在 中建立保護套件或 Web ACL AWS WAF

1. 登入 AWS Management Console ，並在 https：//https://console.aws.amazon.com/wafv2/homev2 開啟 AWS WAF 主控台。

2. 在導覽窗格中，選擇資源與保護。

3. 在資源與保護頁面上，選擇新增保護套件。

4. 在告訴我們您的應用程式，針對應用程式類別，選取一或多個應用程式類別。

5. 針對流量來源，選擇應用程式與 API、Web 或 API 和 Web 兩者互動的流量類型。

6. 在要保護的資源下，選擇新增資源。

7. 選擇您要與此保護套件建立關聯的資源類別 AWS ，Amazon CloudFront 分佈或區域資源。如需詳細資訊，請參閱將保護與 AWS 資源建立關聯或取消關聯。

8. 在選擇規則保護下，選取您偏好的保護層級：建議、必要或您建置。

9. （選用） 如果您選擇您建置它，請建置您的規則。

   1. （選用） 如果您想要新增自己的規則，請在新增規則頁面上，選擇自訂規則，然後選擇下一步。

      1. 選擇規則類型。

      2. 對於 Action (動作)，選取規則在比對到 Web 請求時要採取的動作。如需有關您的選擇的相關資訊，請參閱 在 中使用規則動作 AWS WAF和 在 中使用保護套件或 Web ACLs 搭配規則和規則群組 AWS WAF。

         如果您使用 CAPTCHA或 Challenge動作，請視需要調整規則的抗擾性時間組態。如果您未指定 設定，則規則會從保護套件繼承它。若要修改保護套件豁免時間設定，請在建立保護套件之後對其進行編輯。如需豁免時間的詳細資訊，請參閱 在 中設定時間戳記過期和字符豁免時間 AWS WAF。

         注意

         當您在其中一個規則中使用 CAPTCHA或 Challenge規則動作，或做為規則群組中的規則動作覆寫時，需支付額外費用。如需詳細資訊，請參閱AWS WAF 定價。

         如果您想要自訂請求或回應，請選擇該請求的選項，並填寫自訂的詳細資訊。如需詳細資訊，請參閱中的自訂 Web 請求和回應 AWS WAF。

         如果您想要讓規則將標籤新增至相符的 Web 請求，請選擇該請求的選項，然後填入標籤詳細資訊。如需詳細資訊，請參閱中的 Web 請求標籤 AWS WAF。

      3. 對於 Name (名稱)，輸入您要用來識別此規則的名稱。請勿使用以 AWS、PreFM、 Shield或 開頭的名稱PostFM。這些字串是預留的，或可能導致與其他 服務為您管理的規則群組混淆。

      4. 根據您的需求輸入規則定義。您可以在邏輯AND和規則陳述式中結合OR規則。精靈會根據內容，引導您完成每個規則的選項。如需規則選項的相關資訊，請參閱 AWS WAF 規則。

      5. 選擇建立規則。

         注意

         如果您將多個規則新增至保護套件， 會依照為保護套件列出的順序 AWS WAF 來評估規則。如需詳細資訊，請參閱在 中使用保護套件或 Web ACLs 搭配規則和規則群組 AWS WAF。

   2. （選用） 如果您要新增受管規則群組，請在新增規則頁面上，選擇 AWS受管規則群組或 AWS Marketplace 規則群組，然後選擇下一步。對於您要新增的每個受管規則群組執行下列動作：

      1. 在新增規則頁面上，展開受管 AWS 規則群組或 AWS Marketplace 賣方的清單。

      2. 選擇規則群組的版本。

      3. 若要自訂保護套件如何使用規則群組，請選擇編輯。以下是常見的自訂設定：

         • 在檢查區段中新增縮小範圍陳述式，以減少規則群組檢查的 Web 請求範圍。如需此選項的詳細資訊，請參閱在 中使用縮小範圍陳述式 AWS WAF。

         • 覆寫規則覆寫中部分或全部規則的規則動作。如果您未定義規則的覆寫動作，評估會使用規則群組內定義的規則動作。如需此選項的詳細資訊，請參閱在 中覆寫規則群組動作 AWS WAF。

         • 有些受管規則群組會要求您提供額外的組態。請參閱受管規則群組提供者的文件。如需 AWS 受管規則規則群組的特定資訊，請參閱 AWS 的受管規則 AWS WAF。

      4. 選擇下一步。

   3. （選用） 如果您要新增自己的規則群組，請在新增規則頁面上，選擇自訂規則群組，然後選擇下一步。對於您要新增的每個規則群組執行下列動作：

      1. 針對名稱，在此保護套件中輸入您要用於規則群組規則的名稱。請勿使用以 AWS、PreFM、 Shield或 開頭的名稱PostFM。這些字串是預留的，或可能導致與其他 服務為您管理的規則群組混淆。請參閱 辨識其他服務提供的規則群組。

      2. 從清單中選擇您的規則群組。

      3. （選用） 在規則組態下，選擇規則覆寫。您可以將規則動作覆寫為任何有效的動作設定，就像對受管規則群組所做的一樣。

      4. （選用） 在新增標籤下，選擇新增標籤，然後輸入要新增至符合規則之請求的任何標籤。稍後在相同保護套件中評估的規則可以參考此規則新增的標籤。

      5. 選擇建立規則。

10. 在名稱和描述下，輸入保護套件的名稱。或者，輸入描述。

    注意

    您無法在建立保護套件之後變更名稱。

11. （選用） 在自訂保護套件下，設定預設規則動作、組態和記錄目的地：

    1. （選用） 在預設規則動作下，選擇保護套件的預設動作。這是當保護套件中的規則未明確 AWS WAF 採取動作時，對請求採取的動作。如需詳細資訊，請參閱中的自訂 Web 請求和回應 AWS WAF。

    2. （選用） 在規則組態下，自訂保護套件中規則的設定：

       • 預設速率限制 - 設定速率限制以封鎖可能影響可用性、危及安全性或耗用過多資源的阻斷服務 (DoS) 特性。此規則速率會封鎖每個 IP 地址超出應用程式允許速率的請求。如需詳細資訊，請參閱在 中使用以速率為基礎的規則陳述式 AWS WAF

       • IP 地址 - 輸入要封鎖或允許的 IP 地址。此設定會覆寫其他保護規則。

       • 國家/地區特定原始伺服器 - 封鎖來自指定國家/地區的請求或計算所有流量。

    3. 針對記錄目的地，設定記錄目的地類型和存放日誌的位置。如需詳細資訊，請參閱AWS WAF 記錄目的地。

12. 檢閱您的設定，然後選擇新增保護套件。

建立 Web ACL

1. 登入 AWS Management Console ，並在 https：//https://console.aws.amazon.com/wafv2/homev2 開啟 AWS WAF 主控台。

2. 在導覽窗格中選擇 Web ACLs，然後選擇建立 Web ACL。

3. 對於 Name (名稱)，輸入您要用來識別此 Web ACL 的名稱。

   注意

   建立 Web ACL 後無法修改名稱。

4. (選擇性) 對於 Description - optional (描述 - 選用性)，如果需要，請為 Web ACL 輸入較長的描述。

5. 對於 CloudWatch 指標名稱，如果適用，請變更預設名稱。遵循主控台上的指引，以瞭解有效的字元。名稱不能包含特殊字元、空格或保留給 的指標名稱 AWS WAF，包括 "All" 和 "Default_Action"。

   注意

   您無法在建立 Web ACL 之後變更 CloudWatch 指標名稱。

6. 在資源類型下，選擇要與此 Web ACL 建立關聯的資源類別 AWS ，Amazon CloudFront 分佈或區域資源。如需詳細資訊，請參閱將保護與 AWS 資源建立關聯或取消關聯。

7. 對於區域，如果您已選擇區域資源類型，請選擇 AWS WAF 您要存放 Web ACL 的區域。

   您只需為區域資源類型選擇此選項。對於 CloudFront 分佈，區域會硬式編碼至美國東部 （維吉尼亞北部） 區域 us-east-1，適用於全域 (CloudFront) 應用程式。

8. (CloudFront、API Gateway、Amazon Cognito、App Runner 和 Verified Access) 對於 Web 請求檢查大小限制 - 選用，如果您想要指定不同的內文檢查大小限制，請選取限制。在預設的 16 KB 上檢查內文大小可能會產生額外費用。如需此選項的詳細資訊，請參閱管理 的內文檢查大小限制 AWS WAF。

9. （選用） 對於關聯的 AWS 資源 - 選用，如果您現在要指定資源，請選擇新增 AWS 資源。在對話方塊中，選擇您要關聯的資源，然後選擇 Add. AWS WAF returns you to the Describe Web ACL and associated AWS resources page。

   注意

   當您選擇將 Application Load Balancer 與 Web ACL 建立關聯時，就會啟用資源層級 DDoS 保護。如需詳細資訊，請參閱AWS WAF 分散式阻斷服務 (DDoS) 預防。

10. 選擇下一步。

11. (選用) 如果您要新增受管規則群組，在 Add rules and rule groups (新增規則和規則群組) 頁面上，選擇 Add rules (新增規則)，然後選擇 Add managed rule groups (新增受管規則群組)。對於您要新增的每個受管規則群組執行下列動作：

    1. 在新增受管規則群組頁面上，展開受管 AWS 規則群組或您選擇的 AWS Marketplace 賣方的清單。

    2. 對於您要新增的規則群組，請在動作欄中開啟新增至 Web ACL 切換。

       若要自訂 Web ACL 使用規則群組的方式，請選擇編輯。以下是常見的自訂設定：

       • 覆寫部分或全部規則的規則動作。如果您未定義規則的覆寫動作，評估會使用規則群組內定義的規則動作。如需此選項的詳細資訊，請參閱在 中覆寫規則群組動作 AWS WAF。

       • 新增縮小範圍陳述式，以減少規則群組檢查的 Web 請求範圍。如需此選項的詳細資訊，請參閱在 中使用縮小範圍陳述式 AWS WAF。

       • 有些受管規則群組會要求您提供額外的組態。請參閱受管規則群組提供者的文件。如需 AWS 受管規則規則群組的特定資訊，請參閱 AWS 的受管規則 AWS WAF。

       完成設定後，請選擇儲存規則。

    選擇 Add rules (新增規則) 以完成新增受管規則，並回到 Add rules and rule group (新增規則和規則群組) 頁面。

    注意

    如果您將多個規則新增至 Web ACL， 會依針對 Web ACL 列出的順序 AWS WAF 評估規則。如需詳細資訊，請參閱在 中使用保護套件或 Web ACLs 搭配規則和規則群組 AWS WAF。

12. (選用) 如果您要新增自己的規則群組，在 Add rules and rule groups (新增規則和規則群組) 頁面上，選擇 Add rules (新增規則)，然後選擇 Add my own rules and rule groups (新增我自己的規則和規則群組)。對於您要新增的每個規則群組執行下列動作：

    1. 在 Add my own rules and rule groups (新增我自己的規則和規則群組) 頁面上，選擇 Rule group (規則群組)。

    2. 針對名稱，輸入您要在此 Web ACL 中用於規則群組規則的名稱。請勿使用以 AWS、PreFM、 Shield或 開頭的名稱PostFM。這些字串是預留的，或可能導致與其他 服務為您管理的規則群組混淆。請參閱 辨識其他服務提供的規則群組。

    3. 從清單中選擇您的規則群組。

       注意

       如果您想要覆寫自己的規則群組的規則動作，請先將其儲存至 Web ACL，然後在 Web ACL 的規則清單中編輯 Web ACL 和規則群組參考陳述式。您可以將規則動作覆寫為任何有效的動作設定，就像對受管規則群組所做的一樣。

    4. 選擇新增規則。

13. (選用) 如果您要新增自己的規則，在 Add rules and rule groups (新增規則和規則群組) 頁面上，選擇 Add rules (新增規則)、Add my own rules and rule groups (新增我自己的規則和規則群組)、Rule builder (規則建置器) 及 Rule visual editor (規則視覺化編輯器)。

    注意

    主控台 Rule visual editor (規則視覺化編輯器) 支援一個層級的巢狀化。例如，您可以使用單一邏輯AND或OR陳述式，並在其中巢狀一個層級的其他陳述式，但您無法在邏輯陳述式中巢狀化邏輯陳述式。若要管理更複雜的規則陳述式，請使用 Rule JSON editor(規則 JSON 編輯器)。如需有關規則的所有選項的資訊，請參閱 AWS WAF 規則。

    此程序涵蓋 Rule visual editor (規則視覺化編輯器)。

    1. 對於 Name (名稱)，輸入您要用來識別此規則的名稱。請勿使用以 AWS、PreFM、 Shield或 開頭的名稱PostFM。這些字串是預留的，或可能導致與其他 服務為您管理的規則群組混淆。

    2. 根據您的需求輸入規則定義。您可以在邏輯AND和規則陳述式中結合OR規則。精靈會根據內容，引導您完成每個規則的選項。如需規則選項的相關資訊，請參閱 AWS WAF 規則。

    3. 對於 Action (動作)，選取規則在比對到 Web 請求時要採取的動作。如需有關您的選擇的相關資訊，請參閱 在 中使用規則動作 AWS WAF和 在 中使用保護套件或 Web ACLs 搭配規則和規則群組 AWS WAF。

       如果您使用的是 CAPTCHA或 Challenge動作，請視需要調整規則的抗擾性時間組態。如果您未指定 設定，則規則會從 Web ACL 繼承它。若要修改 Web ACL 豁免時間設定，請在建立 Web ACL 之後對其進行編輯。如需豁免時間的詳細資訊，請參閱 在 中設定時間戳記過期和字符豁免時間 AWS WAF。

       注意

       當您在其中一個規則中使用 CAPTCHA或 Challenge 規則動作，或做為規則群組中的規則動作覆寫時，需支付額外費用。如需詳細資訊，請參閱AWS WAF 定價。

       如果您想要自訂請求或回應，請選擇該請求的選項，並填寫自訂的詳細資訊。如需詳細資訊，請參閱中的自訂 Web 請求和回應 AWS WAF。

       如果您想要讓規則將標籤新增至相符的 Web 請求，請選擇該請求的選項，然後填入標籤詳細資訊。如需詳細資訊，請參閱中的 Web 請求標籤 AWS WAF。

    4. 選擇新增規則。

14. 選擇 Web ACL 的預設動作，Block或 Allow。這是當 Web ACL 中的規則未明確允許或封鎖請求時，對請求 AWS WAF 採取的動作。如需詳細資訊，請參閱在 中設定保護套件或 Web ACL 預設動作 AWS WAF。

    如果您想要自訂預設動作，請選擇該動作的選項，然後填入自訂的詳細資訊。如需詳細資訊，請參閱中的自訂 Web 請求和回應 AWS WAF。

15. 您可以定義權杖網域清單，以在受保護的應用程式之間啟用權杖共用。當您使用 AWS 受管規則規則群組進行 AWS WAF 詐騙控制帳戶建立詐騙預防 (ACFP)、 AWS WAF 詐騙控制帳戶接管預防 (ATP) 和 AWS WAF 機器人控制時， CAPTCHA和 Challenge動作以及您實作的應用程式整合 SDKs 會使用字符。

    不允許公有尾碼。例如，您無法使用 gov.au或 co.uk做為權杖網域。

    根據預設， 只 AWS WAF 接受受保護資源網域的權杖。如果您在此清單中新增權杖網域， 會 AWS WAF 接受清單中所有網域的權杖，以及相關資源的網域的權杖。如需詳細資訊，請參閱AWS WAF 保護套件或 Web ACL 字符網域清單組態。

16. 選擇下一步。

17. 在設定規則優先順序頁面中，選取規則和規則群組，並將其移至您要 AWS WAF 處理的順序。 從清單頂端 AWS WAF 開始處理規則。當您儲存 Web ACL 時， 會依照您列出的順序，將數值優先順序設定 AWS WAF 指派給規則。如需詳細資訊，請參閱設定規則優先順序。

18. 選擇下一步。

19. 在設定指標頁面中，檢閱選項並套用您需要的任何更新。您可以為多個來源提供相同的 CloudWatch 指標名稱，以結合多個來源的指標。

20. 選擇下一步。

21. 在 Review and create web ACL (檢閱並建立 Web ACL) 頁面中，檢查您的定義。如果您要變更任何區域，請針對區域選擇 Edit (編輯)。這會帶您回到 Web ACL 精靈中的頁面。進行任何變更，然後在頁面中選擇 Next (下一步)，直到您返回 Review and create web ACL (檢閱並建立 Web ACL) 頁面為止。

22. 選擇 建立 Web ACL。您的新 Web ACL 會列在 Web ACLs頁面中。