Amazon WAF 策略 - Amazon WAF、Amazon Firewall Manager 和 Amazon Shield Advanced
规则组数Amazon WAF策略为 配置日志记录Amazon WAF政策
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon WAF 策略

在Firewall Manager 中Amazon WAF策略,你指定Amazon WAF要在资源的范围内使用的规则组。应用策略时,在策略范围内的每个账户中,Firewall Manager 会创建一个由Firewall Manager 管理的 Web ACL。在生成的 Web ACL 中,除了您通过 Firewall Manager 定义的规则组外,个人账户管理员还可以添加规则和规则组。

当Firewall Manager 为策略创建 Web ACL 时,它会命名为 Web ACLFMManagedWebACLV2-policy name-timestamp. 时间戳为以世界标准时间 (UTC) 毫秒为单位的 例如,FMManagedWebACLV2-MyWAFPolicyName-1621880374078

Amazon Firewall Manager启用采样和亚马逊 CloudWatch Web ACL 及其为 Web ACL 创建的规则组的指标Amazon WAF策略。

规则组数Amazon WAF策略

由Firewall Manager 管理的 Web ACLAmazon WAF策略包含三组规则。这些规则集为 Web ACL 中的规则和规则组提供了更高级的优先级划分机制:

  • 第一个规则组,由您在Firewall Manager 中定义Amazon WAF策略。Amazon WAF首先评估这些规则组。

  • 由账户经理在 Web ACL 中定义的规则和规则组。Amazon WAF 会在中间评估任何客户托管的规则或规则组。

  • 最后一个规则组,由您在Firewall Manager 中定义Amazon WAF策略。Amazon WAF最后评估这些规则组。

在其中的每个规则集中,Amazon WAF 会按照规则和规则组在规则集中的优先级设置照常评估规则和规则组。

在策略的“最先运行的规则组”集和“最后运行的规则组”集中,您只能添加规则组。您可以使用托管规则组,Amazon托管式规则和Amazon Web Services Marketplace卖家为您创建和维护。您也可以管理和使用自己的规则组。有关所有这些操作的更多信息,请参阅规则组

注意

Firewall Manager 支持新的Amazon WAF机器人控制托管规则组 有关机器人控制的信息Amazon WAF,请参阅阅。Amazon WAF机器人控制.

如果要使用自己的规则组,可以在创建Firewall Manager 之前创建这些规则组Amazon WAF策略。有关操作指南,请参阅 管理您自己的规则组。要使用单个自定义规则,您必须定义自己的规则组,再在其中定义您的规则,然后在策略中使用该规则组。

第一个也是最后一个Amazon WAF您通过 Firewall Manager 管理的规则组的名称以开头PREFMManaged-要么POSTFMManaged-,后面分别是Firewall Manager 策略名称和规则组创建时间戳,以 UTC 毫秒为单位。例如,PREFMManaged-MyWAFPolicyName-1621880555123

有关 Amazon WAF 如何评估 Web 请求的信息,请参阅 Web ACL 规则和规则组评估

对于创建 Firewall Manager 的过程Amazon WAF政策,请参阅为 Amazon WAF 创建Amazon Firewall Manager策略.

Firewall Manager 支持采样和亚马逊 CloudWatch 您为其定义的规则组的指标Amazon WAF策略。

个人账户所有者可以完全控制他们添加到策略的托管 Web ACL 中的任何规则或规则组的指标和采样配置。

为 配置日志记录Amazon WAF政策

您可以为自己启用集中式日志记录Amazon WAF策略,以获取有关组织内部流量的详细信息。日志中的信息包括以下时间Amazon WAF已收到您的请求Amazon资源,有关请求的详细信息,以及每个请求与来自所有范围内的账户的每个请求所匹配的规则的操作。有关 Amazon WAF 日志记录的更多信息,请参阅 记录 Web ACL 流量

注意

Amazon Firewall Manager对于最新版本的Amazon WAF,而不是为了Amazon WAF经典。

当您在上启用集中式登录时Amazon WAF策略,Firewall Manager 在Firewall Manager 管理员帐户中为该策略创建 Web ACL,如下所示:

  • 无论该帐户是否在策略范围内,Firewall Manager 都会在Firewall Manager 管理员帐户中创建 Web ACL。

  • Web ACL 启用了日志记录,并使用了日志名称FMManagedWebACLV2-Loggingpolicy name-timestamp,其中时间戳是为 Web ACL 启用日志的 UTC 时间,以毫秒为单位。例如,FMManagedWebACLV2-LoggingMyWAFPolicyName-1621880565180。Web ACL 没有规则组,也没有关联的资源。

  • 按照 Web ACL 向您收费Amazon WAF定价准则。有关更多信息,请参阅 Amazon WAF 定价

  • 当您删除策略时,Firewall Manager 会删除 Web ACL。

注意

Firewall Manager 不会修改贵组织成员账户中的任何现有日志配置。

您将日志从您的策略的网络 ACL 发送到您已配置存储目标的 Amazon Kinesis Data Firehose。启用日志记录后,Amazon WAF通过 Kinesis Data Firehose 的 HTTPS 端点将每个已配置的 Web ACL 的日志传送到配置的存储目标。在使用之前,请测试您的传输流,确保它有足够的吞吐量来容纳贵组织的日志。有关如何创建 Amazon Kinesis Data Firehose 和查看存储日志的更多信息,请参阅Amazon Kinesis Data Firehose 是什么?

您必须拥有以下权限才能成功启用日志记录:

  • iam:CreateServiceLinkedRole

  • firehose:ListDeliveryStreams

  • wafv2:PutLoggingConfiguration

有关服务相关角色的信息,以及iam:CreateServiceLinkedRole权限,请参阅将服务相关角色用于 Amazon WAF.

要为... 启用日志记录:Amazon WAF政策

  1. 使用您的Firewall Manager 管理员账户创建 Amazon Kinesis Data Firehose。使用以前缀开头的名称aws-waf-logs-. 例如,aws-waf-logs-firewall-manager-central。使用 PUT 源,在您执行操作的区域中创建 Data Firehose。如果您正在为亚马逊捕获日志 CloudFront,在美国东部(弗吉尼亚北部)创建消防水带。在使用之前,请测试您的传输流,确保它有足够的吞吐量来容纳贵组织的日志。有关更多信息,请参阅 。创建 Amazon Kinesis Data Firehose 传输流.

  2. 登录Amazon Web Services Management Console使用您的Firewall Manager 管理员帐户,然后打开Firewall Manager 控制台https://console.amazonaws.cn/wafv2/fmsv2.

    注意

    有关设置 Firewall Manager 管理员账户的信息,请参阅Amazon Firewall Manager先决条件

  3. 在导航窗格中,选择安全策略.

  4. 选择Amazon WAF您要为其启用日志记录的策略。有关 Amazon WAF 日志记录的更多信息,请参阅 记录 Web ACL 流量

  5. 政策详情选项卡,在政策规则部分,选择编辑.

  6. 对于日志路由器配置,选择Enabled.

  7. 选择您为日志记录创建的 Kinesis Data Firehose。你必须选择以以下开头的消防水带aws-waf-logs-.

  8. (可选)如果您不希望在日志中包含特定字段及其值,请编辑这些字段。选择要编辑的字段,然后选择 Add (添加)。根据需要重复操作来编辑其他字段。编辑后的字段在日志中显示为 XXX。例如,如果你删掉了URI I字段中返回的子位置类型URI I日志中的字段将是XXX.

  9. (可选)如果您不想将所有请求发送到日志,请添加您的筛选条件和行为。下面筛选日志,对于要应用的每个过滤器,选择添加筛选,然后选择您的筛选条件并指定是要保留还是删除符合条件的请求。添加完筛选器后,如果需要,修改默认日志记录行为.

  10. 选择 Next(下一步)。

  11. 检视您的设置,然后选择Save(保存)以保存您对策略的更改。

禁用日志记录Amazon WAF政策

  1. 登录Amazon Web Services Management Console使用您的Firewall Manager 管理员帐户,然后打开Firewall Manager 控制台https://console.amazonaws.cn/wafv2/fmsv2.

    注意

    有关设置 Firewall Manager 管理员账户的信息,请参阅Amazon Firewall Manager先决条件

  2. 在导航窗格中,选择安全策略.

  3. 选择Amazon WAF要禁用其日志记录的策略。

  4. 政策详情选项卡,在政策规则部分,选择编辑.

  5. 对于日志路由器配置,选择Disabled.

  6. 选择 Next(下一步)。

  7. 检视您的设置,然后选择Save(保存)以保存您对策略的更改。