**引入全新的主机体验 AWS WAF**

现在，您可以使用更新的体验访问控制台中任意位置的 AWS WAF 功能。有关更多详细信息，请参阅[使用控制台](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html)。

本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 步骤 4：创建并应用 AWS Firewall Manager AWS WAF 经典策略
<a name="classic-get-started-fms-create-security-policy"></a>

**警告**  
AWS WAF Classic 正在按计划 end-of-life进行。有关您所在地区的里程碑和日期，请参阅您的 AWS Health 控制面板。

**注意**  
这是 **AWS WAF Classic** 文档。只有在 2019 年 11 月 AWS WAF 之前创建了诸如规则和 Web ACLs 之类的 AWS WAF 资源，并且尚未将其迁移到最新版本时，才应使用此版本。要迁移您的网站 ACLs，请参阅[将您的 AWS WAF 经典资源迁移到 AWS WAF](waf-migrating-from-classic.md)。  
**有关的最新版本 AWS WAF，**请参阅[AWS WAF](waf-chapter.md)。

创建规则组后，即可创建 AWS Firewall Manager AWS WAF 策略。Firewall Manager AWS WAF 策略包含要应用于资源的规则组。<a name="classic-get-started-fms-create-security-policy-procedure"></a>

**创建 Firewall Manager AWS WAF 策略（控制台）**

1. 在您创建规则组（上一个过程[步骤 3：创建规则组](classic-get-started-fms-create-rule-group.md)中的最后一步）后，控制台会显示 **规则组摘要** 页面。选择**下一步**。

1. 对于**名称**，输入易于理解的名称。

1. 对于**策略类型**，选择 **WAF**。

1. 对于**区域**，选择一个 AWS 区域。要保护 Amazon CloudFront 资源，请选择 “**全球**”。

   要保护多个区域中的资源（ CloudFront 资源除外），必须为每个区域创建单独的 Firewall Manager 策略。

1. 选择要添加的规则组，然后选择 **添加规则组**。

1. 一个策略有两个可能的操作：**由规则组设置的操作**和**计数**。如果您要测试策略和规则组，请将操作设置为**计数**。此操作会覆盖该策略中包含的规则组指定的任何*阻止*操作。即，如果将策略的操作设置为**计数**，则只会对这些请求进行计数而不会阻止它们。相反，如果将策略的操作设置为**由规则组设置的操作**，则会使用该策略中规则组的操作。在本教程中，请选择**计数**。

1. 选择**下一步**。

1. 如果您希望仅在策略中包含特定账户，或者仅从策略中排除特定账户，请选择**选择要在此策略中包含/排除的账户（可选）**。选择**仅在此策略中包含这些账户**或**仅从此策略中排除这些账户**。您只能选择一个选项。选择**添加**。选择要包含或排除的账号，然后选择**确定**。
**注意**  
如果您不选择此选项，Firewall Manager 在 AWS Organizations中将策略应用于您组织中的所有账户。如果您将新账户添加到组织，Firewall Manager 会将该策略自动应用于该账户。

1. 选择要保护的资源的类型。

1. 如果您只想保护带特定标签的资源，或者排除带特定标签的资源，请选择 **使用标签来包含/排除资源**，输入标签，然后选择**包含**或**排除**。您只能选择一个选项。

   如果您输入了多个标签（以逗号分隔），并且某个资源带有任一这些标签，则会将该资源视为匹配项。

   有关标签的更多信息，请参阅[使用标签编辑器](https://docs.aws.amazon.com/awsconsolehelpdocs/latest/gsg/tag-editor.html)。

1. 选择**创建此策略并将其应用于现有资源和新资源**。

   此选项在组织中的每个适用账户中创建一个 Web ACL AWS Organizations，并将该 Web ACL 与账户中的指定资源相关联。此选项还将策略应用于符合上述条件（资源类型和标签）的所有新资源。或者，如果您选择**创建策略但不将策略应用于现有资源或新资源**，则 Firewall Manager 会在组织内的每个适用账户中创建一个 Web ACL，但不会将 Web ACL 应用于任何资源。您稍后必须将策略应用于资源。

1. 将 “**替换现有关联网页**” ACLs 的选项保留为默认设置。

   选择此选项后，Firewall Manager 会先从范围内资源中删除所有现有 Web ACL 关联，然后再将新策略的 Web ACLs ACL 关联与这些关联关联关联关联关联起来。

1. 选择**下一步**。

1. 查看新策略。要进行任何更改，请选择**编辑**。若您满意所创建的策略，请选择**创建策略**。