如何建立Web ACL?
1.找到WAF,按Create web ACL
2.輸入名稱、Cloudwatch metric 名稱(這兩個名稱之後無法更改);Resource type選擇你像要附上的服務種類;選擇要建在哪個Region
3.你可以在這裡選擇關聯的服務(API Gateway、ALB、Appsync),如果沒有就按Next
4.建一個帶有字符串匹配語句的規則,並指示如何處理匹配的請求。選Add rule裡面的Add my own rules and rule groups
5.選Rule builder選Rule visual editor,如果你對JSON擋比較熟也可以選擇JSON editor。輸入Rule 名稱,選regular rule
6.If a request 的地方可以選擇符合下面條件或是其他邏輯(AND/OR/NOT),Inspect欄位選擇WAF要檢驗的項目這邊選Header,這邊選Header下面會跳出Header filed name,這邊以User-Agent為例。
Match type的地方有很多選項,EX:開頭包含、結尾包含、字串裡面包含等,這邊選完全符合。
String to match的地方設定WAF幫你找什麼字串,最長可以到200個字元,這邊以MyAgent為例。Text transformation設定預設None
7.Action的地方就是符合上面條件後你要WAF幫你做什麼,這邊選count,WAF會幫你計算符合條件的request數字,結束後按Add rule畫面會回到第四步
8.AWS Managed Rules 提供一組託管規則組供您使用,其中大部分對 AWS WAF 客戶免費,在Add rule裡面按Add managed rules groups
9.展開AWS managed rule groups,把你想要加入的規則按Add to web ACL,按Edit,點進去後在Rule的地方把Set all rule actions to count打開,之後按save rule。所有規則完成之後,又會回到第四步驟的畫面,接下來按Next
10.Set rule priority可以設定規則的排序WAF會幫你由上到下執行,完成就按Next
11.Amazon CloudWatch metrics會列出幫你建立的CloudWatch metrics,沒問題就按Next
12.最後會列出所有項目每你確認,如果沒問題就按Create web ACL,就完成Web ACL建置了
如何建立Rules Group?
當大家點擊側邊選單的Rules Group進去之後你會發現跟Web ACL流程幾乎一模一樣,那到底這兩者差在哪裡呢???
WAF建置就先到這邊,其實還有很多功能是可以給各位發掘的,基礎設備保護的部分因為篇幅的關係也就先告一個段落。下一篇我們將進到第四個面向,資料保護。