編輯網路 ACL - AWS WAF、AWS Firewall Manager 與 AWS Shield Advanced

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

編輯網路 ACL

若要從 Web ACL 新增或移除規則,或變更組態設定,請使用此頁面上的程序存取 Web ACL。更新 Web ACL 時,AWS WAF提供您與 Web ACL 相關聯的資源的持續涵蓋範圍。

生產流量風險

在 Web ACL 中針對生產流量部署變更之前,請先在測試或測試環境中對其進行測試和調整,直到您熟悉對流量的潛在影響為止。然後在啟用生產流量之前,在計數模式下測試和調整您更新的規則。如需準則,請參閱測試和調整您的AWS WAF保護

注意

在網頁 ACL 中使用超過 1,500 個 WCU 會產生超出基本網頁 ACL 價格的成本。如需詳細資訊,請參閱 AWS WAF網路 ACL 容量單位 (WCU)AWS WAF定價

編輯 Web ACL
  1. 請登入AWS Management Console並開啟AWS WAF主控台,網址為 https://console.aws.amazon.com/wafv2/

  2. 在導覽窗格中,選擇 Web ACL

  3. 選擇您要編輯的 Web ACL 名稱。主控台會帶您前往 Web ACL 的說明。

    注意

    由 AWS Firewall Manager 管理的 Web ACL 具有以開頭 FMManagedWebACLV2- 的名稱。Firewall Manager 員管理員可以在 Firewall Manager 員AWS WAF策略中管理 這些 Web ACL 可能包含指定為在 Web ACL 中第一個和最後一個執行的規則群組集,位在您新增和管理的任何規則或規則群組的前面或後面。您無法變更任何第一個和最後一個規則群組規格。第一個和最後一個規則群組的名稱分別以PREFMManaged-POSTFMManaged-開頭。如需這些政策的詳細資訊,請參閱AWS WAF 政策:

  4. 視需要編輯網頁 ACL。選擇您感興趣的配置區域的標籤,然後編輯可變設置。對於您編輯的每個設定,當您選擇 [儲存] 並返回 Web ACL 的描述頁面時,主控台會儲存您對 Web ACL 的變更。

    以下列出包含 Web ACL 組態元件的索引標籤。

    • 規則標籤

      • Web ACL 中定義的規則 — 您可以編輯和管理在 Web ACL 中定義的規則,類似於建立 Web ACL 期間的規則。

        注意

        請勿變更您未手動新增至 Web ACL 的任何規則名稱。如果您使用其他服務來管理規則,變更其名稱可能會移除或降低其提供預期保護的能力。 AWS Shield Advanced並且AWS Firewall Manager兩者都在您的 Web ACL 中創建規則。如需相關資訊,請參閱 由其他服務提供的規則群組

        注意

        如果您變更規則的名稱,並希望規則的量度名稱反映變更,您也必須更新量度名稱。 AWS WAF變更規則名稱時,不會自動更新規則的度量名稱。您可以在主控台中編輯規則時,使用規則 JSON 編輯器變更量度名稱。您也可以透過 API 和任何用來定義 Web ACL 或規則群組的 JSON 清單中變更名稱。

        如需有關規則和規則群組設定的資訊,請參閱AWS WAF 規則規則群組

      • 使用的 Web ACL 規則容量單位 — Web ACL 目前的容量使用量。這是僅供檢視。

      • 不符合任何規則之請求的預設 Web ACL 動作 — 如需有關此設定的詳細資訊,請參閱網頁 ACL 預設動作

      • Web ACL 驗證碼和挑戰配置 — 這些免疫時間決定了 CAPTCHA 或挑戰令牌在獲取後仍然有效的時間。您只能在建立 Web ACL 之後,在此修改此設定。如需這些設定的資訊,請參閱 時間戳記到期:權杖豁免時間

      • Token 網域清單 — AWS WAF 接受清單中所有網域的權杖,以及相關資源的網域。如需詳細資訊,請參閱 設定 Web ACL 權杖網域清單

    • 關聯的AWS資源標籤

      • Web 請求檢查大小限制 — 僅適用於保護 CloudFront 散佈的 Web ACL。本體檢查尺寸限制決定了要轉送到多少主體組件進AWS WAF行檢查。如需有關此設定的詳細資訊,請參閱 CloudFront Web ACL 的車身檢查尺寸限制

      • 關聯AWS資源 — Web ACL 目前與之關聯並保護的資源清單。您可以找到與 Web ACL 位於相同區域內的資源,並將其與 Web ACL 相關聯。如需詳細資訊,請參閱 建立 Web ACL 與資源的關聯或取消關聯 AWS

    • 自訂回應主體標籤

      • 可供動作設定為的 Web ACL 規則使用的自訂回應主體Block。如需詳細資訊,請參閱 Block動作的自訂回應

    • 記錄和指標索引標

更新期間暫時不一致

當您建立或變更 Web ACL 或其他AWS WAF資源時,變更需要少量時間才能傳播到儲存資源的所有區域。傳輸時間可以是幾秒鐘到分鐘數。

以下是您在變更傳播期間可能會注意到的暫時性不一致的範例:

  • 建立 Web ACL 之後,如果您嘗試將其與資源建立關聯,可能會出現例外狀況,指出 Web ACL 無法使用。

  • 將規則群組新增至 Web ACL 後,新規則群組規則可能會在使用 Web ACL 的某個區域中生效,而不會在另一個區域中生效。

  • 變更規則動作設定後,您可能會在某些地方看到舊動作,而在其他地方看到新動作。

  • 將 IP 位址新增至封鎖規則中使用的 IP 集後,該新位址可能會在某個區域遭到封鎖,而另一個區域仍允許使用該 IP 位址。