**推出 的新主控台體驗 AWS WAF**
您現在可以使用更新後的體驗,在主控台的任何位置存取 AWS WAF 功能。如需詳細資訊,請參閱[使用 主控台](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html)。
本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 在 中設定保護 AWS WAF
此頁面說明什麼是保護套件 (Web ACLs) 及其運作方式。
保護套件 (Web ACL) 可讓您精細控制受保護資源回應的所有 HTTP(S) Web 請求。您可以保護 Amazon CloudFront、Amazon API Gateway、Application Load Balancer AWS AppSync、Amazon Cognito、 AWS App Runner AWS Amplify、Amazon CloudWatch 和 AWS Verified Access 資源。
您可以使用如下的準則來允許或封鎖請求:
+ 請求的 IP 地址來源
+ 請求的來源國家/地區
+ 字串比對或規則運算式 (regex) 在請求的一部分比對
+ 請求的特定部分的大小
+ 偵測惡意 SQL 程式碼或指令碼
您也可以測試這些條件的任何組合。您可以封鎖或計數不僅符合指定條件的 Web 請求,也可以在一分鐘內超過指定的請求數量。您可以使用邏輯運算子結合條件。您也可以針對請求執行 CAPTCHA 拼圖和靜音用戶端工作階段挑戰。
您在 AWS WAF 規則陳述式中提供相符條件和要對相符項目採取的動作。您可以直接在保護套件 (Web ACL) 內以及保護套件 (Web ACL) 中使用的可重複使用規則群組中定義規則陳述式。如需選項的完整清單,請參閱 [在 中使用規則陳述式 AWS WAF](waf-rule-statements.md)和 [在 中使用規則動作 AWS WAF](waf-rule-action.md)。
當您建立保護套件 (Web ACL) 時,您可以指定要使用的 資源類型。如需相關資訊,請參閱[在 中建立保護套件 (Web ACL) AWS WAF](web-acl-creating.md)。定義保護套件 (Web ACL) 之後,您可以將其與您的資源建立關聯,以開始為它們提供保護。如需詳細資訊,請參閱[將保護與 AWS 資源建立關聯或取消關聯](web-acl-associating-aws-resource.md)。
**注意**
在某些情況下, AWS WAF 可能會遇到內部錯誤,延遲回應有關是否允許或封鎖請求的相關 AWS 資源。在這些情況下,CloudFront 通常會允許請求或提供內容,而區域服務通常會拒絕請求且不提供內容。
**生產流量風險**
在生產流量的保護套件 (Web ACL) 中部署變更之前,請先在預備或測試環境中進行測試和調校,直到您對流量的潛在影響感到滿意為止。然後,使用生產流量在計數模式中測試和調整更新的規則,然後再啟用它們。如需準則,請參閱[測試和調校您的 AWS WAF 保護](web-acl-testing.md)。
**注意**
在保護套件 (Web ACL) 中使用超過 1,500 WCUs 會產生超出基本保護套件 (Web ACL) 價格的成本。如需詳細資訊,請參閱 [中的 Web ACL 容量單位 WCUs) AWS WAF](aws-waf-capacity-units.md) 和 [AWS WAF 定價](https://aws.amazon.com/waf/pricing/)。
**更新期間的暫時性不一致**
當您建立或變更保護套件 (Web ACL) 或其他 AWS WAF 資源時,變更會花費少量的時間傳播到存放資源的所有區域。傳播時間可以是幾秒鐘到幾分鐘。
以下是您在變更傳播期間可能注意到的暫時不一致的範例:
+ 建立保護套件 (Web ACL) 之後,如果您嘗試將其與資源建立關聯,您可能會收到例外狀況,指出保護套件 (Web ACL) 無法使用。
+ 將規則群組新增至保護套件 (Web ACL) 之後,新的規則群組規則可能會在使用保護套件 (Web ACL) 的一個區域中生效,而不會在另一個區域中生效。
+ 變更規則動作設定後,您可能會在某些地方看到舊動作,在其他地方看到新動作。
+ 將 IP 地址新增至封鎖規則中使用的 IP 集之後,新的地址可能會在某個區域中遭到封鎖,同時仍允許在另一個區域中封鎖。
**Topics**
+ [在 中建立保護套件 (Web ACL) AWS WAF](web-acl-creating.md)
+ [在 中編輯保護套件 (Web ACL) AWS WAF](web-acl-editing.md)
+ [管理規則群組行為](web-acl-rule-group-settings.md)
+ [將保護與 AWS 資源建立關聯或取消關聯](web-acl-associating-aws-resource.md)
+ [在 中使用保護套件 (Web ACLs) 搭配規則和規則群組 AWS WAF](web-acl-processing.md)
+ [在 中設定保護套件 (Web ACL) 預設動作 AWS WAF](web-acl-default-action.md)
+ [在 中管理主體檢查的考量事項 AWS WAF](web-acl-setting-body-inspection-limit.md)
+ [在 中設定 CAPTCHA、挑戰和字符 AWS WAF](web-acl-captcha-challenge-token-domains.md)
+ [在 中檢視 Web 流量指標 AWS WAF](web-acl-working-with.md)
+ [刪除保護套件 (Web ACL)](web-acl-deleting.md)
# 在 中建立保護套件 (Web ACL) AWS WAF
------
#### [ Using the new console ]
本節提供透過新 AWS 主控台建立保護套件 (Web ACLs) 的程序。
若要建立新的保護套件 (Web ACL),請依照此頁面的程序使用保護套件 (Web ACL) 建立精靈。
**生產流量風險**
在生產流量的保護套件 (Web ACL) 中部署變更之前,請先在預備或測試環境中進行測試和調校,直到您對流量的潛在影響感到滿意為止。然後,使用生產流量在計數模式中測試和調整更新的規則,然後再啟用它們。如需準則,請參閱[測試和調校您的 AWS WAF 保護](web-acl-testing.md)。
**注意**
在保護套件 (Web ACL) 中使用超過 1,500 WCUs 會產生超出基本保護套件 (Web ACL) 價格的成本。如需詳細資訊,請參閱 [中的 Web ACL 容量單位 WCUs) AWS WAF](aws-waf-capacity-units.md) 和 [AWS WAF 定價](https://aws.amazon.com/waf/pricing/)。
1. 登入新的 AWS 管理主控台 ,並在 https://[https://console.aws.amazon.com/wafv2-pro](https://console.aws.amazon.com/wafv2-pro) 開啟 AWS WAF 主控台。
1. 在導覽窗格中,選擇**資源與保護套件 (Web ACLs)**。
1. 在**資源與保護套件 (Web ACLs**頁面上,選擇**新增保護套件 (Web ACL)**。
1. 在**告訴我們您的應用程式**,針對**應用程式類別**,選取一或多個應用程式類別。
1. 針對**流量來源**,選擇應用程式與 **API**、**Web** 或 **API 和 Web 兩者**互動的流量類型。
1. 在**要保護的資源下,**選擇**新增資源**。
1. 選擇您要與此保護套件 (Web ACL) 建立關聯的資源類別 AWS ,可以是 Amazon CloudFront 分佈或區域資源。如需詳細資訊,請參閱[將保護與 AWS 資源建立關聯或取消關聯](web-acl-associating-aws-resource.md)。
1. 在**選擇初始保護下,**選取您偏好的保護層級:**建議**、**必要**或您**建置保護**層級。
1. (選用) 如果您選擇**您建置它**,請建置您的規則。
1. (選用) 如果您想要新增自己的規則,請在**新增規則**頁面上,選擇**自訂規則**,然後選擇**下一步**。
1. 選擇規則類型。
1. 對於 **Action (動作)**,選取規則在比對到 Web 請求時要採取的動作。如需有關您的選擇的相關資訊,請參閱 [在 中使用規則動作 AWS WAF](waf-rule-action.md)和 [在 中使用保護套件 (Web ACLs) 搭配規則和規則群組 AWS WAF](web-acl-processing.md)。
如果您使用的是 **CAPTCHA**或 **Challenge**動作,請視需要調整規則的**抗擾性時間**組態。如果您未指定 設定,則規則會從保護套件 (Web ACL) 繼承它。若要修改保護套件 (Web ACL) 豁免時間設定,請在建立保護套件 (Web ACL) 之後對其進行編輯。如需豁免時間的詳細資訊,請參閱 [在 中設定時間戳記過期和字符豁免時間 AWS WAF](waf-tokens-immunity-times.md)。
**注意**
當您在其中一個規則中使用 CAPTCHA或 Challenge規則動作,或做為規則群組中的規則動作覆寫時,需支付額外費用。如需詳細資訊,請參閱[AWS WAF 定價](https://aws.amazon.com/waf/pricing/)。
如果您想要自訂請求或回應,請選擇該請求的選項,並填寫自訂的詳細資訊。如需詳細資訊,請參閱[中的自訂 Web 請求和回應 AWS WAF](waf-custom-request-response.md)。
如果您想要讓規則將標籤新增至相符的 Web 請求,請選擇該請求的選項,然後填入標籤詳細資訊。如需詳細資訊,請參閱[中的 Web 請求標籤 AWS WAF](waf-labels.md)。
1. 對於 **Name (名稱)**,輸入您要用來識別此規則的名稱。請勿使用以 `AWS`、`PreFM`、 `Shield`或 開頭的名稱`PostFM`。這些字串是預留的,或可能導致與其他 服務為您管理的規則群組混淆。
1. 根據您的需求輸入規則定義。您可以在邏輯`AND`和規則陳述式中結合`OR`規則。精靈會根據內容,引導您完成每個規則的選項。如需規則選項的相關資訊,請參閱 [AWS WAF 規則](waf-rules.md)。
1. 選擇**建立規則**。
**注意**
如果您將多個規則新增至保護套件 (Web ACL), 會依為保護套件列出的順序 AWS WAF (Web ACL) 評估規則。如需詳細資訊,請參閱[在 中使用保護套件 (Web ACLs) 搭配規則和規則群組 AWS WAF](web-acl-processing.md)。
1. (選用) 如果您要新增受管規則群組,請在**新增規則**頁面上,選擇 **AWS受管規則群組**或 **AWS Marketplace 規則群組**,然後選擇**下一步**。對於您要新增的每個受管規則群組執行下列動作:
1. 在**新增規則**頁面上,展開受管 AWS 規則群組或 AWS Marketplace 賣方的清單。
1. 選擇規則群組的版本。
1. 若要自訂保護套件 (Web ACL) 使用規則群組的方式,請選擇**編輯**。以下是常見的自訂設定:
+ 在檢查區段中新增縮小範圍陳述式,以減少規則群組**檢查**的 Web 請求範圍。如需此選項的詳細資訊,請參閱[在 中使用縮小範圍陳述式 AWS WAF](waf-rule-scope-down-statements.md)。
+ 覆寫規則覆寫中部分或全部規則**的規則**動作。如果您未定義規則的覆寫動作,評估會使用規則群組內定義的規則動作。如需此選項的詳細資訊,請參閱[在 中覆寫規則群組動作 AWS WAF](web-acl-rule-group-override-options.md)。
+ 有些受管規則群組會要求您提供額外的組態。請參閱受管規則群組提供者的文件。如需 AWS 受管規則規則群組的特定資訊,請參閱 [AWS 的受管規則 AWS WAF](aws-managed-rule-groups.md)。
1. 選擇**下一步**。
1. (選用) 如果您想要新增自己的規則群組,請在**新增規則**頁面上,選擇**自訂規則群組**,然後選擇**下一步**。對於您要新增的每個規則群組執行下列動作:
1. 針對**名稱**,在此保護套件 (Web ACL) 中輸入您要用於規則群組規則的名稱。請勿使用以 `AWS`、`PreFM`、 `Shield`或 開頭的名稱`PostFM`。這些字串是預留的,或可能導致與其他 服務為您管理的規則群組混淆。請參閱 [辨識其他服務提供的規則群組](waf-service-owned-rule-groups.md)。
1. 從清單中選擇您的規則群組。
1. (選用) 在**規則組態**下,選擇**規則覆寫**。您可以將規則動作覆寫為任何有效的動作設定,就像對受管規則群組所做的一樣。
1. (選用) 在**新增標籤**下,選擇**新增標籤**,然後輸入要新增至符合規則之請求的任何標籤。稍後在相同保護套件 (Web ACL) 中評估的規則可以參考此規則新增的標籤。
1. 選擇**建立規則**。
1. 在**名稱和描述**下,輸入保護套件的名稱 (Web ACL)。或者,輸入描述。
**注意**
您無法在建立保護套件 (Web ACL) 之後變更名稱。
1. (選用) 在**自訂保護套件 (Web ACL)** 下,設定預設規則動作、組態和記錄目的地:
1. (選用) 在**預設規則動作**下,選擇保護套件 (Web ACL) 的預設動作。這是當保護套件 (Web ACL) 中的規則未明確 AWS WAF 採取動作時,對請求採取的動作。如需詳細資訊,請參閱[中的自訂 Web 請求和回應 AWS WAF](waf-custom-request-response.md)。
1. (選用) 在規則組態下,自訂保護套件 (Web ACL) 中規則的設定:
+ **預設速率限制** - 設定速率限制以封鎖可能影響可用性、危及安全性或消耗過多資源的阻斷服務 (DoS) 特性。此規則速率會封鎖每個 IP 地址超出應用程式允許速率的請求。如需詳細資訊,請參閱[在 中使用以速率為基礎的規則陳述式 AWS WAF](waf-rule-statement-type-rate-based.md)
+ **IP 地址** - 輸入要封鎖或允許的 IP 地址。此設定會覆寫其他規則。
+ 國家/**地區特定原始**伺服器 - 封鎖來自指定國家/地區的請求或計算所有流量。
1. 對於**記錄目的地**,設定記錄目的地類型和存放日誌的位置。如需詳細資訊,請參閱[AWS WAF 記錄目的地](logging-destinations.md)。
1. 檢閱您的設定,然後選擇**新增保護套件 (Web ACL)**。
------
#### [ Using the standard console ]
本節提供透過 AWS 主控台建立 Web ACLs 的程序。
若要建立新的 Web ACL,請依照此頁面的程序使用 Web ACL 建立精靈。
**生產流量風險**
在 Web ACL 中部署生產流量的變更之前,請在預備或測試環境中測試和調校變更,直到您對流量的潛在影響感到滿意為止。然後,使用生產流量在計數模式中測試和調整更新的規則,然後再啟用它們。如需準則,請參閱[測試和調校您的 AWS WAF 保護](web-acl-testing.md)。
**注意**
在保護套件 (Web ACL) 中使用超過 1,500 WCUs 會產生超出基本保護套件 (Web ACL) 價格的成本。如需詳細資訊,請參閱 [中的 Web ACL 容量單位 WCUs) AWS WAF](aws-waf-capacity-units.md) 和 [AWS WAF 定價](https://aws.amazon.com/waf/pricing/)。
**建立 Web ACL**
1. 登入 AWS 管理主控台 並在 https://[https://console.aws.amazon.com/wafv2/homev2](https://console.aws.amazon.com/wafv2/homev2) 開啟 AWS WAF 主控台。
1. 在導覽窗格中選擇 **Web ACLs**,然後選擇**建立 Web ACL**。
1. 對於 **Name (名稱)**,輸入您要用來識別此 Web ACL 的名稱。
**注意**
建立 Web ACL 後無法修改名稱。
1. (選擇性) 對於 **Description - optional (描述 - 選用性)**,如果需要,請為 Web ACL 輸入較長的描述。
1. 對於 **CloudWatch 指標名稱**,如適用,請變更預設名稱。遵循主控台上的指引,以瞭解有效的字元。名稱不能包含特殊字元、空格或保留給 的指標名稱 AWS WAF,包括 "All" 和 "Default\$1Action"。
**注意**
您無法在建立 Web ACL 之後變更 CloudWatch 指標名稱。
1. 在**資源類型**下,選擇您要與此 Web ACL 建立關聯的資源類別 AWS ,Amazon CloudFront 分佈或區域資源。如需詳細資訊,請參閱[將保護與 AWS 資源建立關聯或取消關聯](web-acl-associating-aws-resource.md)。
1. 對於**區域**,如果您已選擇區域資源類型,請選擇 AWS WAF 您要存放 Web ACL 的區域。
您只需為區域資源類型選擇此選項。對於 CloudFront 分佈,區域會硬式編碼至美國東部 (維吉尼亞北部) 區域 `us-east-1`,適用於全域 (CloudFront) 應用程式。
1. (CloudFront、API Gateway、Amazon Cognito、App Runner 和 Verified Access) 對於 **Web 請求檢查大小限制 - 選用**,如果您想要指定不同的內文檢查大小限制,請選取限制。在預設值為 16 KB 的情況下檢查內文大小可能會產生額外費用。如需此選項的詳細資訊,請參閱[在 中管理主體檢查的考量事項 AWS WAF](web-acl-setting-body-inspection-limit.md)。
1. (選用) 對於**關聯的 AWS 資源 - 選用**,如果您現在要指定資源,請選擇**新增 AWS 資源**。在對話方塊中,選擇您要關聯的資源,然後選擇 **Add**. AWS WAF returns you to the **Describe Web ACL and associated AWS resources** page。
**注意**
當您選擇將 Application Load Balancer 與 Web ACL 建立關聯時,就會啟用**資源層級 DDoS 保護**。如需詳細資訊,請參閱[AWS WAF 分散式阻斷服務 (DDoS) 預防](waf-anti-ddos.md)。
1. 選擇**下一步**。
1. (選用) 如果您要新增受管規則群組,在 **Add rules and rule groups (新增規則和規則群組)** 頁面上,選擇 **Add rules (新增規則)**,然後選擇 **Add managed rule groups (新增受管規則群組)**。對於您要新增的每個受管規則群組執行下列動作:
1. 在**新增受管規則群組**頁面上,展開受管 AWS 規則群組或您選擇的 AWS Marketplace 賣方的清單。
1. 對於您要新增的規則群組,請在**動作**欄中開啟**新增至 Web ACL** 切換。
若要自訂 Web ACL 使用規則群組的方式,請選擇**編輯**。以下是常見的自訂設定:
+ 覆寫部分或全部規則的規則動作。如果您未定義規則的覆寫動作,評估會使用規則群組內定義的規則動作。如需此選項的詳細資訊,請參閱[在 中覆寫規則群組動作 AWS WAF](web-acl-rule-group-override-options.md)。
+ 新增縮小範圍陳述式,以減少規則群組檢查的 Web 請求範圍。如需此選項的詳細資訊,請參閱[在 中使用縮小範圍陳述式 AWS WAF](waf-rule-scope-down-statements.md)。
+ 有些受管規則群組會要求您提供額外的組態。請參閱受管規則群組提供者的文件。如需 AWS 受管規則規則群組的特定資訊,請參閱 [AWS 的受管規則 AWS WAF](aws-managed-rule-groups.md)。
完成設定後,請選擇**儲存規則**。
選擇 **Add rules (新增規則)** 以完成新增受管規則,並回到 **Add rules and rule group (新增規則和規則群組)** 頁面。
**注意**
如果您將多個規則新增至 Web ACL, 會依針對 Web ACL 列出的順序 AWS WAF 評估規則。如需詳細資訊,請參閱[在 中使用保護套件 (Web ACLs) 搭配規則和規則群組 AWS WAF](web-acl-processing.md)。
1. (選用) 如果您要新增自己的規則群組,在 **Add rules and rule groups (新增規則和規則群組)** 頁面上,選擇 **Add rules (新增規則)**,然後選擇 **Add my own rules and rule groups (新增我自己的規則和規則群組)**。對於您要新增的每個規則群組執行下列動作:
1. 在 **Add my own rules and rule groups (新增我自己的規則和規則群組)** 頁面上,選擇 **Rule group (規則群組)**。
1. 針對**名稱**,輸入您要在此 Web ACL 中用於規則群組規則的名稱。請勿使用以 `AWS`、`PreFM`、 `Shield`或 開頭的名稱`PostFM`。這些字串是預留的,或可能導致與其他 服務為您管理的規則群組混淆。請參閱 [辨識其他服務提供的規則群組](waf-service-owned-rule-groups.md)。
1. 從清單中選擇您的規則群組。
**注意**
如果您想要覆寫自己的規則群組的規則動作,請先將其儲存至 Web ACL,然後在 Web ACL 的規則清單中編輯 Web ACL 和規則群組參考陳述式。您可以將規則動作覆寫為任何有效的動作設定,就像對受管規則群組所做的一樣。
1. 選擇**新增規則**。
1. (選用) 如果您要新增自己的規則,在 **Add rules and rule groups (新增規則和規則群組)** 頁面上,選擇 **Add rules (新增規則)**、**Add my own rules and rule groups (新增我自己的規則和規則群組)**、**Rule builder (規則建置器)** 及 **Rule visual editor (規則視覺化編輯器)**。
**注意**
主控台 **Rule visual editor (規則視覺化編輯器)** 支援一個層級的巢狀化。例如,您可以使用單一邏輯`AND`或`OR`陳述式,並在其中巢狀一個層級的其他陳述式,但您無法在邏輯陳述式中巢狀化邏輯陳述式。若要管理更複雜的規則陳述式,請使用 **Rule JSON editor(規則 JSON 編輯器)**。如需有關規則的所有選項的資訊,請參閱 [AWS WAF 規則](waf-rules.md)。
此程序涵蓋 **Rule visual editor (規則視覺化編輯器)**。
1. 對於 **Name (名稱)**,輸入您要用來識別此規則的名稱。請勿使用以 `AWS`、`PreFM`、 `Shield`或 開頭的名稱`PostFM`。這些字串是預留的,或可能導致與其他 服務為您管理的規則群組混淆。
1. 根據您的需求輸入規則定義。您可以在邏輯`AND`和規則陳述式中結合`OR`規則。精靈會根據內容,引導您完成每個規則的選項。如需規則選項的相關資訊,請參閱 [AWS WAF 規則](waf-rules.md)。
1. 對於 **Action (動作)**,選取規則在比對到 Web 請求時要採取的動作。如需有關您的選擇的相關資訊,請參閱 [在 中使用規則動作 AWS WAF](waf-rule-action.md)和 [在 中使用保護套件 (Web ACLs) 搭配規則和規則群組 AWS WAF](web-acl-processing.md)。
如果您使用的是 **CAPTCHA**或 **Challenge**動作,請視需要調整規則的**抗擾性時間**組態。如果您未指定 設定,則規則會從 Web ACL 繼承它。若要修改 Web ACL 豁免時間設定,請在建立 Web ACL 之後對其進行編輯。如需豁免時間的詳細資訊,請參閱 [在 中設定時間戳記過期和字符豁免時間 AWS WAF](waf-tokens-immunity-times.md)。
**注意**
當您在其中一個規則中使用 CAPTCHA或 Challenge規則動作,或做為規則群組中的規則動作覆寫時,需支付額外費用。如需詳細資訊,請參閱[AWS WAF 定價](https://aws.amazon.com/waf/pricing/)。
如果您想要自訂請求或回應,請選擇該請求的選項,並填寫自訂的詳細資訊。如需詳細資訊,請參閱[中的自訂 Web 請求和回應 AWS WAF](waf-custom-request-response.md)。
如果您想要讓規則將標籤新增至相符的 Web 請求,請選擇該請求的選項,然後填入標籤詳細資訊。如需詳細資訊,請參閱[中的 Web 請求標籤 AWS WAF](waf-labels.md)。
1. 選擇**新增規則**。
1. 選擇 Web ACL 的預設動作,Block或 Allow。這是當 Web ACL 中的規則未明確允許或封鎖請求時,對請求 AWS WAF 採取的動作。如需詳細資訊,請參閱[在 中設定保護套件 (Web ACL) 預設動作 AWS WAF](web-acl-default-action.md)。
如果您想要自訂預設動作,請選擇該動作的選項,然後填入自訂的詳細資訊。如需詳細資訊,請參閱[中的自訂 Web 請求和回應 AWS WAF](waf-custom-request-response.md)。
1. 您可以定義**權杖網域清單**,以在受保護的應用程式之間啟用權杖共用。當您使用 AWS 受管規則規則群組進行 AWS WAF 詐騙控制帳戶建立詐騙預防 (ACFP)、 AWS WAF 詐騙控制帳戶接管預防 (ATP) 和 AWS WAF 機器人控制時, CAPTCHA和 Challenge動作以及您實作的應用程式整合 SDKs 會使用字符。
不允許公有尾碼。例如,您無法使用 `gov.au`或 `co.uk`做為權杖網域。
根據預設, 僅 AWS WAF 接受受保護資源網域的權杖。如果您在此清單中新增權杖網域, 會 AWS WAF 接受清單中所有網域的權杖,以及相關資源的網域的權杖。如需詳細資訊,請參閱[AWS WAF 保護套件 (Web ACL) 權杖網域清單組態](waf-tokens-domains.md#waf-tokens-domain-lists)。
1. 選擇**下一步**。
1. 在**設定規則優先順序**頁面中,選取規則和規則群組並將其移至您要 AWS WAF 處理的順序。 從清單頂端 AWS WAF 開始處理規則。當您儲存 Web ACL 時, 會依照您列出的順序,將數值優先順序設定 AWS WAF 指派給規則。如需詳細資訊,請參閱[設定規則優先順序](web-acl-processing-order.md)。
1. 選擇**下一步**。
1. 在**設定指標**頁面中,檢閱選項並套用您需要的任何更新。您可以為多個來源提供相同的 **CloudWatch 指標名稱,以結合多個來源的指標**。
1. 選擇**下一步**。
1. 在 **Review and create web ACL (檢閱並建立 Web ACL)** 頁面中,檢查您的定義。如果您要變更任何區域,請針對區域選擇 **Edit (編輯)**。這會帶您回到 Web ACL 精靈中的頁面。進行任何變更,然後在頁面中選擇 **Next (下一步)**,直到您返回 **Review and create web ACL (檢閱並建立 Web ACL)** 頁面為止。
1. 選擇 **建立 Web ACL**。您的新 Web ACL 會列在 **Web ACLs**頁面中。
------
# 在 中編輯保護套件 (Web ACL) AWS WAF
------
#### [ Using the new console ]
本節提供透過 AWS 主控台編輯保護套件 (Web ACLs) 的程序。
若要從保護套件 (Web ACL) 新增或移除規則或變更組態設定,請使用此頁面上的程序存取保護套件 (Web ACL)。更新保護套件 (Web ACL) 時, 會為您與保護套件 (Web ACL) 相關聯的資源 AWS WAF 提供持續涵蓋。
**生產流量風險**
在生產流量的保護套件 (Web ACL) 中部署變更之前,請先在預備或測試環境中進行測試和調校,直到您對流量的潛在影響感到滿意為止。然後,使用生產流量在計數模式中測試和調整更新的規則,然後再啟用它們。如需準則,請參閱[測試和調校您的 AWS WAF 保護](web-acl-testing.md)。
**注意**
在保護套件 (Web ACL) 中使用超過 1,500 WCUs 會產生超出基本保護套件 (Web ACL) 價格的成本。如需詳細資訊,請參閱 [中的 Web ACL 容量單位 WCUs) AWS WAF](aws-waf-capacity-units.md) 和 [AWS WAF 定價](https://aws.amazon.com/waf/pricing/)。
**編輯保護套件 (Web ACL)**
1. 登入新的 AWS 管理主控台 ,並在 https://[https://console.aws.amazon.com/wafv2-pro](https://console.aws.amazon.com/wafv2-pro) 開啟 AWS WAF 主控台。
1. 在導覽窗格中,選擇**資源與保護套件 (Web ACLs)**。
1. 選擇您要編輯的保護套件 (Web ACL)。主控台可讓主要保護套件 (Web ACL) 卡可編輯,也會開啟附帶您可以編輯之詳細資訊的側邊窗格。
1. 視需要編輯保護套件 (Web ACL)。
以下列出可編輯的保護套件 (Web ACL) 組態元件。
本節提供透過 AWS 主控台編輯 Web ACLs 的程序。
若要從 Web ACL 新增或移除規則或變更組態設定,請使用此頁面上的程序存取 Web ACL。更新 Web ACL 時, 會為您與 Web ACL 相關聯的資源 AWS WAF 提供持續涵蓋。
**生產流量風險**
在 Web ACL 中部署生產流量的變更之前,請在預備或測試環境中測試和調校變更,直到您對流量的潛在影響感到滿意為止。然後,使用生產流量在計數模式中測試和調整更新的規則,然後再啟用它們。如需準則,請參閱[測試和調校您的 AWS WAF 保護](web-acl-testing.md)。
**注意**
在保護套件 (Web ACL) 中使用超過 1,500 WCUs 會產生超出基本保護套件 (Web ACL) 價格的成本。如需詳細資訊,請參閱 [中的 Web ACL 容量單位 WCUs) AWS WAF](aws-waf-capacity-units.md) 和 [AWS WAF 定價](https://aws.amazon.com/waf/pricing/)。
**更新期間的暫時性不一致**
當您建立或變更保護套件 (Web ACL) 或其他 AWS WAF 資源時,變更會花費少量的時間傳播到存放資源的所有區域。傳播時間可以是幾秒鐘到幾分鐘。
以下是您在變更傳播期間可能注意到的暫時不一致的範例:
+ 建立保護套件 (Web ACL) 之後,如果您嘗試將其與資源建立關聯,您可能會收到例外狀況,指出保護套件 (Web ACL) 無法使用。
+ 將規則群組新增至保護套件 (Web ACL) 之後,新的規則群組規則可能會在使用保護套件 (Web ACL) 的一個區域中生效,而不會在另一個區域中生效。
+ 變更規則動作設定後,您可能會在某些地方看到舊動作,在其他地方看到新動作。
+ 將 IP 地址新增至封鎖規則中使用的 IP 集之後,新的地址可能會在某個區域中遭到封鎖,同時仍允許在另一個區域中封鎖。
------
#### [ Using the standard console ]
本節提供透過 AWS 主控台編輯 Web ACLs 的程序。
若要從 Web ACL 新增或移除規則或變更組態設定,請使用此頁面上的程序存取 Web ACL。更新 Web ACL 時, 會為您與 Web ACL 相關聯的資源 AWS WAF 提供持續涵蓋。
**生產流量風險**
在 Web ACL 中部署生產流量的變更之前,請在預備或測試環境中測試和調校變更,直到您對流量的潛在影響感到滿意為止。然後,使用生產流量在計數模式中測試和調整更新的規則,然後再啟用它們。如需準則,請參閱[測試和調校您的 AWS WAF 保護](web-acl-testing.md)。
**注意**
在保護套件 (Web ACL) 中使用超過 1,500 WCUs 會產生超出基本保護套件 (Web ACL) 價格的成本。如需詳細資訊,請參閱 [中的 Web ACL 容量單位 WCUs) AWS WAF](aws-waf-capacity-units.md) 和 [AWS WAF 定價](https://aws.amazon.com/waf/pricing/)。
**編輯 Web ACL**
1. 登入 AWS 管理主控台 並在 https://[https://console.aws.amazon.com/wafv2/homev2](https://console.aws.amazon.com/wafv2/homev2) 開啟 AWS WAF 主控台。
1. 在導覽窗格中,選擇 **Web ACLs**。
1. 選擇您要編輯的 Web ACL 名稱。主控台會帶您前往 Web ACL 的描述。
1. 視需要編輯 Web ACL。選取您感興趣的組態區域的標籤,然後編輯可變設定。對於您編輯的每個設定,當您選擇**儲存**並返回 Web ACL 的描述頁面時,主控台會將您的變更儲存到 Web ACL。
以下列出包含 Web ACL 組態元件的標籤。
+ **規則**索引標籤
+ **Web ACL 中定義的規則** – 您可以編輯和管理您在 Web ACL 中定義的規則,類似於您在 Web ACL 建立期間所做的操作。
**注意**
請勿變更您未手動新增至 Web ACL 的任何規則名稱。如果您使用其他 服務來管理規則,變更其名稱可能會移除或降低其提供預期保護的能力。 AWS Shield Advanced 和 AWS Firewall Manager 都可以在您的 Web ACL 中建立規則。如需相關資訊,請參閱[辨識其他服務提供的規則群組](waf-service-owned-rule-groups.md)。
**注意**
如果您變更規則的名稱,並且希望規則的指標名稱反映變更,則也必須更新指標名稱。 AWS WAF 當您變更規則名稱時, 不會自動更新規則的指標名稱。您可以使用規則 JSON 編輯器,在主控台中編輯規則時變更指標名稱。您也可以透過 APIs 和用於定義保護套件 (Web ACL) 或規則群組的任何 JSON 清單中變更這兩個名稱。
如需規則和規則群組設定的相關資訊,請參閱 [AWS WAF 規則](waf-rules.md)和 [AWS WAF 規則群組](waf-rule-groups.md)。
+ **使用的 Web ACL 規則容量單位** – Web ACL 目前的容量使用量。這只是檢視。
+ **不符合任何規則之請求的預設 Web ACL 動作** – 如需此設定的相關資訊,請參閱 [在 中設定保護套件 (Web ACL) 預設動作 AWS WAF](web-acl-default-action.md)。
+ **Web ACL CAPTCHA 和挑戰組態** – 這些抗擾性時間會決定 CAPTCHA 或挑戰字符在取得後保持有效的時間。建立 Web ACL 後,您只能在此處修改此設定。如需這些設定的資訊,請參閱 [在 中設定時間戳記過期和字符豁免時間 AWS WAF](waf-tokens-immunity-times.md)。
+ **字符網域清單** – AWS WAF 接受清單中所有網域的字符,以及相關聯資源的網域的字符。如需詳細資訊,請參閱[AWS WAF 保護套件 (Web ACL) 權杖網域清單組態](waf-tokens-domains.md#waf-tokens-domain-lists)。
+ **關聯的 AWS 資源**索引標籤
+ **Web 請求檢查大小限制** – 僅包含保護 CloudFront 分佈ACLs。內文檢查大小限制會決定要轉送多少內文元件 AWS WAF 以進行檢查。如需有關此設定的詳細資訊,請參閱 [在 中管理主體檢查的考量事項 AWS WAF](web-acl-setting-body-inspection-limit.md)。
+ **關聯的 AWS 資源** – Web ACL 目前與 建立關聯和保護的資源清單。您可以找到與 Web ACL 位於相同區域內的資源,並將其與 Web ACL 建立關聯。如需詳細資訊,請參閱[將保護與 AWS 資源建立關聯或取消關聯](web-acl-associating-aws-resource.md)。
+ **自訂回應內文**索引標籤
+ 自訂回應主體,可供動作設為 的 Web ACL 規則使用Block。如需詳細資訊,請參閱[傳送Block動作的自訂回應](customizing-the-response-for-blocked-requests.md)。
+ **記錄和指標**索引標籤
+ **記錄** – 記錄 Web ACL 評估的流量。如需相關資訊,請參閱[記錄 AWS WAF 保護套件 (Web ACL) 流量](logging.md)。
+ **Security Lake 整合** – 您在 Amazon Security Lake 中為 Web ACL 設定的任何資料收集的狀態。如需詳細資訊,請參閱《*Amazon Security Lake 使用者指南*》中的[從 AWS 服務收集資料](https://docs.aws.amazon.com/security-lake/latest/userguide/internal-sources.html)。
+ **範例請求** – 符合 Web 請求之規則的相關資訊。如需檢視取樣請求的詳細資訊,請參閱 [檢視 Web 請求的範例](web-acl-testing-view-sample.md)。
+ **資料保護設定** – 您可以設定 Web 流量資料修訂和篩選可用於 Web ACL 的所有資料,以及僅針對 AWS WAF 傳送至已設定 Web ACL 記錄目的地的資料。如需資料保護的資訊,請參閱 [保護 AWS WAF 套件 (Web ACL) 流量的資料保護和記錄](waf-data-protection-and-logging.md)。
+ **CloudWatch 指標** – Web ACL 中規則的指標。如需 Amazon CloudWatch 指標的相關資訊,請參閱 [使用 Amazon CloudWatch 監控](monitoring-cloudwatch.md)。
**更新期間的暫時性不一致**
當您建立或變更保護套件 (Web ACL) 或其他 AWS WAF 資源時,變更會花費少量的時間傳播到存放資源的所有區域。傳播時間可以是幾秒鐘到幾分鐘。
以下是您在變更傳播期間可能注意到的暫時不一致的範例:
+ 建立保護套件 (Web ACL) 之後,如果您嘗試將其與資源建立關聯,您可能會收到例外狀況,指出保護套件 (Web ACL) 無法使用。
+ 將規則群組新增至保護套件 (Web ACL) 之後,新的規則群組規則可能會在使用保護套件 (Web ACL) 的一個區域中生效,而不會在另一個區域中生效。
+ 變更規則動作設定後,您可能會在某些地方看到舊動作,在其他地方看到新動作。
+ 將 IP 地址新增至封鎖規則中使用的 IP 集之後,新的地址可能會在某個區域中遭到封鎖,同時仍允許在另一個區域中封鎖。
------
# 管理規則群組行為
本節說明您在保護套件 (Web ACL) 中修改規則群組使用方式的選項。此資訊適用於所有規則群組類型。將規則群組新增至保護套件 (Web ACL) 之後,您可以將規則群組中個別規則的動作覆寫為 ,Count或覆寫為任何其他有效的規則動作設定。您也可以將規則群組產生的動作覆寫為 Count,這不會影響規則群組內評估規則的方式。
如需這些選項的資訊,請參閱 [在 中覆寫規則群組動作 AWS WAF](web-acl-rule-group-override-options.md)。
## 覆寫規則群組中的規則動作
對於保護套件 (Web ACL) 中的每個規則群組,您可以覆寫部分或所有規則中包含規則的動作。
最常見的使用案例是將規則動作覆寫為 ,Count以測試新的或更新的規則。如果您已啟用指標,則會收到您覆寫之每個規則的指標。如需測試的詳細資訊,請參閱 [測試和調校您的 AWS WAF 保護](web-acl-testing.md)。
您可以在將受管規則群組新增至保護套件 (Web ACL) 時進行這些變更,也可以在編輯保護套件 (Web ACL) 時將其新增至任何類型的規則群組。這些指示適用於已新增至保護套件 (Web ACL) 的規則群組。如需此選項的詳細資訊,請參閱 [規則群組規則動作覆寫](web-acl-rule-group-override-options.md#web-acl-rule-group-override-options-rules)。
------
#### [ Using the new console ]
**覆寫規則群組中的規則動作**
1. 選擇您要編輯的保護套件 (Web ACL)。主控台可讓主要保護套件 (Web ACL) 卡可編輯,也會開啟側邊面板,其中包含您可以編輯的詳細資訊。
1. 在保護套件 (Web ACL) 卡中,選擇**規則**旁的**編輯**連結,以開啟**管理規則**面板。
1. 在規則群組的**管理規則**區段中,選擇受管規則以開啟其動作設定。
+ **覆寫規則群組** – 將規則群組動作變更為計數模式,但所有個別規則動作保持不變。
+ **覆寫所有規則動作** – 將規則動作套用至所有規則,覆寫其目前狀態。
+ **單一規則覆寫** – 將規則動作套用至個別規則。
1. 完成變更後,請選擇**儲存規則**。
------
#### [ Using the standard console ]
**覆寫規則群組中的規則動作**
1. 編輯 Web ACL。
1. 在 Web ACL 頁面**規則**索引標籤中,選取規則群組,然後選擇**編輯**。
1. 在**規則**群組的規則區段中,視需要管理動作設定。
+ **所有規則** – 若要為規則群組中的所有規則設定覆寫動作,請開啟**覆寫所有規則動作**下拉式清單,然後選取覆寫動作。若要移除所有規則的覆寫,請選取**移除所有覆寫**。
+ **單一規則** – 若要設定單一規則的覆寫動作,請開啟規則的下拉式清單,然後選取覆寫動作。若要移除規則的覆寫,請開啟規則的下拉式清單,然後選取**移除覆寫**。
1. 完成變更後,請選擇**儲存規則**。規則動作和覆寫動作設定會列在規則群組頁面中。
------
下列範例 JSON 清單顯示保護套件 (Web ACL) 內的規則群組宣告,覆寫規則 `CategoryVerifiedSearchEngine`和 Count的規則動作`CategoryVerifiedSocialMedia`。在 JSON 中,您可以透過為每個個別規則提供`RuleActionOverrides`項目來覆寫所有規則動作。
```
{
"Name": "AWS-AWSBotControl-Example",
"Priority": 5,
"Statement": {
"ManagedRuleGroupStatement": {
"VendorName": "AWS",
"Name": "AWSManagedRulesBotControlRuleSet",
"RuleActionOverrides": [
{
"ActionToUse": {
"Count": {}
},
"Name": "CategoryVerifiedSearchEngine"
},
{
"ActionToUse": {
"Count": {}
},
"Name": "CategoryVerifiedSocialMedia"
}
],
"ExcludedRules": []
},
"VisibilityConfig": {
"SampledRequestsEnabled": true,
"CloudWatchMetricsEnabled": true,
"MetricName": "AWS-AWSBotControl-Example"
}
}
```
## 將規則群組的評估結果覆寫為 Count
您可以覆寫規則群組評估所產生的動作,而不會變更規則群組中的規則設定或評估方式。此選項不常用。如果規則群組中的任何規則產生相符項目,此覆寫會將規則群組的結果動作設為 Count。
**注意**
這是不常見的使用案例。大多數動作覆寫是在規則群組內的規則層級完成,如中所述[覆寫規則群組中的規則動作](#web-acl-rule-group-rule-action-override)。
您可以在新增或編輯規則群組時,覆寫保護套件 (Web ACL) 中規則群組產生的動作。在主控台中,開啟規則群組的**覆寫規則群組動作 - 選用**窗格,並啟用覆寫。在規則群組陳述`OverrideAction`式中的 JSON 集中,如下列範例清單所示:
```
{
"Name": "AWS-AWSBotControl-Example",
"Priority": 5,
"Statement": {
"ManagedRuleGroupStatement": {
"VendorName": "AWS",
"Name": "AWSManagedRulesBotControlRuleSet"
}
},
"OverrideAction": {
"Count": {}
},
"VisibilityConfig": {
"SampledRequestsEnabled": true,
"CloudWatchMetricsEnabled": true,
"MetricName": "AWS-AWSBotControl-Example"
}
}
```
# 將保護與 AWS 資源建立關聯或取消關聯
您可以使用 在保護套件 (Web ACLs) 與 資源之間 AWS WAF 建立下列關聯:
+ 將區域保護套件 (Web ACL) 與下列任何區域資源建立關聯。對於此選項,保護套件 (Web ACL) 必須與資源位於相同的區域。
+ Amazon API Gateway REST API
+ Application Load Balancer
+ AWS AppSync GraphQL API
+ Amazon Cognito 使用者集區
+ AWS App Runner 服務
+ AWS 已驗證的存取執行個體
+ AWS Amplify
+ 將全域保護套件 (Web ACL) 與 Amazon CloudFront 分佈建立關聯。全域保護套件 (Web ACL) 會有硬式編碼的美國東部 (維吉尼亞北部) 區域。
您也可以在建立或更新分佈本身時,將保護套件 (Web ACL) 與 CloudFront 分佈建立關聯。如需詳細資訊,請參閱《*Amazon CloudFront 開發人員指南*》中的[使用 AWS WAF 控制對您的內容的存取](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/distribution-web-awswaf.html)。
**有關多個關聯的限制**
您可以根據下列限制,將單一保護套件 (Web ACL) 與一或多個 AWS 資源建立關聯:
+ 每個 AWS 資源只能與一個保護套件 (Web ACL) 建立關聯。保護套件 (Web ACL) 與 AWS 資源之間的關係是one-to-many。
+ 您可以將保護套件 (Web ACL) 與一或多個 CloudFront 分佈建立關聯。您無法將與 CloudFront 分佈相關聯的保護套件 (Web ACL) 與任何其他 AWS 資源類型建立關聯。
**其他限制**
下列其他限制適用於保護套件 (Web ACL) 關聯:
+ 您只能將保護套件 (Web ACL) 與其中的 Application Load Balancer 建立關聯 AWS 區域。例如,您無法將保護套件 (Web ACL) 與開啟的 Application Load Balancer 建立關聯 AWS Outposts。
+ 您無法將 Amazon Cognito 使用者集區與使用 AWS WAF 詐騙控制帳戶建立詐騙預防 (ACFP) 受管規則群組 `AWSManagedRulesACFPRuleSet` 或 AWS WAF 詐騙控制帳戶接管預防 (ATP) 受管規則群組 的保護套件 (Web ACL) 建立關聯`AWSManagedRulesATPRuleSet`。如需防止帳戶建立詐騙的相關資訊,請參閱[AWS WAF 詐騙控制帳戶建立詐騙預防 (ACFP)](waf-acfp.md)。如需防止帳戶接管的資訊,請參閱 [AWS WAF 詐騙控制帳戶接管預防 (ATP)](waf-atp.md)。
**生產流量風險**
在部署生產流量的保護套件 (Web ACL) 之前,請在預備或測試環境中進行測試和調校,直到您對流量的潛在影響感到滿意為止。然後,使用生產流量在計數模式中測試和調整規則,然後再啟用它們。如需準則,請參閱[測試和調校您的 AWS WAF 保護](web-acl-testing.md)。
# 將保護與 AWS 資源建立關聯
------
#### [ Using the new console ]
1. 選擇您要編輯的保護套件 (Web ACL)。主控台可讓主要保護套件 (Web ACL) 卡可編輯,也會開啟側邊面板,其中包含您可以編輯的詳細資訊。
1. 在保護套件 (Web ACL) 卡片中,選擇**資源**旁的**編輯**連結以開啟**管理資源**面板。
1. 在規則群組的**管理資源**區段中,選擇**新增區域資源**或**新增全域資源**。
1. 選擇資源,然後選擇**新增**。
------
#### [ Using the standard console ]
若要將 Web ACL 與 AWS 資源建立關聯,請執行下列程序。
**將 Web ACL 與 AWS 資源建立關聯**
1. 登入 AWS 管理主控台 並在 https://[https://console.aws.amazon.com/wafv2/homev2](https://console.aws.amazon.com/wafv2/homev2) 開啟 AWS WAF 主控台。
1. 在導覽窗格中,選擇 **Web ACLs**。
1. 選擇您要與資源建立關聯的 Web ACL 名稱。主控台會將您帶到 Web ACL 的描述,您可以在其中編輯它。
1. 在**關聯的 AWS 資源**索引標籤上,選擇**新增 AWS 資源**。
1. 出現提示時,選擇資源類型,選取您要關聯的資源旁的選項按鈕,然後選擇**新增**。
------
# 取消保護與 AWS 資源的關聯
------
#### [ Using the new console ]
1. 選擇您要編輯的保護套件 (Web ACL)。主控台可讓主要保護套件 (Web ACL) 卡可編輯,也會開啟側邊面板,其中包含您可以編輯的詳細資訊。
1. 在保護套件 (Web ACL) 卡片中,選擇**資源**旁的**編輯**連結,以開啟**管理資源**面板。
1. 在規則群組的**管理資源**區段中,選擇您要取消關聯的資源,然後選擇**取消關聯**。
**注意**
您必須一次取消一個資源的關聯。請勿選擇多個資源。
1. 在確認頁面中,輸入「取消關聯」,然後選擇**取消關聯**。
------
#### [ Using the standard console ]
若要取消 Web ACL 與 AWS 資源的關聯,請執行下列程序。
**取消 Web ACL 與 AWS 資源的關聯**
1. 登入 AWS 管理主控台 ,並在 https://[https://console.aws.amazon.com/wafv2/homev2](https://console.aws.amazon.com/wafv2/homev2) 開啟 AWS WAF 主控台。
1. 在導覽窗格中,選擇 **Web ACLs**。
1. 選擇您要與資源取消關聯的 Web ACL 名稱。主控台會將您帶到 Web ACL 的描述,您可以在其中編輯它。
1. 在**關聯的 AWS 資源**索引標籤上,選取要取消與此 Web ACL 關聯的資源。
**注意**
您必須一次取消一個資源的關聯。請勿選擇多個資源。
**注意**
當您選擇將 Application Load Balancer 與 webACL 建立關聯時,就會啟用**資源層級 DDoS 保護**。如需詳細資訊,請參閱[AWS WAF 分散式阻斷服務 (DDoS) 預防](waf-anti-ddos.md)。
1. 選擇**取消關聯**。主控台會開啟確認對話。確認您的選擇,以取消 Web ACL 與 AWS 資源的關聯。
------
# 在 中使用保護套件 (Web ACLs) 搭配規則和規則群組 AWS WAF
本節介紹保護套件 (Web ACLs) 和 Web ACLs 如何與規則和規則群組搭配使用。
保護套件 (Web ACL) 處理 Web 請求的方式取決於下列項目:
+ 保護套件 (Web ACL) 和規則群組內規則的數值優先順序設定
+ 規則和保護套件的動作設定 (Web ACL)
+ 您在新增的規則群組中放置在規則上的任何覆寫
如需規則動作設定的清單,請參閱 [在 中使用規則動作 AWS WAF](waf-rule-action.md)。
您可以在規則動作設定和預設保護套件 (Web ACL) 動作設定中自訂請求和回應處理。如需相關資訊,請參閱[中的自訂 Web 請求和回應 AWS WAF](waf-custom-request-response.md)。
**Topics**
+ [設定規則優先順序](web-acl-processing-order.md)
+ [AWS WAF 如何處理規則和規則群組動作](web-acl-rule-actions.md)
+ [在 中覆寫規則群組動作 AWS WAF](web-acl-rule-group-override-options.md)
# 設定規則優先順序
本節說明如何 AWS WAF 使用數值優先順序設定來設定規則的評估順序。
在保護套件 (Web ACL) 和任何規則群組中,您可以使用數值優先順序設定來判斷規則的評估順序。您必須為保護套件 (Web ACL) 中的每個規則提供該保護套件 (Web ACL) 內的唯一優先順序設定,並且必須為規則群組中的每個規則提供該規則群組內的唯一優先順序設定。
**注意**
當您透過主控台管理規則群組、保護套件 (Web ACLs) 時, 會根據清單中的規則順序為您 AWS WAF 指派唯一的數值優先順序設定。 AWS WAF 會將最低數值優先順序指派給清單頂端的規則,並將最高數值優先順序指派給底部的規則。
當 針對 Web 請求 AWS WAF 評估任何規則群組、保護套件 (Web ACL) 時,它會評估 上最低數值優先順序設定的規則,直到找到終止評估或耗盡所有規則的相符項目為止。
例如,假設您的保護套件 (Web ACL) 中有下列規則和規則群組,其優先順序如下所示:
+ Rule1 – 優先順序 0
+ RuleGroupA – 優先順序 100
+ RuleA1 – 優先順序 10,000
+ RuleA2 – 優先順序 20,000
+ Rule2 – 優先順序 200
+ RuleGroupB – 優先順序 300
+ RuleB1 – 優先順序 0
+ RuleB2 – 優先順序 1
AWS WAF 會依下列順序評估此保護套件 (Web ACL) 的規則:
+ Rule1
+ RuleGroupA RuleA1
+ RuleGroupA RuleA2
+ Rule2
+ RuleGroupB RuleB1
+ RuleGroupB RuleB2
# AWS WAF 如何處理規則和規則群組動作
本節說明如何 AWS WAF 使用規則和規則群組來處理動作。
當您設定規則和規則群組時,您可以選擇 AWS WAF 如何處理相符的 Web 請求:
+ **Allow 和 Block 正在終止動作** – Allow而 Block動作會停止對相符 Web 請求進行保護套件 (Web ACL) 的所有其他處理。如果保護套件 (Web ACL) 中的規則找到請求的相符項目,且規則動作為 Allow或 Block,則相符項目會決定保護套件 (Web ACL) 之 Web 請求的最終處置。 AWS WAF 不會處理在相符項目之後的保護套件 (Web ACL) 中的任何其他規則。對於您直接新增至保護套件 (Web ACL) 的規則,以及新增規則群組內的規則,這是如此。透過 Block動作,受保護的資源不會接收或處理 Web 請求。
+ **Count 是非終止動作** – 當具有Count動作的規則符合請求時, 會 AWS WAF 計算請求,然後繼續處理保護套件 (Web ACL) 規則集中遵循的規則。
+ **CAPTCHA 和 Challenge 可以是非終止或終止動作** – 當具有這些動作之一的規則符合請求時, 會 AWS WAF 檢查其字符狀態。如果請求具有有效的字符, 會 AWS WAF 處理類似相符項目的Count相符項目,然後繼續處理保護套件 (Web ACL) 規則集中遵循的規則。如果請求沒有有效的字符, 會 AWS WAF 終止評估,並向用戶端傳送要解決的 CAPTCHA 拼圖或無提示背景用戶端工作階段挑戰。
如果規則評估不會導致任何終止動作,則 會將保護套件 (Web ACL) 預設動作 AWS WAF 套用至請求。如需相關資訊,請參閱[在 中設定保護套件 (Web ACL) 預設動作 AWS WAF](web-acl-default-action.md)。
在保護套件 (Web ACL) 中,您可以覆寫規則群組內規則的動作設定,也可以覆寫規則群組傳回的動作。如需相關資訊,請參閱[在 中覆寫規則群組動作 AWS WAF](web-acl-rule-group-override-options.md)。
**動作與優先順序設定之間的互動**
AWS WAF 套用至 Web 請求的動作會受到保護套件 (Web ACL) 中規則的數值優先順序設定影響。例如,假設您的保護套件 (Web ACL) 具有具有Allow動作 的規則和數字優先順序 50,以及具有Count動作 和數字優先順序 100 的另一個規則。 從最低設定開始, 會依其優先順序 AWS WAF 評估保護套件 (Web ACL) 中的規則,因此它將在計數規則之前評估允許規則。符合兩個規則的 Web 請求會先符合允許規則。由於 Allow是終止動作, AWS WAF 會停止此相符項目的評估,而不會針對計數規則評估請求。
+ 如果您只想在計數規則指標中包含不符合允許規則的請求,則規則的優先順序設定會有效。
+ 另一方面,如果您想要計數規則中的計數指標,即使請求符合允許規則,您也需要為計數規則提供比允許規則更低的數值優先順序設定,以便先執行。
如需優先順序設定的詳細資訊,請參閱 [設定規則優先順序](web-acl-processing-order.md)。
# 在 中覆寫規則群組動作 AWS WAF
本節說明如何覆寫規則群組動作。
當您將規則群組新增至保護套件 (Web ACL) 時,您可以覆寫在相符的 Web 請求上所採取的動作。覆寫保護套件 (Web ACL) 組態內規則群組的動作並不會改變規則群組本身。它只會改變 AWS WAF 如何在保護套件 (Web ACL) 的內容中使用規則群組。
## 規則群組規則動作覆寫
您可以將規則群組內規則的動作覆寫為任何有效的規則動作。當您執行此操作時,比對請求的處理方式與設定的規則動作為覆寫設定完全相同。
**注意**
規則動作可以是終止或非終止。終止動作會停止請求的保護套件 (Web ACL) 評估,並讓它繼續到您的受保護應用程式或封鎖它。
以下是規則動作選項:
+ **Allow** – AWS WAF 允許將請求轉送至受保護 AWS 的資源以進行處理和回應。這是終止動作。在您定義的規則中,您可以將自訂標頭插入請求,然後再將其轉送至受保護的資源。
+ **Block** – AWS WAF 封鎖請求。這是終止動作。根據預設,受保護 AWS 的資源會以 HTTP `403 (Forbidden)` 狀態碼回應。在您定義的規則中,您可以自訂回應。當 AWS WAF 封鎖請求時,Block動作設定會決定受保護資源傳回用戶端的回應。
+ **Count** – AWS WAF 計算請求,但不決定允許或封鎖請求。這是非終止動作。 會 AWS WAF 繼續處理保護套件 (Web ACL) 中的其餘規則。在您定義的規則中,您可以將自訂標頭插入請求,也可以新增其他規則可比對的標籤。
+ **CAPTCHA 和 Challenge** – AWS WAF 使用 CAPTCHA 拼圖和靜音挑戰來驗證請求不是來自機器人,並使用 AWS WAF 字符來追蹤最近成功的用戶端回應。
CAPTCHA 拼圖和無提示挑戰只能在瀏覽器存取 HTTPS 端點時執行。瀏覽器用戶端必須在安全的內容中執行,才能取得字符。
**注意**
當您在其中一個規則中使用 CAPTCHA或 Challenge 規則動作,或做為規則群組中的規則動作覆寫時,需支付額外費用。如需詳細資訊,請參閱[AWS WAF 定價](https://aws.amazon.com/waf/pricing/)。
這些規則動作可以終止或非終止,取決於請求中字符的狀態:
+ **未終止有效、未過期的字符** – 如果字符有效且根據設定的 CAPTCHA 或挑戰抗擾性時間未過期, 會 AWS WAF 處理類似 Count動作的請求。 會根據保護套件 (Web ACL) 中的其餘規則 AWS WAF 繼續檢查 Web 請求。與Count組態類似,在您定義的規則中,您可以選擇使用自訂標頭來設定這些動作,以插入請求中,也可以新增其他規則可比對的標籤。
+ **以無效或過期權杖的封鎖請求終止** – 如果權杖無效或指定的時間戳記已過期, 會 AWS WAF 終止 Web 請求的檢查並封鎖請求,類似於 Block動作。 AWS WAF 然後以自訂回應碼回應用戶端。對於 CAPTCHA,如果請求內容指出用戶端瀏覽器可以處理它, AWS WAF 會在 JavaScript 間質中傳送 CAPTCHA 拼圖,這旨在區分人類用戶端和機器人。對於 Challenge動作, AWS WAF 會傳送具有無提示挑戰的 JavaScript 間質,此挑戰旨在區分正常瀏覽器與機器人正在執行的工作階段。
如需其他資訊,請參閱 [CAPTCHA 和 Challenge 中的 AWS WAF](waf-captcha-and-challenge.md)。
如需如何使用此選項的詳細資訊,請參閱 [覆寫規則群組中的規則動作](web-acl-rule-group-settings.md#web-acl-rule-group-rule-action-override)。
### 將規則動作覆寫為 Count
規則動作覆寫最常見的使用案例是將部分或全部規則動作覆寫至 Count,以測試和監控規則群組的行為,然後再將其投入生產環境。
您也可以使用它來對產生誤報的規則群組進行故障診斷。當規則群組封鎖您預期不會封鎖的流量時,就會發生誤報。如果您在規則群組中識別規則,以封鎖您想要允許通過的請求,您可以保留該規則上的計數動作覆寫,以排除它對您的請求採取行動。
如需在測試中使用規則動作覆寫的詳細資訊,請參閱 [測試和調校您的 AWS WAF 保護](web-acl-testing.md)。
### JSON 清單:`RuleActionOverrides`取代 `ExcludedRules`
如果您在 2022 年 10 月 27 日之前將保護套件 (Web ACL) 組態Count中的規則群組規則動作設為 ,則 會將保護套件 (Web ACL) JSON 中的覆寫 AWS WAF 儲存為 `ExcludedRules`。現在,覆寫規則的 JSON 設定Count位於`RuleActionOverrides`設定中。
建議您將 JSON 清單中的所有`ExcludedRules`設定更新為動作設為 `RuleActionOverrides`的設定Count。如果您只使用新的設定,API 會接受任一設定,但您會在主控台工作與 API 工作之間取得 JSON 清單中的一致性`RuleActionOverrides`。
**注意**
在 AWS WAF 主控台中,保護套件 (Web ACL) **取樣請求**索引標籤不會顯示具有舊設定的規則範例。如需詳細資訊,請參閱[檢視 Web 請求的範例](web-acl-testing-view-sample.md)。
當您使用 AWS WAF 主控台編輯現有的規則群組設定時,主控台會自動將 JSON 中的任何`ExcludedRules`設定轉換為 `RuleActionOverrides`設定,並將覆寫動作設定為 Count。
+ 目前的設定範例:
```
"ManagedRuleGroupStatement": {
"VendorName": "AWS",
"Name": "AWSManagedRulesAdminProtectionRuleSet",
"RuleActionOverrides": [
{
"Name": "AdminProtection_URIPATH",
"ActionToUse": {
"Count": {}
}
}
]
```
+ 舊設定範例:
```
OLD SETTING
"ManagedRuleGroupStatement": {
"VendorName": "AWS",
"Name": "AWSManagedRulesAdminProtectionRuleSet",
"ExcludedRules": [
{
"Name": "AdminProtection_URIPATH"
}
]
OLD SETTING
```
## 規則群組傳回動作覆寫至 Count
您可以覆寫規則群組傳回的動作,將其設定為 Count。
**注意**
這不是在規則群組中測試規則的好選項,因為它不會改變規則群組本身 AWS WAF 的評估方式。它只會影響 AWS WAF 如何處理從規則群組評估傳回至保護套件 (Web ACL) 的結果。如果您想要測試規則群組中的規則,請使用上一節中所述的選項 [規則群組規則動作覆寫](#web-acl-rule-group-override-options-rules)。
當您將規則群組動作覆寫為 時Count, 會正常 AWS WAF 處理規則群組評估。
如果規則群組中沒有規則相符或所有相符規則都有Count動作,則此覆寫不會影響規則群組或保護套件 (Web ACL) 的處理。
規則群組中符合 Web 請求且具有終止規則動作的第一個規則 AWS WAF 會導致 停止評估規則群組,並將終止動作結果傳回至保護套件 (Web ACL) 評估層級。此時,在保護套件 (Web ACL) 評估中,此覆寫會生效。 會 AWS WAF 覆寫終止動作,使得規則群組評估的結果僅為Count動作。 AWS WAF 然後繼續處理保護套件 (Web ACL) 中的其餘規則。
如需如何使用此選項的詳細資訊,請參閱 [將規則群組的評估結果覆寫為 Count](web-acl-rule-group-settings.md#web-acl-rule-group-action-override)。
# 在 中設定保護套件 (Web ACL) 預設動作 AWS WAF
本節說明保護套件 (Web ACL) 預設動作的運作方式。
當您建立和設定保護套件 (Web ACL) 時,您必須設定保護套件 (Web ACL) 預設動作。 AWS WAF 會將此動作套用至任何 Web 請求,使其通過所有保護套件 (Web ACL) 的規則評估,而不會套用終止動作。終止動作會停止請求的保護套件 (Web ACL) 評估,並讓它繼續到您的受保護應用程式或封鎖它。如需規則動作的詳細資訊,請參閱 [在 中使用規則動作 AWS WAF](waf-rule-action.md)。
保護套件 (Web ACL) 預設動作必須決定 Web 請求的最終處置,因此它是終止動作:
+ **Allow** – 如果您想要允許大多數使用者存取您的網站,但想要封鎖對攻擊者的存取,其請求來自指定的 IP 地址,或其請求似乎包含惡意 SQL 程式碼或指定的值,請選擇Allow預設動作。然後,當您將規則新增至保護套件 (Web ACL) 時,請新增規則來識別和封鎖您要封鎖的特定請求。透過此動作,您可以將自訂標頭插入請求,然後再將其轉送至受保護的資源。
+ **Block** – 如果您想要防止大多數使用者存取您的網站,但您想要允許存取其請求來自指定 IP 地址的使用者,或是其請求包含指定值的使用者,請選擇Block預設動作。然後,當您將規則新增至保護套件 (Web ACL) 時,請新增規則,以識別並允許您想要允許的特定請求。根據預設,對於 Block動作, AWS 資源會以 HTTP `403 (Forbidden)` 狀態碼回應,但您可以自訂回應。
如需自訂請求和回應的詳細資訊,請參閱 [中的自訂 Web 請求和回應 AWS WAF](waf-custom-request-response.md)。
您自己的規則和規則群組的組態部分取決於您要允許還是封鎖多數的 Web 請求。例如,如果您想要*允許*大多數請求,您可以將保護套件 (Web ACL) 預設動作設定為 Allow,然後新增規則來識別您要*封鎖*的 Web 請求,如下所示:
+ 來自發出異常數量 IP 地址的請求
+ 來自您不常交涉、或時常受到攻擊國家/地區的請求
+ `User-agent` 標題中包含虛假值的請求
+ 似乎含有惡意 SQL 程式碼的請求
受管規則群組規則通常使用 Block動作,但並非全部都使用。例如,某些用於 Bot Control 的規則會使用 CAPTCHA和 Challenge動作設定。如需受管規則群組的相關資訊,請參閱 [在 中使用受管規則群組 AWS WAF](waf-managed-rule-groups.md)。
# 在 中管理主體檢查的考量事項 AWS WAF
內文檢查大小限制是 AWS WAF 可檢查的請求內文大小上限。當 Web 請求內文大於限制時,基礎主機服務只會將限制內的內容轉送至 AWS WAF 以供檢查。
+ 對於 Application Load Balancer 和 AWS AppSync,限制固定為 8 KB (8,192 位元組)。
+ 對於 CloudFront、API Gateway、Amazon Cognito、App Runner 和 Verified Access,預設限制為 16 KB (16,384 位元組),而且您可以將任何資源類型的限制以 16 KB 遞增,最多 64 KB。設定選項為 16 KB、32 KB、48 KB 和 64 KB。
**重要**
AWS WAF 不支援 gRPC 流量的請求內文檢查規則。如果您在 CloudFront 分佈或 Application Load Balancer 的保護套件 (Web ACL) 上啟用這些規則,則任何使用 gRPC 的請求都會忽略請求內文檢查規則。所有其他 AWS WAF 規則仍然適用。如需詳細資訊,請參閱《*Amazon CloudFront 開發人員指南*》中的[AWS WAF 針對分佈啟用](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/WAF-one-click.html) 。
**過大主體處理**
如果您的 Web 流量包含大於限制的內文,則會套用您設定的過大處理。如需處理過大選項的詳細資訊,請參閱 [在 中過大 Web 請求元件 AWS WAF](waf-oversize-request-components.md)。
**提高限制設定的定價考量**
AWS WAF 會針對檢查資源類型預設限制內的流量,收取基本費率。
對於 CloudFront、API Gateway、Amazon Cognito、App Runner 和 Verified Access 資源,如果您增加限制設定, AWS WAF 可以檢查的流量包含不超過新限制的內文大小。只有在檢查內文大小大於預設 16 KB 的請求時,才會向您收取額外的費用。如需定價的詳細資訊,請參閱[AWS WAF 定價](https://aws.amazon.com/waf/pricing/)。
**修改內文檢查大小限制的選項**
您可以設定 CloudFront、API Gateway、Amazon Cognito、App Runner 或 Verified Access 資源的內文檢查大小限制。
當您建立或編輯保護套件 (Web ACL) 時,您可以在資源關聯組態中修改內文檢查大小限制。如需 API,請參閱 [AssociationConfig](https://docs.aws.amazon.com/waf/latest/APIReference/API_AssociationConfig.html) 中的保護套件 (Web ACL) 的關聯組態。對於 主控台,請參閱您指定保護套件 (Web ACL) 相關資源之頁面上的組態。如需主控台組態的指引,請參閱 [在 中檢視 Web 流量指標 AWS WAF](web-acl-working-with.md)。
# 在 中設定 CAPTCHA、挑戰和字符 AWS WAF
您可以在保護套件 (Web ACL) 中為使用 CAPTCHA或 Challenge規則動作的規則設定選項,並為管理 AWS WAF 受管保護的無提示用戶端挑戰的應用程式整合SDKs設定選項。
這些功能透過使用 CAPTCHA 拼圖挑戰最終使用者,以及使用無提示的挑戰呈現用戶端工作階段,來緩解機器人活動。當用戶端成功回應時, AWS WAF 會提供權杖,供他們在 Web 請求中使用,並加上最後一個成功拼圖和挑戰回應的時間戳記。如需詳細資訊,請參閱[中的智慧型威脅防禦 AWS WAF](waf-managed-protections.md)。
在保護套件 (Web ACL) 組態中,您可以設定 如何 AWS WAF 管理這些字符:
+ **CAPTCHA 和挑戰豁免時間** – 這些會指定 CAPTCHA 或挑戰時間戳記的有效時間。保護套件 (Web ACL) 設定會繼承於所有未設定其自身抗擾性時間設定的規則,以及應用程式整合 SDKs。如需詳細資訊,請參閱[在 中設定時間戳記過期和字符豁免時間 AWS WAF](waf-tokens-immunity-times.md)。
+ **權杖網域** – 根據預設, 僅 AWS WAF 接受與保護套件 (Web ACL) 相關聯的資源網域權杖。如果您設定權杖網域清單, 會 AWS WAF 接受清單中所有網域以及相關聯資源網域的權杖。如需詳細資訊,請參閱[AWS WAF 保護套件 (Web ACL) 權杖網域清單組態](waf-tokens-domains.md#waf-tokens-domain-lists)。
# 在 中檢視 Web 流量指標 AWS WAF
本節說明如何存取 Web 流量指標的摘要。
對於您使用的任何保護套件 (Web ACL),您可以在 AWS WAF 主控台的保護套件 (Web ACL) 頁面的**流量概觀**索引標籤下存取 Web 流量指標的摘要。主控台儀表板提供近乎即時的 Amazon CloudWatch 指標摘要,這些指標會在評估應用程式 Web 流量時 AWS WAF 收集。如需儀表板的詳細資訊,請參閱 [保護套件的流量概觀儀表板 (Web ACLs)](web-acl-dashboards.md)。如需有關監控保護套件 (Web ACL) 流量的其他資訊,請參閱 [監控和調校您的 AWS WAF 保護](web-acl-testing-activities.md)。
# 刪除保護套件 (Web ACL)
本節提供透過 AWS 主控台刪除保護套件 (Web ACLs) 的程序。
**重要**
刪除保護套件 (Web ACL) 是永久性的,無法復原。
若要刪除保護套件 (Web ACL),您必須先取消所有 AWS 資源與保護套件 (Web ACL) 的關聯。請執行以下程序。
------
#### [ Using the new console ]
1. 登入新的 AWS 管理主控台 ,並在 https://[https://console.aws.amazon.com/wafv2-pro](https://console.aws.amazon.com/wafv2-pro) 開啟 AWS WAF 主控台。
1. 在導覽窗格中,選擇**資源與保護套件 (Web ACLs)**。
1. 在保護套件 (Web ACL) 卡片中,選擇**資源**旁的**編輯**連結,以開啟**管理資源**面板。
1. 在規則群組的**管理資源**區段中,選擇您要取消關聯的資源,然後選擇**取消關聯**。
**注意**
您必須一次取消一個資源的關聯。請勿選擇多個資源。
1. 在確認頁面中,輸入「取消關聯」,然後選擇**取消關聯**。重複 以取消保護套件 (Web ACL) 中每個資源的關聯。
1. 選擇您要刪除的保護套件 (Web ACL)。主控台可讓主要保護套件 (Web ACL) 卡可編輯,也會開啟側邊面板,其中包含您可以編輯的詳細資訊。
1. 在詳細資訊面板中,選擇垃圾桶圖示。
1. 在確認頁面中,輸入「刪除」,然後選擇**刪除**。
------
#### [ Using the standard console ]
1. 登入 AWS 管理主控台 ,並在 https://[https://console.aws.amazon.com/wafv2/homev2](https://console.aws.amazon.com/wafv2/homev2) 開啟 AWS WAF 主控台。
1. 在導覽窗格中,選擇 **Web ACLs**。
1. 選取您要刪除的 Web ACL 名稱。主控台會將您帶到 Web ACL 的描述,您可以在其中編輯它。
**注意**
如果您沒有看到要刪除的 Web ACL,請確定 Web ACLs區段內的區域選擇正確無誤。保護 Amazon CloudFront 分佈的任何 Web ACLs 都位於**全域 (CloudFront)** 中。
1. 在**關聯的 AWS 資源**索引標籤上,針對每個相關聯的資源,選取資源名稱旁的選項按鈕,然後選擇**取消關聯**。這會取消保護套件 (Web ACL) 與 AWS 資源的關聯。
1. 在導覽窗格中,選擇 **Web ACLs**。
1. 選取您要刪除的 Web ACL 旁邊的選項按鈕,然後選擇 **Delete (刪除)**。
------