**推出 的新主控台體驗 AWS WAF**
您現在可以使用更新後的體驗,在主控台的任何位置存取 AWS WAF 功能。如需詳細資訊,請參閱[使用 主控台](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html)。
本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 使用受管規則群組
本節提供存取和管理受管規則群組的指引。
當您將受管規則群組新增至保護套件 (Web ACL) 時,您可以選擇與您自己的規則群組相同的組態選項,以及其他設定。
透過 主控台,您可以在在保護套件 (Web ACLs) 中新增和編輯規則的過程中存取受管規則群組資訊。透過 APIs和命令列界面 (CLI),您可以直接請求受管規則群組資訊。
當您在保護套件 (Web ACL) 中使用受管規則群組時,您可以編輯下列設定:
+ **版本** – 只有在規則群組進行版本控制時,才能使用此功能。如需詳細資訊,請參閱[在 中使用版本控制的受管規則群組 AWS WAF](waf-managed-rule-groups-versioning.md)。
+ **覆寫規則動作** – 您可以將規則群組中規則的動作覆寫為任何動作。將它們設定為 Count有助於在使用規則群組來管理您的 Web 請求之前測試規則群組。如需詳細資訊,請參閱[規則群組規則動作覆寫](web-acl-rule-group-override-options.md#web-acl-rule-group-override-options-rules)。
+ **縮小範圍陳述式** – 您可以新增縮小範圍陳述式,以篩選出您不想使用規則群組評估的 Web 請求。如需詳細資訊,請參閱[在 中使用縮小範圍陳述式 AWS WAF](waf-rule-scope-down-statements.md)。
+ **覆寫規則群組動作** – 您可以覆寫規則群組評估所產生的動作,並Count僅將其設定為 。此選項不常用。它不會改變 如何 AWS WAF 評估規則群組中的規則。如需詳細資訊,請參閱[規則群組傳回動作覆寫至 Count](web-acl-rule-group-override-options.md#web-acl-rule-group-override-options-rule-group)。
**編輯保護套件中的受管規則群組設定 (Web ACL)**
+ **主控台**
+ (選項) 當您將受管規則群組新增至保護套件 (Web ACL) 時,您可以選擇**編輯**以檢視和編輯設定。
+ (選項) 將受管規則群組新增至保護套件 (Web ACL) 之後,請從**保護套件 (Web ACLs**頁面選擇您剛建立的保護套件 (Web ACL)。這會帶您前往保護套件 (Web ACL) 編輯頁面。
+ 選擇 **Rules (規則)**。
+ 選取規則群組,然後選擇**編輯**以檢視和編輯設定。
+ **APIs和 CLI** – 在主控台之外,您可以在建立和更新保護套件 (Web ACL) 時管理受管規則群組設定。
# 擷取受管規則群組的清單
您可以擷取可在保護套件 (Web ACLs) 中使用的受管規則群組清單。此清單包含下列項目:
+ 所有 AWS 受管規則規則群組。
+ 您已訂閱的 AWS Marketplace 規則群組。
**注意**
如需訂閱 AWS Marketplace 規則群組的資訊,請參閱 [AWS Marketplace 規則群組](marketplace-rule-groups.md)。
當您擷取受管規則群組的清單時,您取得的清單取決於您使用的界面:
+ **主控台** – 透過主控台,您可以查看所有受管規則群組,包括您尚未訂閱的 AWS Marketplace 規則群組。對於您尚未訂閱的介面,介面會提供您可以遵循的連結來訂閱。
+ **APIs和 CLI** – 在主控台之外,您的請求只會傳回可供您使用的規則群組。
**擷取受管規則群組的清單**
+ **主控台** – 在建立 Web ACL 的過程中,在**新增規則和規則群組**頁面上,選擇**新增受管規則群組**。在最上層,會列出提供者名稱。展開每個提供者清單,以查看受管規則群組的清單。對於版本控制規則群組,此層級顯示的資訊適用於預設版本。當您將受管規則群組新增至保護套件 (Web ACL) 時,主控台會根據命名方案 列出規則群組`-`。
+ **API** –
+ `ListAvailableManagedRuleGroups`
+ **CLI** –
+ `aws wafv2 list-available-managed-rule-groups --scope=`
# 擷取受管規則群組中的規則
您可以擷取受管規則群組中的規則清單。API 和 CLI 呼叫會傳回您可以在 JSON 模型中或透過其參考的規則規格 AWS CloudFormation。
**擷取受管規則群組中的規則清單**
+ **主控台**
+ (選項) 當您將受管規則群組新增至保護套件 (Web ACL) 時,您可以選擇**編輯**以檢視規則。
+ (選項) 將受管規則群組新增至保護套件 (Web ACL) 之後,請從**保護套件 (Web ACLs**頁面選擇您剛建立的保護套件 (Web ACL)。這會帶您前往保護套件 (Web ACL) 編輯頁面。
+ 選擇 **Rules (規則)**。
+ 選取您要查看規則清單的規則群組,然後選擇**編輯**。 AWS WAF 顯示規則群組中的規則清單。
+ **API** – `DescribeManagedRuleGroup`
+ **CLI** – `aws wafv2 describe-managed-rule-group --scope= --vendor-name --name `
# 擷取受管規則群組的可用版本
受管規則群組的可用版本是尚未排定過期的版本。清單指出哪個版本是規則群組的目前預設版本。
**擷取受管規則群組可用版本的清單**
+ **主控台**
+ (選項) 當您將受管規則群組新增至保護套件 (Web ACL) 時,請選擇**編輯**以查看規則群組的資訊。展開**版本**下拉式清單以查看可用版本的清單。
+ (選項) 將受管規則群組新增至保護套件 (Web ACL) 之後,請在保護套件 (Web ACL) 上選擇**編輯**,然後選取並編輯規則群組規則。展開**版本**下拉式清單以查看可用版本的清單。
+ **API** –
+ `ListAvailableManagedRuleGroupVersions`
+ **CLI** –
+ `aws wafv2 list-available-managed-rule-group-versions --scope= --vendor-name --name `
# 透過主控台將受管規則群組新增至保護套件 (Web ACL)
本節說明如何透過主控台將受管規則群組新增至保護套件 (Web ACL)。本指南適用於所有 AWS 受管規則規則群組,以及您訂閱的 AWS Marketplace 規則群組。
**生產流量風險**
在生產流量的保護套件 (Web ACL) 中部署變更之前,請先在預備或測試環境中進行測試和調校,直到您對流量的潛在影響感到滿意為止。然後,使用生產流量在計數模式中測試和調整更新的規則,然後再啟用它們。如需準則,請參閱[測試和調校您的 AWS WAF 保護](web-acl-testing.md)。
**注意**
在保護套件 (Web ACL) 中使用超過 1,500 WCUs 會產生超出基本保護套件 (Web ACL) 價格的成本。如需詳細資訊,請參閱 [中的 Web ACL 容量單位 WCUs) AWS WAF](aws-waf-capacity-units.md) 和 [AWS WAF 定價](https://aws.amazon.com/waf/pricing/)。
**透過主控台將受管規則群組新增至保護套件 (Web ACL)**
**透過主控台將受管規則群組新增至 Web ACL**
1. 登入 AWS 管理主控台 並在 https://[https://console.aws.amazon.com/wafv2/homev2](https://console.aws.amazon.com/wafv2/homev2) 開啟 AWS WAF 主控台。
1. 在導覽窗格中選擇**保護套件 (Web ACLs)**。
1. 在**保護套件 (Web ACLs**頁面的保護套件 (Web ACLs) 清單中,選取您要新增規則群組的目標。這會帶您前往單一保護套件 (Web ACL) 的 頁面。
1. 在保護套件 (Web ACL) 的頁面中,選擇**規則**索引標籤。
1. 在**規則**窗格中,選擇**新增規則**,然後選擇**新增受管規則群組**。
1. 在**新增受管規則群組**頁面中,展開規則群組廠商的選擇,以查看可用的規則群組清單。
1. 針對您要新增的每個規則群組,選擇**新增至保護套件 (Web ACL)**。如果您想要變更規則群組的保護套件 (Web ACL) 組態,請選擇**編輯**、進行變更,然後選擇**儲存規則**。如需 選項的相關資訊,請參閱 的版本控制指引,[在 中使用版本控制的受管規則群組 AWS WAF](waf-managed-rule-groups-versioning.md)以及 的保護套件 (Web ACL) 中使用受管規則群組的指引[在 中使用受管規則群組陳述式 AWS WAF](waf-rule-statement-type-managed-rule-group.md)。
1. 在**新增受管規則群組**頁面底部,選擇**新增規則**。
1. 在**設定規則優先順序**頁面中,視需要調整規則執行的順序,然後選擇**儲存**。如需詳細資訊,請參閱[設定規則優先順序](web-acl-processing-order.md)。
在您的保護套件 (Web ACL) 頁面中,您已新增的受管規則群組會列在**規則**索引標籤下。
在將 AWS WAF 保護用於生產流量之前,測試和調校保護的任何變更。如需相關資訊,請參閱[測試和調校您的 AWS WAF 保護](web-acl-testing.md)。
**更新期間的暫時性不一致**
當您建立或變更保護套件 (Web ACL) 或其他 AWS WAF 資源時,變更會花費少量的時間傳播到存放資源的所有區域。傳播時間可以是幾秒鐘到幾分鐘。
以下是您在變更傳播期間可能注意到的暫時不一致的範例:
+ 建立保護套件 (Web ACL) 之後,如果您嘗試將其與資源建立關聯,您可能會收到例外狀況,指出保護套件 (Web ACL) 無法使用。
+ 將規則群組新增至保護套件 (Web ACL) 之後,新的規則群組規則可能會在使用保護套件 (Web ACL) 的一個區域中生效,而不會在另一個區域中生效。
+ 變更規則動作設定後,您可能會在某些地方看到舊動作,在其他地方看到新動作。
+ 將 IP 地址新增至封鎖規則中使用的 IP 集之後,新的地址可能會在某個區域中遭到封鎖,同時仍允許在另一個區域中封鎖。
# 收到受管規則群組新版本和更新的通知
本節說明如何接收新版本和更新的 Amazon SNS 通知。
受管規則群組提供者會使用 SNS 通知來宣告規則群組變更,例如即將推出的新版本和緊急安全性更新。
**如何訂閱 SNS 通知**
若要訂閱規則群組的通知,請在美國東部 (維吉尼亞北部) us-east-1 區域中為規則群組的 Amazon SNS 主題 ARN 建立 Amazon SNS Amazon SNS 訂閱。
如需有關如何訂閱的資訊,請參閱 [Amazon Simple Notification Service 開發人員指南](https://docs.aws.amazon.com/sns/latest/dg/)。
**注意**
僅在 us-east-1 區域中建立 SNS 主題的訂閱。
版本控制的 AWS 受管規則規則群組都使用相同的 SNS 主題 Amazon Resource Name (ARN)。如需 AWS 受管規則規則群組通知的詳細資訊,請參閱 [部署通知](waf-managed-rule-groups-deployments-notifications.md)。
**在何處尋找受管規則群組的 Amazon SNS 主題 ARN**
AWS 受管規則規則群組使用單一 SNS 主題 ARN,因此您可以從其中一個規則群組擷取主題 ARN,並訂閱該 ARN,以取得所有提供 SNS 通知之 AWS 受管規則規則群組的通知。
+ **主控台**
+ (選項) 當您將受管規則群組新增至保護套件 (Web ACL) 時,請選擇**編輯**以查看規則群組的資訊,其中包含規則群組的 Amazon SNS 主題 ARN。
+ (選項) 將受管規則群組新增至保護套件 (Web ACL) 之後,請選擇保護套件上的**編輯** (Web ACL),然後選取並編輯規則群組規則,以查看規則群組的 Amazon SNS 主題 ARN。
+ **API** – `DescribeManagedRuleGroup`
+ **CLI** – `aws wafv2 describe-managed-rule-group --scope= --vendor-name --name `
如需 Amazon SNS 通知格式和如何篩選所收到通知的一般資訊,請參閱《Amazon Simple Notification Service 開發人員指南》中的[剖析訊息格式](https://docs.aws.amazon.com/sns/latest/dg/sns-message-and-json-formats.html)和 [Amazon SNS 訂閱篩選條件政策 Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-subscription-filter-policies.html)。
# 追蹤規則群組的版本過期
本節說明如何透過 Amazon CloudWatch 監控受管規則群組的過期排程。
如果您使用特定版本的規則群組,請確定您不會繼續使用超過過期日期的版本。
**提示**
註冊受管規則群組的 Amazon SNS 通知,並保持受管規則群組版本的最新狀態。您將受益於來自規則群組up-to-date保護,並保持在過期前。如需相關資訊,請參閱[收到新版本和更新的通知](waf-using-managed-rule-groups-sns-topic.md)。
**透過 Amazon CloudWatch 監控受管規則群組的過期排程**
1. 在 CloudWatch 中,尋找受管規則群組 AWS WAF 的過期指標。這些指標具有下列指標名稱和維度:
+ 指標名稱:DaysToExpiry
+ 指標維度:Region、Vendor、 ManagedRuleGroup和 Version
如果您的保護套件 (Web ACL) 中有評估流量的受管規則群組,則您會取得其指標。指標不適用於您未使用的規則群組。
1. 針對您感興趣的指標設定警示,以便及時通知您切換到規則群組的較新版本。
如需有關使用 Amazon CloudWatch 指標和設定警示的資訊,請參閱 [Amazon CloudWatch 使用者指南](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/)。
# JSON 和 YAML 中的範例受管規則群組組態
本節提供範例受管規則群組組態。
API 和 CLI 呼叫會傳回受管規則群組中所有規則的清單,您可以在 JSON 模型中或透過這些規則群組參考 AWS CloudFormation。
**JSON**
您可以使用 JSON 在規則陳述式中參考和修改受管規則群組。下列清單顯示 JSON 格式的 AWS 受管規則規則群組 `AWSManagedRulesCommonRuleSet`。RuleActionOverrides 規格會列出動作已覆寫至 的規則Count。
```
{
"Name": "AWS-AWSManagedRulesCommonRuleSet",
"Priority": 0,
"Statement": {
"ManagedRuleGroupStatement": {
"VendorName": "AWS",
"Name": "AWSManagedRulesCommonRuleSet",
"RuleActionOverrides": [
{
"ActionToUse": {
"Count": {}
},
"Name": "NoUserAgent_HEADER"
}
],
"ExcludedRules": []
}
},
"OverrideAction": {
"None": {}
},
"VisibilityConfig": {
"SampledRequestsEnabled": true,
"CloudWatchMetricsEnabled": true,
"MetricName": "AWS-AWSManagedRulesCommonRuleSet"
}
}
```
**YAML**
您可以使用 YAML 範本,在規則陳述 CloudFormation 式中參考和修改受管規則群組。下列清單顯示 CloudFormation 範本中的 AWS 受管規則規則群組 `AWSManagedRulesCommonRuleSet`。RuleActionOverrides 規格會列出動作已覆寫至 的規則Count。
```
Name: AWS-AWSManagedRulesCommonRuleSet
Priority: 0
Statement:
ManagedRuleGroupStatement:
VendorName: AWS
Name: AWSManagedRulesCommonRuleSet
RuleActionOverrides:
- ActionToUse:
Count: {}
Name: NoUserAgent_HEADER
ExcludedRules: []
OverrideAction:
None: {}
VisibilityConfig:
SampledRequestsEnabled: true
CloudWatchMetricsEnabled: true
MetricName: AWS-AWSManagedRulesCommonRuleSet
```