本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
管理 Web ACL 中的规则组行为
本节介绍修改在 Web ACL 中如何使用规则组的选项。此信息适用于所有规则组类型。将规则组添加到 Web ACL 后,可以将该规则组中各个规则的操作改写为Count任何其他有效的规则操作设置。您也可以将规则组的结果操作改写为Count,这对规则组内部评估规则的方式没有影响。
有关这些选项的信息,请参阅 规则组中的操作替代。
覆盖规则组中的规则操作
对于 Web ACL 中的每个规则组,您可以针对部分或全部规则覆盖所含规则的操作。
最常见的用例是重写规则操作Count来测试新的或更新的规则。如果您启用了指标,则您会收到每条规则的计数指标,并将其改写为计数。有关测试的更多信息,请参阅测试和调整您的Amazon WAF保护措施。
覆盖规则组中的规则操作
在将规则组添加到 Web ACL 或更高版本时,可以进行这些更改。这些说明适用于已添加到 Web ACL 的规则组。有关此选项的其他信息,请访问规则操作替代规则。
-
编辑Web ACL。
-
在 Web ACL 页面规则选项卡中,选择规则组,然后选择编辑。
-
在规则组的规则部分中,根据需要管理操作设置。
-
所有规则-要为规则组中的所有规则设置替代操作,请打开 “覆盖所有规则操作” 下拉列表并选择覆盖操作。要移除所有规则的覆盖,请选择 “移除所有覆盖”。
-
单一规则-要为单个规则设置覆盖操作,请打开该规则的下拉列表并选择覆盖操作。要删除规则的覆盖,请打开该规则的下拉列表并选择移除覆盖。
-
-
完成更改后,选择 Save Rule。规则操作和替代操作设置在规则组页面中列出。
以下示例 JSON 列表显示了 Web ACL 中的规则组声明,该声明将规则操作替换Count为CategoryVerifiedSearchEngine和规则CategoryVerifiedSocialMedia。在 JSON 中,您可以通过为每个单独的规则提供一个RuleActionOverrides条目来覆盖所有规则操作。
{ "Name": "AWS-AWSBotControl-Example", "Priority": 5, "Statement": { "ManagedRuleGroupStatement": { "VendorName": "AWS", "Name": "AWSManagedRulesBotControlRuleSet", "RuleActionOverrides": [ { "ActionToUse": { "Count": {} }, "Name": "CategoryVerifiedSearchEngine" }, { "ActionToUse": { "Count": {} }, "Name": "CategoryVerifiedSocialMedia" } ], "ExcludedRules": [] }, "VisibilityConfig": { "SampledRequestsEnabled": true, "CloudWatchMetricsEnabled": true, "MetricName": "AWS-AWSBotControl-Example" } }
将规则组的评估结果改写为Count
您可以改写规则组评估产生的操作,而无需更改规则组中规则的配置或评估方式。此选项不常用。如果规则组中的任何规则导致匹配,则此替代会将规则组的结果操作设置为Count。
添加或编辑规则组时,可以在 Web ACL 中覆盖该规则组的生成的操作。在控制台中,打开规则组的 “覆盖规则组操作-可选” 窗格并启用覆盖。在规则组语句OverrideAction中设置的 JSON 中,如以下示例列表中所示:
{ "Name": "AWS-AWSBotControl-Example", "Priority": 5, "Statement": { "ManagedRuleGroupStatement": { "VendorName": "AWS", "Name": "AWSManagedRulesBotControlRuleSet" } }, "OverrideAction": { "Count": {} }, "VisibilityConfig": { "SampledRequestsEnabled": true, "CloudWatchMetricsEnabled": true, "MetricName": "AWS-AWSBotControl-Example" } }