**引入全新的主机体验 AWS WAF** 现在,您可以使用更新的体验访问控制台中任意位置的 AWS WAF 功能。有关更多详细信息,请参阅[使用控制台](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html)。 本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 在中编辑保护包 (Web ACL) AWS WAF ------ #### [ Using the new console ] 本节提供通过 AWS 控制台编辑保护包 (Web ACLs) 的过程。 要在保护包(web ACL)中添加或删除规则或更改配置设置,请使用本页面上的步骤访问保护包(web ACL)。更新保护包 (Web ACL) AWS WAF 时,可以持续覆盖与保护包 (Web ACL) 关联的资源。 **生产流量风险** 在保护包(web ACL)中为生产流量部署更改之前,请在暂存或测试环境中对其进行测试和调整,直到您对流量可能产生的影响感到满意。然后,在启用之前,在计数模式下使用生产流量对更新后的规则进行测试和调整。有关指南,请参阅[测试和调整您的 AWS WAF 保护措施](web-acl-testing.md)。 **注意** 在保护包 (Web ACL) WCUs 中使用超过 1,500 的保护包会产生超出基本保护包 (Web ACL) 价格的成本。有关更多信息,请参阅 [Web ACL 容量单位 (WCUs) AWS WAF](aws-waf-capacity-units.md) 和 [AWS WAF 定价](https://aws.amazon.com/waf/pricing/)。 **编辑保护包(web ACL)** 1. 登录新版 AWS 管理控制台 并通过 [https://console.aws.amazon.com/waf](https://console.aws.amazon.com/wafv2-pro) v2-pro 打开 AWS WAF 控制台。 1. 在导航窗格中,选择**资源和保护包 (Web ACLs)**。 1. 选择要编辑的保护包(web ACL)。控制台使主保护包(web ACL)卡可编辑,还会打开可在其中编辑详细信息的侧面板。 1. 根据需要编辑保护包(web ACL)。 以下列出可编辑的保护包(web ACL)配置组件。 本节提供 ACLs 通过 AWS 控制台编辑 Web 的过程。 要在 web ACL 中添加或删除规则或更改配置设置,请使用本页面上的步骤访问 web ACL。更新 Web ACL 时 AWS WAF ,可以持续覆盖您与 Web ACL 关联的资源。 **生产流量风险** 在 web ACL 中为生产流量部署更改之前,请在暂存或测试环境中对其进行测试和调整,直到您对流量可能产生的影响感到满意。然后,在启用之前,在计数模式下使用生产流量对更新后的规则进行测试和调整。有关指南,请参阅[测试和调整您的 AWS WAF 保护措施](web-acl-testing.md)。 **注意** 在保护包 (Web ACL) WCUs 中使用超过 1,500 的保护包会产生超出基本保护包 (Web ACL) 价格的成本。有关更多信息,请参阅 [Web ACL 容量单位 (WCUs) AWS WAF](aws-waf-capacity-units.md) 和 [AWS WAF 定价](https://aws.amazon.com/waf/pricing/)。 **更新期间暂时出现不一致** 创建或更改保护包 (Web ACL) 或其他 AWS WAF 资源时,更改需要很少的时间才能传播到存储资源的所有区域。传播时间可以从几秒钟到几分钟不等。 以下示例是更改传播过程中可能暂时出现的不一致: + 创建保护包(web ACL)后,如果您尝试将其与资源关联,则可能会出现异常,指示保护包(web ACL)不可用。 + 将规则组添加到保护包(web ACL)后,新的规则组规则可能在某个使用保护包(web ACL)的区域生效,而在另一个区域不生效。 + 更改规则操作设置后,可能会在某些位置显示旧操作而在另一些位置显示新操作。 + 将 IP 地址添加到阻止规则中使用的 IP 集后,新地址可能会在一个区域中被阻止,而在另一个区域中仍然允许。 ------ #### [ Using the standard console ] 本节提供 ACLs 通过 AWS 控制台编辑 Web 的过程。 要在 web ACL 中添加或删除规则或更改配置设置,请使用本页面上的步骤访问 web ACL。更新 Web ACL 时 AWS WAF ,可以持续覆盖您与 Web ACL 关联的资源。 **生产流量风险** 在 web ACL 中为生产流量部署更改之前,请在暂存或测试环境中对其进行测试和调整,直到您对流量可能产生的影响感到满意。然后,在启用之前,在计数模式下使用生产流量对更新后的规则进行测试和调整。有关指南,请参阅[测试和调整您的 AWS WAF 保护措施](web-acl-testing.md)。 **注意** 在保护包 (Web ACL) WCUs 中使用超过 1,500 的保护包会产生超出基本保护包 (Web ACL) 价格的成本。有关更多信息,请参阅 [Web ACL 容量单位 (WCUs) AWS WAF](aws-waf-capacity-units.md) 和 [AWS WAF 定价](https://aws.amazon.com/waf/pricing/)。 **编辑 web ACL** 1. 登录 AWS 管理控制台 并在 [https://console.aws.amazon.com/wafv2/homev](https://console.aws.amazon.com/wafv2/homev2) 2 上打开主 AWS WAF 机。 1. 在导航窗格中,选择 **Web ACLs**。 1. 选择要编辑的 web ACL 的名称。控制台会将您转到 web ACL 的描述。 1. 根据需要编辑 web ACL。选择您感兴趣的配置区域的选项卡,然后编辑可变设置。对于您编辑的每个设置,当您选择**保存**并返回 web ACL 的描述页面时,控制台会保存您对 web ACL 所做的更改。 下面列出了包含 web ACL 配置组件的选项卡。 + **规则**选项卡 + **在 web ACL 中定义的规则**:您可以编辑和管理在 web ACL 中定义的规则,正如您创建 web ACL 时的操作一样。 **注意** 请勿更改任何未手动添加到 web ACL 的规则的名称。如果您使用其他服务为您管理规则,则更改其名称可能会取消或削弱他们提供预期保护的能力。 AWS Shield Advanced 并且 AWS Firewall Manager 两者都可以在您的 Web ACL 中创建规则。有关信息,请参阅[识别其他服务提供的规则组](waf-service-owned-rule-groups.md)。 **注意** 如果您更改了规则的名称,并且希望该规则的指标名称反映更改,则还必须更新该指标名称。 AWS WAF 当您更改规则名称时,不会自动更新规则的指标名称。在控制台中编辑规则时,您可以使用规则 JSON 编辑器更改指标名称。您还可以通过 APIs 和更改用于定义保护包 (Web ACL) 或规则组的任何 JSON 列表中的名称。 有关规则和规则组设置的信息,请参阅 [AWS WAF 规则](waf-rules.md) 和 [AWS WAF 规则组](waf-rule-groups.md)。 + **web ACL 规则使用的容量单位**:web ACL 的当前容量使用情况。这一项仅供查看。 + **与任何规则都不匹配的请求的默认 web ACL 操作**:有关此设置的信息,请参阅 [在中设置保护包 (Web ACL) 的默认操作 AWS WAF](web-acl-default-action.md)。 + **web ACL 验证码和质询配置**:这些免疫时间决定了验证码或质询令牌在被获取后的有效时间。只有在创建 web ACL 之后,才能在此处修改此设置。有关这些设置的信息,请参阅 [将时间戳到期时间和令牌免疫时间设置为 AWS WAF](waf-tokens-immunity-times.md)。 + **令牌域名列表** — AWS WAF 接受列表中所有域名和关联资源域的令牌。有关更多信息,请参阅 [AWS WAF 保护包 (Web ACL) 令牌域列表配置](waf-tokens-domains.md#waf-tokens-domain-lists)。 + “**关联 AWS 资源**” 选项卡 + **Web 请求检查大小限制** — 仅适用于保护 CloudFront 发行版 ACLs 的 Web。车身检查的大小限制决定了车身部件的多少被转 AWS WAF 送到接受检查。有关该设置的更多信息,请参阅 [管理人体检查的注意事项 AWS WAF](web-acl-setting-body-inspection-limit.md)。 + **关联 AWS 资源**:web ACL 当前关联并保护的资源列表。您可以找到与 web ACL 位于同一区域的资源,并将它们与 web ACL 关联起来。有关更多信息,请参阅 [将保护与资源关联或取消关联 AWS](web-acl-associating-aws-resource.md)。 + **自定义响应正文**选项卡 + 自定义响应正文可供将操作设置为 Block 的 web ACL 规则使用。有关更多信息,请参阅 [发送 Block 操作的自定义响应](customizing-the-response-for-blocked-requests.md)。 + **日志和指标**选项卡 + **日志记录**:记录 web ACL 评估的流量。有关信息,请参阅[记录 AWS WAF 保护包 (Web ACL) 流量](logging.md)。 + **Security Lake 集成**:您在 Amazon Security Lake 中为 web ACL 配置的所有数据收集的状态。有关信息,请参阅 *Amazon Security Lake 用户指南*中的[从 AWS 服务收集数据](https://docs.aws.amazon.com/security-lake/latest/userguide/internal-sources.html)。 + **采样的请求**:有关与 web 请求匹配的规则的信息。有关查看采样请求的信息,请参阅 [查看 web 请求示例](web-acl-testing-view-sample.md)。 + **数据保护设置**-您可以为 Web ACL 的所有可用数据以及仅针对 AWS WAF 发送到已配置的 Web ACL 日志记录目标的数据配置 Web 流量数据编辑和筛选。有关数据保护的信息,请参阅 [保护包 (Web ACL) 流量的数据 AWS WAF 保护和日志记录](waf-data-protection-and-logging.md)。 + **CloudWatch 指标** — Web ACL 中规则的指标。有关 Amazon CloudWatch 指标的信息,请参阅[使用 Amazon 进行监控 CloudWatch](monitoring-cloudwatch.md)。 **更新期间暂时出现不一致** 创建或更改保护包 (Web ACL) 或其他 AWS WAF 资源时,更改需要很少的时间才能传播到存储资源的所有区域。传播时间可以从几秒钟到几分钟不等。 以下示例是更改传播过程中可能暂时出现的不一致: + 创建保护包(web ACL)后,如果您尝试将其与资源关联,则可能会出现异常,指示保护包(web ACL)不可用。 + 将规则组添加到保护包(web ACL)后,新的规则组规则可能在某个使用保护包(web ACL)的区域生效,而在另一个区域不生效。 + 更改规则操作设置后,可能会在某些位置显示旧操作而在另一些位置显示新操作。 + 将 IP 地址添加到阻止规则中使用的 IP 集后,新地址可能会在一个区域中被阻止,而在另一个区域中仍然允许。 ------