editor (規則視覺化編輯器) 支援一個層級的巢狀化。例如,您可以使用單一邏輯ANDOR陳述式,並在其中嵌套一個層級的其他陳述式,但您無法在邏輯陳述式中巢狀化邏輯陳述式。若要管理更複雜的規則陳述式,請使用 Rule JSON editor(規則 JSON 編輯器)。如需有關規則的所有選項的資訊,請參閱 AWS WAF 規則

    此程序涵蓋 Rule visual editor (規則視覺化編輯器)

    1. 對於 Name (名稱),輸入您要用來識別此規則的名稱。請勿使用以AWSShieldPreFM或開頭的名稱PostFM。這些字串是保留的,或者可能會與其他服務為您管理的規則群組造成混淆。

    2. 根據您的需求輸入規則定義。您可以在邏輯陳述式AND和規則陳述式中結合規OR則。精靈會根據內容,引導您完成每個規則的選項。如需規則選項的相關資訊,請參閱 AWS WAF 規則

    3. 對於 Action (動作),選取規則在比對到 Web 請求時要採取的動作。如需有關您的選擇的相關資訊,請參閱 規則動作Web ACL 規則和規則群組評估

      如果您正在使用CAPTCHAChallenge動作,請根據規則的需要調整豁免時間組態。如果未指定設定,則規則會從 Web ACL 繼承該設定。若要修改 Web ACL 免疫時間設定,請在建立 Web ACL 之後對其進行編輯。有關免疫時間的更多信息,請參閱時間戳記到期: AWS WAF 權杖豁免時間

      注意

      如果您在其中一項規則中使用CAPTCHA或規Challenge則動作,或是規則群組中的規則動作覆寫,系統會向您收取額外費用。如需詳細資訊,請參閱 AWS WAF 定價

      如果您想要自訂要求或回應,請選擇該要求或回應的選項,然後填入您的自訂詳細資訊。如需詳細資訊,請參閱 定制的 Web 請求和響應 AWS WAF

      如果您希望規則為匹配的 Web 請求添加標籤,請選擇相應的選項並填寫標籤詳細信息。如需詳細資訊,請參閱 AWS WAF 標籤, 上, 网, 請求

    4. 選擇新增規則

  14. 選擇 Web ACL 的預設動作,Block或Allow。當 Web ACL 中的規則未明確允許或封鎖 AWS WAF 要求時,這是針對要求所採取的動作。如需詳細資訊,請參閱 網頁 ACL 預設動作

    如果要自定義默認操作,請選擇該操作的選項並填寫自定義的詳細信息。如需詳細資訊,請參閱 定制的 Web 請求和響應 AWS WAF

  15. 您可以定義 Token 網域清單,以啟用受保護應用程式之間的權杖共用。當您將 AWS 受管規則規則群組用於詐騙控制帳戶建立詐騙預防 (ACFP)、 AWS WAF AWS WAF 詐騙控制帳戶接管預防 (ATP) 和機器人控制時,您實Challenge作的和動作以及 AWS WAF 應用程式整合 SDK 會使用 Token。CAPTCHA

    不允許使用公共後綴。例如,您無法使用gov.auco.uk做為權杖網域。

    默認情況下,僅 AWS WAF 接受保護資源的域令牌。如果您在此清單中新增 Token 網域,請 AWS WAF 接受清單中所有網域和相關資源網域的權杖。如需詳細資訊,請參閱 AWS WAF 網絡 ACL 令牌域列表配置

  16. 選擇下一步

  17. 在「設定規則優先順序」頁面中,選取規則和規則群組,並將其移至您要 AWS WAF 處理它們的順序。 AWS WAF 處理從清單頂端開始的規則。儲存 Web ACL 時,會依照規則的列示順序, AWS WAF 將數字優先順序設定指定給規則。如需詳細資訊,請參閱 Web ACL 中規則和規則群組的處理順序

  18. 選擇下一步

  19. 在「設定測量結果」頁面中,檢閱選項並套用您需要的任何更新。您可以為多個來源提供相同的量度名稱,以合併來自多個來源的CloudWatch 量度。

  20. 選擇下一步

  21. Review and create web ACL (檢閱並建立 Web ACL) 頁面中,檢查您的定義。如果您要變更任何區域,請針對區域選擇 Edit (編輯)。這會帶您回到 Web ACL 精靈中的頁面。進行任何變更,然後在頁面中選擇 Next (下一步),直到您返回 Review and create web ACL (檢閱並建立 Web ACL) 頁面為止。

  22. 選擇 建立 Web ACL。您的新 Web ACL 會列在 Web ACL 頁面中。