**引入全新的主机体验 AWS WAF**

现在，您可以使用更新的体验访问控制台中任意位置的 AWS WAF 功能。有关更多详细信息，请参阅[使用控制台](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html)。

本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 如何 AWS WAF 运作
<a name="how-aws-waf-works"></a>

您可以使用 AWS WAF 控制受保护的资源如何响应 HTTP (S) Web 请求。为此，您可以定义 web 访问控制列表（web ACL），然后将其与要保护的一个或多个 web 应用程序资源相关联。关联的资源会将传入的请求转发给，以便 Web ACL AWS WAF 进行检查。

**新控制台**简化了 web ACL 的配置过程。该控制台引入了保护包，以简化设置，同时保持对安全规则的完全控制。

保护包是 Web 的新位置，可简 ACLs 化控制台中的 Web ACL 管理，但它们不会更改底层 Web ACL 功能。使用标准控制台或 API 时，您仍然可以直接使用 Web ACLs。

在保护包（web ACL）中，您可以创建规则以定义要在请求中查找的流量模式，并指定要对匹配的请求执行哪些操作。操作选择包括以下内容：
+ 允许请求转到受保护的资源以进行处理和响应。
+ 阻止请求。
+ 计算请求数量。
+ 运行验证码或对请求进行质询检查，以验证人类用户和标准浏览器的使用情况。

**AWS WAF 组件**  
以下是以下内容的核心组成部分 AWS WAF：
+ **web ACLs** — 使用 Web 访问控制列表 (Web ACL) 来保护一组 AWS 资源。您可以创建 web ACL 并通过添加规则来定义其保护策略。规则可定义检查 web 请求的条件，并指定对符合条件的请求采取的行动。您还可以为 web ACL 设置默认操作，指示是阻止还是允许通过规则尚未阻止或允许的任何请求。有关 Web 的更多信息 ACLs，请参阅[在中配置保护 AWS WAF](web-acl.md)。

  Web ACL 是一种 AWS WAF 资源。
+ **保护包 (Web ACL)**-在新控制台中，保护包是您的 Web 的新位置 ACLs。在设置过程中，您需要提供有关您的应用程序和资源的信息。 AWS WAF 推荐根据您的场景量身定制的保护包，然后创建一个 Web ACL，其中包含由您选择的保护包 (Web ACL) 定义的规则、规则组和操作。有关保护包 (Web ACLs) 的更多信息，请参阅[在中配置保护 AWS WAF](web-acl.md)。

  保护包 (Web ACL) 是一种 AWS WAF 资源。
+ **规则**：每条规则都包含定义检查条件的语句，还包含在 web 请求满足条件时要执行的操作。当 web 请求满足条件时，这是一个匹配。您可以配置规则来阻止匹配请求、允许请求通过、对请求进行计数，或者对使用验证码拼图或静默客户端浏览器质询的请求运行机器人控制功能。有关规则的更多信息，请参阅 [AWS WAF 规则](waf-rules.md)。

  规则不是 AWS WAF 资源。规则仅存在于保护包（web ACL）或规则组的上下文中。
+ **规则组**-您可以直接在保护包（Web ACL）中或在可重复使用的规则组中定义规则。 AWS 托管规则和 AWS Marketplace 卖家提供托管规则组供您使用。您还可以定义自己的规则组。有关规则组的更多信息，请参阅 [AWS WAF 规则组](waf-rule-groups.md)。

  规则组是一种 AWS WAF 资源。
+ **Web ACL 容量单位 (WCUs)** — AWS WAF 用于 WCUs 计算和控制运行规则、规则组、保护包 (Web ACLs) 或 Web 所需的操作资源 ACLs。

  WCU 不是 AWS WAF 资源。WCU 仅存在于保护包（web ACL）、规则或规则组的上下文中。

# 你可以用来保护的资源 AWS WAF
<a name="how-aws-waf-works-resources"></a>

您可以使用 AWS WAF 保护包 (Web ACL) 来保护全球或区域资源类型。为此，您可以将保护包（web ACL）与要保护的资源关联起来。保护包（Web ACL）及其使用的任何 AWS WAF 资源都必须位于关联资源所在的区域。对于 Amazon CloudFront 分配，设置为美国东部（弗吉尼亚北部）。

**亚马逊配 CloudFront 送**  
您可以使用 AWS WAF 控制台或将 AWS WAF 保护包 (Web ACL) 与 CloudFront 发行版相关联 APIs。在创建或更新 CloudFront 分发本身时，也可以将保护包 (Web ACL) 与发行版相关联。要在中配置关联 AWS CloudFormation，必须使用 CloudFront 分发配置。有关亚马逊的信息 CloudFront，请参阅《*亚马逊 CloudFront 开发者指南》*中的 “[使用 AWS WAF 来控制对您的内容的访问权限](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/distribution-web-awswaf.html)”。

AWS WAF 可在全球范围内 CloudFront 分发，但您必须使用美国东部区域（弗吉尼亚北部）来创建您的保护包（Web ACL）以及保护包中使用的任何资源（Web ACL），例如规则组、IP 集和正则表达式模式集。有些接口提供 “Global (CloudFront)” 的区域选择。选择此选项等同于选择美国东部（弗吉尼亚州北部）地区或“us-east-1”。

**区域性资源**  
您可以保护所有可用的区域中的区域资源。 AWS WAF 您可以参阅 *Amazon Web Services 一般参考* 中的 [AWS WAF 端点和限额](https://docs.aws.amazon.com/general/latest/gr/waf.html)。

您可以使用 AWS WAF 来保护以下区域资源类型：
+ Amazon API Gateway REST API
+ 应用程序负载均衡器
+ AWS AppSync GraphQL API
+ Amazon Cognito 用户池
+ AWS App Runner 服务
+ AWS 已验证访问实例
+ AWS Amplify

您只能将保护包（web ACL）关联到 AWS 区域中的应用程序负载均衡器。例如，您无法将保护包（web ACL）关联到 AWS Outposts上的应用程序负载均衡器。

您必须创建任何要与全球 CloudFront 区域的 Amplify 应用程序关联的保护包（Web ACL）。您的区域保护包（Web ACL）中可能已经有了 AWS 账户，但它们与 Amplify 不兼容。

保护包（Web ACL）及其使用的任何其他 AWS WAF 资源必须与受保护资源位于同一区域。在监控和管理受保护区域资源的 Web 请求时，请 AWS WAF 将所有数据与受保护资源保存在同一个区域。

**对多重资源关联的限制**  
您可以将单个保护包 (Web ACL) 与一个或多个 AWS 资源关联，但有以下限制：
+ 您只能将每个 AWS 资源与一个保护包（Web ACL）相关联。保护包 (Web ACL) 和 AWS 资源之间的关系是 one-to-many。
+ 您可以将保护包 (Web ACL) 与一个或多个 CloudFront 发行版相关联。您不能将已与 CloudFront 分配关联的保护包 (Web ACL) 与任何其他 AWS 资源类型相关联。

# 使用更新的控制台体验
<a name="working-with-console"></a>

 AWS WAF 提供了两个使用控制台的选项：

 **新控制台**旨在简化标准控制台工作流程所需的 web ACL 配置过程。您可以使用指导式工作流程，通过保护包（web ACL）简化 web ACL 的创建和管理过程。保护包 (Web ACL) 可以更轻松地在控制台 ACLs 中使用和管理 Web，但在功能上与 Web ACL 并无区别。除了改进的保护配置流程外，新的控制台还通过安全仪表板增强了对保护措施的可见性，从而可以更轻松地在 AWS WAF 控制台中监控您的安全状况。

 **标准 AWS WAF 控制台**提供了一种使用 Web 配置 Web 应用程序防火墙保护的传统方法 ACLs。它提供对单个规则和规则组的精细控制，现有 AWS WAF 用户很熟悉。使用此控制台，您可以详细控制保护配置，以便精确地自定义安全设置。

**提示**  
 选择最适合您需求的控制台体验。如果您不熟悉 AWS WAF 或想开始根据 AWS 建议配置保护，我们建议您从全新的主机体验开始。但是，您始终可以通过控制台的导航窗格打开标准体验。

## 新控制台体验和标准控制台体验之间的功能相同
<a name="feature-parity"></a>

新控制台体验在引入新功能的同时，保留了与现有控制台完全相同的功能：
+ 所有现有 AWS WAF 功能仍然可用
+ 通过统一的控制面板增强可见性
+ 简化配置工作流程
+ 新的保护包（web ACL）模板

**重要**  
新的主机体验使用与现有主机 WAFv2 APIs 相同的体验。这意味着在新控制台中创建的保护包将在 API 级别作为标准 WAFv2 Web ACLs 实现。

## 主要区别
<a name="key-differences"></a>


**控制台体验比较**  

| 功能 | 之前 AWS WAF 的主机体验 | 更新的控制台体验 | 
| --- | --- | --- | 
| 配置过程 | 多页工作流程 | 单页界面 | 
| 规则配置 | 创建单个规则 | 预配置保护包的选项 | 
| 监控 | 单独的控制面板 | 统一可见性，包括 AI 流量分析 | 

## 了解新的控制面板
<a name="understanding-new-dashboard"></a>

新推出的控制面板可通过以下可视化方式统一了解您的安全态势：

**流量洞察建议** — AWS 威胁情报会监控您前 2 周的允许流量，分析漏洞，并提供以下信息：  
+ 基于流量的规则建议
+ 特定于应用程序的安全建议
+ 保护优化指导

**摘要**：显示指定时间段内所有流量的请求计数。您可以使用以下标准筛选流量数据：  
+ **规则**：按保护包中的单个规则进行筛选。
+ **操作**：显示对流量采取的特定操作（例如“允许”、“阻止”、“验证码”和“质询”）计数。
+ **流量类型**-仅显示特定流量类型（例如反 DDo S或机器人）的计数。
+ **时间范围**：从预定义的时间范围中进行选择，也可以设置自定义范围。
+ **当地时间或 UTC 时间**：您可以设置首选的时间格式。

**AI 流量分析** — 提供对 AI 机器人和代理活动的全面可见性：  
+ **机器人识别**-机器人名称、组织和验证状态。
+ **意图分析** — AI 代理的目的和行为模式。
+ **访问模式**-最常访问 URLs 和端点。
+ **时间趋势**-按时间和历史趋势（0-14 天）划分的活动模式。
+ **流量特征** — AI 流量的流量、分布和异常检测。

**保护活动**：可视化显示您的保护规则及其顺序如何影响终止操作。  
+ **通过规则的流量**：显示通过规则的流量。从**顺序规则视图**切换到**非顺序规则视图**，查看规则顺序如何影响结果。
+ **规则操作及其结果**：显示规则在指定时间段内对流量采取的终止操作。

**操作总计**：一张图表，可视化显示指定时间范围内对请求采取的总操作次数。使用**叠加过去 3 小时**选项，将当前时间段与之前 3 小时的时间窗口进行比较。可按如下条件筛选数据：  
+ **允许操作**
+ **操作总数**
+ **验证码操作**
+ **质询操作**
+ **阻断操作**

**所有规则**：一张图表，可视化显示保护包中所有规则的指标。  
+  使用**叠加过去 3 小时**选项，将当前时间段与之前 3 小时的时间窗口进行比较。

**概述控制面板**：提供安全状态的全面、图形化视图，包括以下内容：  
+ **流量特征**：按来源、攻击类型或发送请求的客户端设备类型查看流量概览。
+ **规则特征**：按十大最常见规则及终止操作对攻击进行的分类。
+ **机器人**：可视化显示机器人活动、检测、类别及机器人相关信号标签。
+ **Ant DDo i-S** — 检测到并缓解的第 7 层 DDo S 活动概述。