**推出 的新主控台體驗 AWS WAF**

您現在可以使用更新後的體驗，在主控台的任何位置存取 AWS WAF 功能。如需詳細資訊，請參閱[使用 主控台](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html)。

本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 在 中建立保護套件 (Web ACL) AWS WAF
<a name="web-acl-creating"></a>

------
#### [ Using the new console ]

本節提供透過新 AWS 主控台建立保護套件 (Web ACLs) 的程序。

若要建立新的保護套件 (Web ACL)，請依照此頁面的程序使用保護套件 (Web ACL) 建立精靈。

**生產流量風險**  
在生產流量的保護套件 (Web ACL) 中部署變更之前，請先在預備或測試環境中進行測試和調校，直到您對流量的潛在影響感到滿意為止。然後，使用生產流量在計數模式中測試和調整更新的規則，然後再啟用它們。如需準則，請參閱[測試和調校您的 AWS WAF 保護](web-acl-testing.md)。

**注意**  
在保護套件 (Web ACL) 中使用超過 1，500 WCUs 會產生超出基本保護套件 (Web ACL) 價格的成本。如需詳細資訊，請參閱 [中的 Web ACL 容量單位 WCUs) AWS WAF](aws-waf-capacity-units.md) 和 [AWS WAF 定價](https://aws.amazon.com/waf/pricing/)。

1. 登入新的 AWS 管理主控台 ，並在 https：//[https://console.aws.amazon.com/wafv2-pro](https://console.aws.amazon.com/wafv2-pro) 開啟 AWS WAF 主控台。

1. 在導覽窗格中，選擇**資源與保護套件 (Web ACLs)**。

1. 在**資源與保護套件 (Web ACLs**頁面上，選擇**新增保護套件 (Web ACL)**。

1. 在**告訴我們您的應用程式**，針對**應用程式類別**，選取一或多個應用程式類別。

1. 針對**流量來源**，選擇應用程式與 **API**、**Web** 或 **API 和 Web 兩者**互動的流量類型。

1. 在**要保護的資源下，**選擇**新增資源**。

1. 選擇您要與此保護套件 (Web ACL) 建立關聯的資源類別 AWS ，可以是 Amazon CloudFront 分佈或區域資源。如需詳細資訊，請參閱[將保護與 AWS 資源建立關聯或取消關聯](web-acl-associating-aws-resource.md)。

1. 在**選擇初始保護下，**選取您偏好的保護層級：**建議**、**必要**或您**建置保護**層級。

1. （選用） 如果您選擇**您建置它**，請建置您的規則。

   1. （選用） 如果您想要新增自己的規則，請在**新增規則**頁面上，選擇**自訂規則**，然後選擇**下一步**。

      1. 選擇規則類型。

      1. 對於 **Action (動作)**，選取規則在比對到 Web 請求時要採取的動作。如需有關您的選擇的相關資訊，請參閱 [在 中使用規則動作 AWS WAF](waf-rule-action.md)和 [在 中使用保護套件 (Web ACLs) 搭配規則和規則群組 AWS WAF](web-acl-processing.md)。

         如果您使用的是 **CAPTCHA**或 **Challenge**動作，請視需要調整規則的**抗擾性時間**組態。如果您未指定 設定，則規則會從保護套件 (Web ACL) 繼承它。若要修改保護套件 (Web ACL) 豁免時間設定，請在建立保護套件 (Web ACL) 之後對其進行編輯。如需豁免時間的詳細資訊，請參閱 [在 中設定時間戳記過期和字符豁免時間 AWS WAF](waf-tokens-immunity-times.md)。
**注意**  
當您在其中一個規則中使用 CAPTCHA或 Challenge規則動作，或做為規則群組中的規則動作覆寫時，需支付額外費用。如需詳細資訊，請參閱[AWS WAF 定價](https://aws.amazon.com/waf/pricing/)。

         如果您想要自訂請求或回應，請選擇該請求的選項，並填寫自訂的詳細資訊。如需詳細資訊，請參閱[中的自訂 Web 請求和回應 AWS WAF](waf-custom-request-response.md)。

         如果您想要讓規則將標籤新增至相符的 Web 請求，請選擇該請求的選項，然後填入標籤詳細資訊。如需詳細資訊，請參閱[中的 Web 請求標籤 AWS WAF](waf-labels.md)。

      1. 對於 **Name (名稱)**，輸入您要用來識別此規則的名稱。請勿使用以 `AWS`、`PreFM`、 `Shield`或 開頭的名稱`PostFM`。這些字串是預留的，或可能導致與其他 服務為您管理的規則群組混淆。

      1. 根據您的需求輸入規則定義。您可以在邏輯`AND`和規則陳述式中結合`OR`規則。精靈會根據內容，引導您完成每個規則的選項。如需規則選項的相關資訊，請參閱 [AWS WAF 規則](waf-rules.md)。

      1. 選擇**建立規則**。
**注意**  
如果您將多個規則新增至保護套件 (Web ACL)， 會依為保護套件列出的順序 AWS WAF (Web ACL) 評估規則。如需詳細資訊，請參閱[在 中使用保護套件 (Web ACLs) 搭配規則和規則群組 AWS WAF](web-acl-processing.md)。

   1. （選用） 如果您要新增受管規則群組，請在**新增規則**頁面上，選擇 **AWS受管規則群組**或 **AWS Marketplace 規則群組**，然後選擇**下一步**。對於您要新增的每個受管規則群組執行下列動作：

      1. 在**新增規則**頁面上，展開受管 AWS 規則群組或 AWS Marketplace 賣方的清單。

      1. 選擇規則群組的版本。

      1. 若要自訂保護套件 (Web ACL) 使用規則群組的方式，請選擇**編輯**。以下是常見的自訂設定：
         + 在檢查區段中新增縮小範圍陳述式，以減少規則群組**檢查**的 Web 請求範圍。如需此選項的詳細資訊，請參閱[在 中使用縮小範圍陳述式 AWS WAF](waf-rule-scope-down-statements.md)。
         + 覆寫規則覆寫中部分或全部規則**的規則**動作。如果您未定義規則的覆寫動作，評估會使用規則群組內定義的規則動作。如需此選項的詳細資訊，請參閱[在 中覆寫規則群組動作 AWS WAF](web-acl-rule-group-override-options.md)。
         + 有些受管規則群組會要求您提供額外的組態。請參閱受管規則群組提供者的文件。如需 AWS 受管規則規則群組的特定資訊，請參閱 [AWS 的受管規則 AWS WAF](aws-managed-rule-groups.md)。

      1. 選擇**下一步**。

   1. （選用） 如果您想要新增自己的規則群組，請在**新增規則**頁面上，選擇**自訂規則群組**，然後選擇**下一步**。對於您要新增的每個規則群組執行下列動作：

      1. 針對**名稱**，在此保護套件 (Web ACL) 中輸入您要用於規則群組規則的名稱。請勿使用以 `AWS`、`PreFM`、 `Shield`或 開頭的名稱`PostFM`。這些字串是預留的，或可能導致與其他 服務為您管理的規則群組混淆。請參閱 [辨識其他服務提供的規則群組](waf-service-owned-rule-groups.md)。

      1. 從清單中選擇您的規則群組。

      1. （選用） 在**規則組態**下，選擇**規則覆寫**。您可以將規則動作覆寫為任何有效的動作設定，就像對受管規則群組所做的一樣。

      1. （選用） 在**新增標籤**下，選擇**新增標籤**，然後輸入要新增至符合規則之請求的任何標籤。稍後在相同保護套件 (Web ACL) 中評估的規則可以參考此規則新增的標籤。

      1. 選擇**建立規則**。

1. 在**名稱和描述**下，輸入保護套件的名稱 (Web ACL)。或者，輸入描述。
**注意**  
您無法在建立保護套件 (Web ACL) 之後變更名稱。

1. （選用） 在**自訂保護套件 (Web ACL)** 下，設定預設規則動作、組態和記錄目的地：

   1. （選用） 在**預設規則動作**下，選擇保護套件 (Web ACL) 的預設動作。這是當保護套件 (Web ACL) 中的規則未明確 AWS WAF 採取動作時，對請求採取的動作。如需詳細資訊，請參閱[中的自訂 Web 請求和回應 AWS WAF](waf-custom-request-response.md)。

   1. （選用） 在規則組態下，自訂保護套件 (Web ACL) 中規則的設定：
      + **預設速率限制** - 設定速率限制以封鎖可能影響可用性、危及安全性或消耗過多資源的阻斷服務 (DoS) 特性。此規則速率會封鎖每個 IP 地址超出應用程式允許速率的請求。如需詳細資訊，請參閱[在 中使用以速率為基礎的規則陳述式 AWS WAF](waf-rule-statement-type-rate-based.md)
      + **IP 地址** - 輸入要封鎖或允許的 IP 地址。此設定會覆寫其他規則。
      + 國家/**地區特定原始**伺服器 - 封鎖來自指定國家/地區的請求或計算所有流量。

   1. 對於**記錄目的地**，設定記錄目的地類型和存放日誌的位置。如需詳細資訊，請參閱[AWS WAF 記錄目的地](logging-destinations.md)。

1. 檢閱您的設定，然後選擇**新增保護套件 (Web ACL)**。

------
#### [ Using the standard console ]

本節提供透過 AWS 主控台建立 Web ACLs 的程序。

若要建立新的 Web ACL，請依照此頁面的程序使用 Web ACL 建立精靈。

**生產流量風險**  
在 Web ACL 中部署生產流量的變更之前，請在預備或測試環境中測試和調校變更，直到您對流量的潛在影響感到滿意為止。然後，使用生產流量在計數模式中測試和調整更新的規則，然後再啟用它們。如需準則，請參閱[測試和調校您的 AWS WAF 保護](web-acl-testing.md)。

**注意**  
在保護套件 (Web ACL) 中使用超過 1，500 WCUs 會產生超出基本保護套件 (Web ACL) 價格的成本。如需詳細資訊，請參閱 [中的 Web ACL 容量單位 WCUs) AWS WAF](aws-waf-capacity-units.md) 和 [AWS WAF 定價](https://aws.amazon.com/waf/pricing/)。

**建立 Web ACL**

1. 登入 AWS 管理主控台 並在 https：//[https://console.aws.amazon.com/wafv2/homev2](https://console.aws.amazon.com/wafv2/homev2) 開啟 AWS WAF 主控台。

1. 在導覽窗格中選擇 **Web ACLs**，然後選擇**建立 Web ACL**。

1. 對於 **Name (名稱)**，輸入您要用來識別此 Web ACL 的名稱。
**注意**  
建立 Web ACL 後無法修改名稱。

1. (選擇性) 對於 **Description - optional (描述 - 選用性)**，如果需要，請為 Web ACL 輸入較長的描述。

1. 對於 **CloudWatch 指標名稱**，如適用，請變更預設名稱。遵循主控台上的指引，以瞭解有效的字元。名稱不能包含特殊字元、空格或保留給 的指標名稱 AWS WAF，包括 "All" 和 "Default\$1Action"。
**注意**  
您無法在建立 Web ACL 之後變更 CloudWatch 指標名稱。

1. 在**資源類型**下，選擇您要與此 Web ACL 建立關聯的資源類別 AWS ，Amazon CloudFront 分佈或區域資源。如需詳細資訊，請參閱[將保護與 AWS 資源建立關聯或取消關聯](web-acl-associating-aws-resource.md)。

1. 對於**區域**，如果您已選擇區域資源類型，請選擇 AWS WAF 您要存放 Web ACL 的區域。

   您只需為區域資源類型選擇此選項。對於 CloudFront 分佈，區域會硬式編碼至美國東部 （維吉尼亞北部） 區域 `us-east-1`，適用於全域 (CloudFront) 應用程式。

1. (CloudFront、API Gateway、Amazon Cognito、App Runner 和 Verified Access) 對於 **Web 請求檢查大小限制 - 選用**，如果您想要指定不同的內文檢查大小限制，請選取限制。在預設值為 16 KB 的情況下檢查內文大小可能會產生額外費用。如需此選項的詳細資訊，請參閱[在 中管理主體檢查的考量事項 AWS WAF](web-acl-setting-body-inspection-limit.md)。

1. （選用） 對於**關聯的 AWS 資源 - 選用**，如果您現在要指定資源，請選擇**新增 AWS 資源**。在對話方塊中，選擇您要關聯的資源，然後選擇 **Add**. AWS WAF returns you to the **Describe Web ACL and associated AWS resources** page。
**注意**  
當您選擇將 Application Load Balancer 與 Web ACL 建立關聯時，就會啟用**資源層級 DDoS 保護**。如需詳細資訊，請參閱[AWS WAF 分散式阻斷服務 (DDoS) 預防](waf-anti-ddos.md)。

1. 選擇**下一步**。

1. (選用) 如果您要新增受管規則群組，在 **Add rules and rule groups (新增規則和規則群組)** 頁面上，選擇 **Add rules (新增規則)**，然後選擇 **Add managed rule groups (新增受管規則群組)**。對於您要新增的每個受管規則群組執行下列動作：

   1. 在**新增受管規則群組**頁面上，展開受管 AWS 規則群組或您選擇的 AWS Marketplace 賣方的清單。

   1. 對於您要新增的規則群組，請在**動作**欄中開啟**新增至 Web ACL** 切換。

      若要自訂 Web ACL 使用規則群組的方式，請選擇**編輯**。以下是常見的自訂設定：
      + 覆寫部分或全部規則的規則動作。如果您未定義規則的覆寫動作，評估會使用規則群組內定義的規則動作。如需此選項的詳細資訊，請參閱[在 中覆寫規則群組動作 AWS WAF](web-acl-rule-group-override-options.md)。
      + 新增縮小範圍陳述式，以減少規則群組檢查的 Web 請求範圍。如需此選項的詳細資訊，請參閱[在 中使用縮小範圍陳述式 AWS WAF](waf-rule-scope-down-statements.md)。
      + 有些受管規則群組會要求您提供額外的組態。請參閱受管規則群組提供者的文件。如需 AWS 受管規則規則群組的特定資訊，請參閱 [AWS 的受管規則 AWS WAF](aws-managed-rule-groups.md)。

      完成設定後，請選擇**儲存規則**。

   選擇 **Add rules (新增規則)** 以完成新增受管規則，並回到 **Add rules and rule group (新增規則和規則群組)** 頁面。
**注意**  
如果您將多個規則新增至 Web ACL， 會依針對 Web ACL 列出的順序 AWS WAF 評估規則。如需詳細資訊，請參閱[在 中使用保護套件 (Web ACLs) 搭配規則和規則群組 AWS WAF](web-acl-processing.md)。

1. (選用) 如果您要新增自己的規則群組，在 **Add rules and rule groups (新增規則和規則群組)** 頁面上，選擇 **Add rules (新增規則)**，然後選擇 **Add my own rules and rule groups (新增我自己的規則和規則群組)**。對於您要新增的每個規則群組執行下列動作：

   1. 在 **Add my own rules and rule groups (新增我自己的規則和規則群組)** 頁面上，選擇 **Rule group (規則群組)**。

   1. 針對**名稱**，輸入您要在此 Web ACL 中用於規則群組規則的名稱。請勿使用以 `AWS`、`PreFM`、 `Shield`或 開頭的名稱`PostFM`。這些字串是預留的，或可能導致與其他 服務為您管理的規則群組混淆。請參閱 [辨識其他服務提供的規則群組](waf-service-owned-rule-groups.md)。

   1. 從清單中選擇您的規則群組。
**注意**  
如果您想要覆寫自己的規則群組的規則動作，請先將其儲存至 Web ACL，然後在 Web ACL 的規則清單中編輯 Web ACL 和規則群組參考陳述式。您可以將規則動作覆寫為任何有效的動作設定，就像對受管規則群組所做的一樣。

   1. 選擇**新增規則**。

1. (選用) 如果您要新增自己的規則，在 **Add rules and rule groups (新增規則和規則群組)** 頁面上，選擇 **Add rules (新增規則)**、**Add my own rules and rule groups (新增我自己的規則和規則群組)**、**Rule builder (規則建置器)** 及 **Rule visual editor (規則視覺化編輯器)**。
**注意**  
主控台 **Rule visual editor (規則視覺化編輯器)** 支援一個層級的巢狀化。例如，您可以使用單一邏輯`AND`或`OR`陳述式，並在其中巢狀一個層級的其他陳述式，但您無法在邏輯陳述式中巢狀化邏輯陳述式。若要管理更複雜的規則陳述式，請使用 **Rule JSON editor(規則 JSON 編輯器)**。如需有關規則的所有選項的資訊，請參閱 [AWS WAF 規則](waf-rules.md)。  
此程序涵蓋 **Rule visual editor (規則視覺化編輯器)**。

   1. 對於 **Name (名稱)**，輸入您要用來識別此規則的名稱。請勿使用以 `AWS`、`PreFM`、 `Shield`或 開頭的名稱`PostFM`。這些字串是預留的，或可能導致與其他 服務為您管理的規則群組混淆。

   1. 根據您的需求輸入規則定義。您可以在邏輯`AND`和規則陳述式中結合`OR`規則。精靈會根據內容，引導您完成每個規則的選項。如需規則選項的相關資訊，請參閱 [AWS WAF 規則](waf-rules.md)。

   1. 對於 **Action (動作)**，選取規則在比對到 Web 請求時要採取的動作。如需有關您的選擇的相關資訊，請參閱 [在 中使用規則動作 AWS WAF](waf-rule-action.md)和 [在 中使用保護套件 (Web ACLs) 搭配規則和規則群組 AWS WAF](web-acl-processing.md)。

      如果您使用的是 **CAPTCHA**或 **Challenge**動作，請視需要調整規則的**抗擾性時間**組態。如果您未指定 設定，則規則會從 Web ACL 繼承它。若要修改 Web ACL 豁免時間設定，請在建立 Web ACL 之後對其進行編輯。如需豁免時間的詳細資訊，請參閱 [在 中設定時間戳記過期和字符豁免時間 AWS WAF](waf-tokens-immunity-times.md)。
**注意**  
當您在其中一個規則中使用 CAPTCHA或 Challenge規則動作，或做為規則群組中的規則動作覆寫時，需支付額外費用。如需詳細資訊，請參閱[AWS WAF 定價](https://aws.amazon.com/waf/pricing/)。

      如果您想要自訂請求或回應，請選擇該請求的選項，並填寫自訂的詳細資訊。如需詳細資訊，請參閱[中的自訂 Web 請求和回應 AWS WAF](waf-custom-request-response.md)。

      如果您想要讓規則將標籤新增至相符的 Web 請求，請選擇該請求的選項，然後填入標籤詳細資訊。如需詳細資訊，請參閱[中的 Web 請求標籤 AWS WAF](waf-labels.md)。

   1. 選擇**新增規則**。

1. 選擇 Web ACL 的預設動作，Block或 Allow。這是當 Web ACL 中的規則未明確允許或封鎖請求時，對請求 AWS WAF 採取的動作。如需詳細資訊，請參閱[在 中設定保護套件 (Web ACL) 預設動作 AWS WAF](web-acl-default-action.md)。

   如果您想要自訂預設動作，請選擇該動作的選項，然後填入自訂的詳細資訊。如需詳細資訊，請參閱[中的自訂 Web 請求和回應 AWS WAF](waf-custom-request-response.md)。

1. 您可以定義**權杖網域清單**，以在受保護的應用程式之間啟用權杖共用。當您使用 AWS 受管規則規則群組進行 AWS WAF 詐騙控制帳戶建立詐騙預防 (ACFP)、 AWS WAF 詐騙控制帳戶接管預防 (ATP) 和 AWS WAF 機器人控制時， CAPTCHA和 Challenge動作以及您實作的應用程式整合 SDKs 會使用字符。

   不允許公有尾碼。例如，您無法使用 `gov.au`或 `co.uk`做為權杖網域。

   根據預設， 僅 AWS WAF 接受受保護資源網域的權杖。如果您在此清單中新增權杖網域， 會 AWS WAF 接受清單中所有網域的權杖，以及相關資源的網域的權杖。如需詳細資訊，請參閱[AWS WAF 保護套件 (Web ACL) 權杖網域清單組態](waf-tokens-domains.md#waf-tokens-domain-lists)。

1. 選擇**下一步**。

1. 在**設定規則優先順序**頁面中，選取規則和規則群組並將其移至您要 AWS WAF 處理的順序。 從清單頂端 AWS WAF 開始處理規則。當您儲存 Web ACL 時， 會依照您列出的順序，將數值優先順序設定 AWS WAF 指派給規則。如需詳細資訊，請參閱[設定規則優先順序](web-acl-processing-order.md)。

1. 選擇**下一步**。

1. 在**設定指標**頁面中，檢閱選項並套用您需要的任何更新。您可以為多個來源提供相同的 **CloudWatch 指標名稱，以結合多個來源的指標**。

1. 選擇**下一步**。

1. 在 **Review and create web ACL (檢閱並建立 Web ACL)** 頁面中，檢查您的定義。如果您要變更任何區域，請針對區域選擇 **Edit (編輯)**。這會帶您回到 Web ACL 精靈中的頁面。進行任何變更，然後在頁面中選擇 **Next (下一步)**，直到您返回 **Review and create web ACL (檢閱並建立 Web ACL)** 頁面為止。

1. 選擇 **建立 Web ACL**。您的新 Web ACL 會列在 **Web ACLs**頁面中。

------