**引入全新的主机体验 AWS WAF**
现在,您可以使用更新的体验访问控制台中任意位置的 AWS WAF 功能。有关更多详细信息,请参阅[使用控制台](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html)。
本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 将您的 AWS WAF 经典资源迁移到 AWS WAF
**警告**
AWS WAF Classic 正在按计划 end-of-life进行。有关您所在地区的里程碑和日期,请参阅您的 AWS Health 控制面板。
**注意**
这是 **AWS WAF** 文档。只有在 2019 年 11 月 AWS WAF 之前创建了诸如规则和 Web ACLs 之类的 AWS WAF 资源,并且尚未将其迁移到最新版本时,才应使用此版本。要迁移您的网站 ACLs,请参阅[将您的 AWS WAF 经典资源迁移到 AWS WAF](#waf-migrating-from-classic)。
**有关的最新版本 AWS WAF,**请参阅[AWS WAF](waf-chapter.md)。
本节提供将规则和保护包 (Web ACLs) 从 Classic 迁移到 AWS WAF Classic 的指导 AWS WAF。 AWS WAF 已于 2019 年 11 月发布。如果您使用 C AWS WAF lassic 创建了诸如规则和保护包 (Web ACLs) 之类的资源,则需要使用 C AWS WAF lassic 来处理这些资源,或者将其迁移到最新版本。
**警告**
AWS WAF 经典支持将于 2025 年 9 月 30 日结束。
在开始迁移工作之前,请 AWS WAF 通过通读来熟悉一下。[AWS WAF](waf-chapter.md)
**Topics**
+ [为什么要迁移到 AWS WAF?](waf-migrating-why-migrate.md)
+ [迁移注意事项和限制](waf-migrating-caveats.md)
+ [迁移的工作原理](waf-migrating-how-it-works.md)
+ [将保护包 (Web ACL) 从 Cl AWS WAF assic 迁移到 AWS WAF](waf-migrating-procedure.md)
# 为什么要迁移到 AWS WAF?
与之前的版本相比,最新版本 AWS WAF 提供了许多改进,同时保留了您习惯的大部分概念和术语。
以下列表介绍 AWS WAF最新版本中的主要更改。在继续迁移之前,请花点时间查看此列表并熟悉指南的 AWS WAF 其余部分。
+ **对 AWS WAF 经典版的支持将于 2025 年 9 月 30 日结束。**
+ **AWS 的托管规则 AWS WAF**-现在可通过 AWS 托管规则提供的规则组提供针对常见 Web 威胁的防护。这些规则组中的大多数都是免费包含的 AWS WAF。有关更多信息[AWS 托管规则规则组列表](aws-managed-rule-groups-list.md),请参阅博客文章[宣布的 AWS 托管规则 AWS WAF](https://aws.amazon.com/blogs/aws/announcing-aws-managed-rules-for-aws-waf/)。
+ **新 AWS WAF API** — 新 API 允许您使用一组配置所有 AWS WAF 资源 APIs。为了区分区域和全球应用程序,新 API 包括一个 `scope` 设置。有关 API 的更多信息,请参阅[AWS WAFV2 操作](https://docs.aws.amazon.com/waf/latest/APIReference/API_Operations_AWS_WAFV2.html)和[AWS WAFV2 数据类型](https://docs.aws.amazon.com/waf/latest/APIReference/API_Types_AWS_WAFV2.html)。
在 APIs、 SDKs CLIs AWS CloudFormation、和 AWS WAF Classic 中,Classic 保留了其命名方案`v2`,并根据上下文添加了`V2`或。 AWS WAF
+ **简化的服务配额(限制)**— AWS WAF 现在允许每个保护包(Web ACL)有更多规则,并允许您表达更长的正则表达式模式。有关更多信息,请参阅 [AWS WAF 配额](limits.md)。
+ **计算需求决定容量限制** — 保护包 (Web ACLs) 的限制现在基于保护包 (Web ACL) 容量单位 (WCUs)。 AWS WAF WCUs 根据规则所需的运行容量计算规则。保护包 (Web ACL) 的总 WCUs 和等于其所有规则和规则组的 WCUs 总和。
有关 WCU 的一般信息,请参阅 [如何 AWS WAF 运作](how-aws-waf-works.md)。有关每个规则的 WCU 使用情况的信息,请参阅 [在中使用规则语句 AWS WAF](waf-rule-statements.md)。
+ **基于文档的规则编**写-您现在可以以 JSON 格式编写和表达规则、规则组和保护包 (Web ACLs)。您不再需要使用单独的 API 调用来创建不同的条件,然后将条件与规则相关联。这极大地简化了编写和维护代码的方式。在查看保护包 (Web ACL ACLs) 时,您可以通过控制台访问保护包 (Web ACL) 的 JSON 格式,方法是选择**下载保护包 (Web ACL) 作为 JSON**。创建自己的规则时,可以通过选择**规则 JSON 编辑器**来访问其 JSON 表示形式。
+ **规则嵌套和完全逻辑操作支持**:您可以使用逻辑规则语句和使用嵌套来编写复杂的组合规则。您可以创建语句,如 `[A AND NOT(B OR C)]`。有关更多信息,请参阅 [在中使用逻辑规则语句 AWS WAF](waf-rule-statements-logical.md)。
+ **改进的基于速率的规则**-在的最新版本中 AWS WAF,您可以自定义规则评估的时间窗口以及规则聚合请求的方式。可以使用多个 web 请求特征的组合来自定义聚合。此外,最新的基于速率的规则可以更快地应对流量变更。有关更多信息,请参阅 [在中使用基于费率的规则语句 AWS WAF](waf-rule-statement-type-rate-based.md)。
+ **对于 IP 集的可变 CIDR 范围支持**:IP 设置规范现在对于 IP 范围具有更大的灵活性。对于 IPv4`/1`, AWS WAF 支持`/32`。对于 IPv6`/1`, AWS WAF 支持`/128`。有关 IP 集的更多信息,请参阅 [IP 集匹配规则语句](waf-rule-statement-type-ipset-match.md)。
+ **可链接的文本转换** — AWS WAF 可以在检查网络请求内容之前对其进行多次文本转换。有关更多信息,请参阅 [在中使用文本转换 AWS WAF](waf-rule-statement-transformation.md)。
+ **改善了控制台体验** — 新的 AWS WAF 控制台具有可视化规则生成器和更直观的控制台设计。
+ Fi@@ **rewall Manager AWS WAF 策略的扩展选项**-在 Firewall Manager 的 AWS WAF 保护包管理 (Web ACLs) 中,您现在可以创建一组先 AWS WAF 处理的规则组和一组最后 AWS WAF 处理的规则组。应用 AWS WAF 策略后,本地账户所有者可以添加自己的规则组,这些规则组在这两个规则组之间进行 AWS WAF 处理。有关 Firewall Manager AWS WAF 策略的更多信息,请参阅 [在 Firewall Manager 中使用 AWS WAF 策略](waf-policies.md)。
+ **AWS CloudFormation 支持所有规则语句类型** — AWS WAF AWS CloudFormation 支持 AWS WAF 控制台和 API 支持的所有规则语句类型。此外,您可以轻松地将您以 JSON 格式编写的规则转换为 YAML 格式。
# 迁移注意事项和限制
迁移仅处理保护包 (Web ACL) 配置,而保护包 (Web ACL) 迁移不会像 AWS WAF 经典版中那样引入所有设置。在 AWS WAF (v2) 中,某些配置项目需要手动配置。有些事情在两个版本之间并不完全一致,你需要决定如何配置 AWS WAF (v2) 中的功能。某些设置(如保护包(web ACL)与 AWS 资源的关联)最初会在新版本中禁用,以便您可以在准备就绪后添加它们。
以下列表介绍迁移的注意事项,并说明您可能要采取的任何应对步骤。使用此概览来规划迁移。稍后的详细迁移步骤将指导您完成建议的迁移步骤。
+ **单账户迁移**-您只能将任何账户的 AWS WAF 经典资源迁移到同一账户的 AWS WAF 资源。
+ **仅限保护包 (Web ACL) 配置**-迁移仅迁移保护包 (Web ACLs) 和保护包 (Web ACLs) 正在使用的资源。要迁移未被任何迁移的 Web ACL 使用的资源(例如规则组或 IP 集),请在 AWS WAF (v2) 中手动创建该资源。
+ **没有 AWS Marketplace 托管规则**-迁移不会从 AWS Marketplace 卖家那里移交任何托管规则。有些 AWS Marketplace 卖家有同等的托管规则 AWS WAF ,您可以再次订阅。在执行此操作之前,请查看最新版本附带的 AWS 托管规则 AWS WAF。其中大多数对 AWS WAF 用户都是免费的。有关托管规则的信息,请参阅[在中使用托管规则组 AWS WAF](waf-managed-rule-groups.md)。
+ **无保护包(web ACL)关联**:迁移不会带入保护包(web ACL)和受保护资源之间的任何关联。这是设计使然,目的是避免影响生产工作负载。验证所有内容都已正确迁移后,请将新的保护包(web ACL)与您的资源关联。
+ **日志记录已禁用**:默认情况下,已迁移保护包(web ACL)的日志记录处于禁用状态。这是设计使然。准备好从 Classic 切换到 C AWS WAF lassic 时启用日志记录 AWS WAF。
+ **没有 AWS Firewall Manager 规则组**-迁移不处理由 Firewall Manager 管理的规则组。您可以迁移由 Firewall Manager 管理的保护包(web ACL),但迁移不会带入规则组。与其使用这些保护包的迁移工具 (Web ACLs),不如在 Firewall Manager AWS WAF 中为新保护包重新创建策略。
**注意**
Firewall Manager 为 AWS WAF 经典版管理的规则组是 Firewall Manager 规则组。在新版本中 AWS WAF,规则组就是 AWS WAF 规则组。在功能上,它们是一样的。
+ **AWS WAF 安全自动化警告** — 不要尝试迁移任何 AWS WAF 安全自动化。迁移不会转换自动化过程可能正在使用的 Lambda 函数。可考虑改为部署自动采用最新版本。有关信息,请参阅 [AWS WAF 安全自动化](https://aws.amazon.com/solutions/aws-waf-security-automations/)。
# 迁移的工作原理
您可以使用多种方法将网页 ACLs 从 AWS WAF v2 迁移 AWS WAF Classic 到 v2。按照以下步骤完成迁移。
**从迁移 AWS WAF Classic 到 AWS WAF v2**
1. 识别您的 AWS WAF Classic 网站 ACLs:
+ 在 AWS Health 控制面板 ACLs 中查看您的网站列表。
+ 使用 [AWS WAF Classic Web ACL 清理脚本]( https://github.com/aws-samples/sample-for-waf-classic-to-wafv2-migrate-and-cleanup/tree/main/scripts/waf-classic-cleanup )获取您的所有 Web ACLs 及其关联的列表。这可以帮助您识别哪些网站 ACLs 正在积极保护资源,并允许您删除未使用的网站 ACLs。
1. 迁移个人网站 ACLs:
+ 按照 [AWS WAF 开发人员指南](https://docs.aws.amazon.com/waf/latest/developerguide/waf-migrating-procedure.html)中的迁移过程进行操作。
+ 使用迁移向导解析您的 AWS WAF Classic Web ACL 并生成 AWS CloudFormation 模板。
+ 使用生成的模板创建等效的 AWS WAF v2 Web ACL 并完成迁移。
1. 对于多个符合条件的网站 ACLs:
+ 使用[AWS WAF 批量迁移脚本](https://github.com/aws-samples/sample-for-waf-classic-to-wafv2-migrate-and-cleanup/tree/main/scripts/waf-classic-migration ) ACLs 同时迁移多个符合条件的 AWS WAF Classic 网站。
1. 对于由 AWS Firewall Manager以下机构 ACLs 管理的网站:
+ Firewall Manager 策略使用 ACLs 带有 AWS WAF Classic 策略 AWS WAF Classic 的 Web。对于 2022 年 1 月之前创建的 Shield 高级策略,Firewall Manager 也使用 AWS WAF Classic 网络 ACLs。您必须迁移这些策略才能使用 AWS WAF v2 Web ACLs。
按照 [在 Fire AWS WAF Classic wall Manager ACLs 中迁移网站](migrate-waf-classic-fms.md) 中的说明进行操作。
**重要**
我们建议您在将其与您的资源关联之前,先检查每个迁移的网站, ACLto 确保其符合您的安全要求。
# 将保护包 (Web ACL) 从 Cl AWS WAF assic 迁移到 AWS WAF
自动迁移会继承您的大部分 AWS WAF 经典保护包 (Web ACL) 配置,剩下一些需要手动处理的事情。
**注意**
某些保护配置无法自动迁移,需要在 AWS WAF (v2) 中进行手动配置。列表见 [迁移注意事项和限制](waf-migrating-caveats.md)。
以下列出了迁移保护包(web ACL)的概要步骤。
1. 自动迁移会读取与现有保护包 (Web ACL) 相关的所有内容,无需在 Cl AWS WAF assic 中修改或删除任何内容。它创建 Web ACL 及其相关资源的表示形式,与兼容 AWS WAF。它为新的保护包(web ACL)生成一个 CloudFormation 模板,并将其存储在 Amazon S3 存储桶中。
1. 将模板部署到中 CloudFormation,以便在中重新创建保护包 (Web ACL) 和相关资源。 AWS WAF
1. 您可以查看保护包(web ACL)并手动完成迁移,同时确保新的保护包(web ACL)充分利用最新 AWS WAF的功能。
1. 您可以手动将受保护的资源切换到新的保护包(web ACL)。
**Topics**
+ [迁移保护包(web ACL):自动迁移](waf-migrating-procedure-automatic.md)
+ [迁移保护包(web ACL):手动后续操作](waf-migrating-procedure-manual-finish.md)
+ [迁移保护包(web ACL):其他注意事项](waf-migrating-procedure-additional.md)
+ [迁移保护包(web ACL):切换](waf-migrating-procedure-switchover.md)
# 迁移保护包(web ACL):自动迁移
**自动将保护包 (Web ACL) 配置从 Cl AWS WAF assic 迁移到 AWS WAF**
1. 登录 AWS 管理控制台 并在 [https://console.aws.amazon.com/wafv2/homev](https://console.aws.amazon.com/wafv2/homev2) 2 上打开主 AWS WAF 机。
1. 选择 “**切换到 AWS WAF 经典**”,然后查看保护包 (Web ACL) 的配置设置。记下这些设置,同时考虑到前一节[迁移注意事项和限制](waf-migrating-caveats.md)中介绍的注意事项和限制。
1. 在顶部的信息对话框中,找到以 M **igrate 保护包 (Web ACLs)** 开头的句子,然后选择**迁移向导**的链接。这将启动迁移向导。
如果您没有看到信息对话框,则可能是自启动 C AWS WAF lassic 主机以来已将其关闭。在导航栏中,选择 “**切换到新建**”, AWS WAF然后选择 “**切换到 AWS WAF 经典**”,信息对话框就会重新出现。
1. 选择要迁移的保护包(web ACL)。
1. 对于**迁移配置**,提供要用于模板的 Amazon S3 存储桶。您需要为迁移 API 正确配置的 Amazon S3 存储桶来存储迁移 API 生成的 AWS CloudFormation 模板。
+ 如果存储桶已加密,则必须使用 Amazon S3(SSE-S3)密钥。迁移不支持使用 AWS Key Management Service (SSE-KMS) 密钥进行加密。
+ 存储桶名称必须以 `aws-waf-migration-` 开头。例如 `aws-waf-migration-my-web-acl`。
+ 存储桶必须位于您要部署此模板的区域中。例如,对于 `us-west-2` 中的保护包(web ACL),您必须使用 `us-west-2` 中的 Amazon S3 存储桶,并且必须将模板堆栈部署到 `us-west-2`。
1. 对于 **S3 存储桶策略**,我们建议选择 **自动应用迁移所需的存储桶策略**。或者,如果您想自行管理存储桶,则必须手动应用以下存储桶策略:
+ 对于全球亚马逊 CloudFront 应用程序 (`waf`):
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "apiv2migration.waf.amazonaws.com"
},
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::/AWSWAF//*"
}
]
}
```
------
+ 对于区域性 Amazon API Gateway 或应用程序负载均衡器应用程序 (`waf-regional`):
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "apiv2migration.waf-regional.amazonaws.com"
},
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::/AWSWAF//*"
}
]
}
```
------
1. 在 **选择如何处理无法迁移的规则** 中,选择排除无法迁移的规则或选择停止迁移。有关无法迁移的规则的信息,请参阅[迁移注意事项和限制](waf-migrating-caveats.md)。
1. 选择**下一步**。
1. 对于**创建 CloudFormation 模板**,请验证您的设置,然后选择**开始创建 CloudFormation 模板**以开始迁移过程。这可能需要几分钟时间,具体取决于保护包(web ACL)的复杂性。
1. 在 “**创建并运行 CloudFormation 堆栈以完成迁移**” 中,您可以选择进入 AWS CloudFormation 控制台根据模板创建堆栈,创建新的保护包 (Web ACL) 及其资源。为此,请选择**创建 CloudFormation 堆栈**。
自动迁移过程完成后,您可以继续执行手动后续步骤。请参阅[迁移保护包(web ACL):手动后续操作](waf-migrating-procedure-manual-finish.md)。
# 迁移保护包(web ACL):手动后续操作
自动迁移完成后,请查看新创建的保护包(web ACL)并填入迁移过程未带入的组件。以下过程介绍迁移未处理的保护包(web ACL)管理的各个方面。有关列表,请参阅[迁移注意事项和限制](waf-migrating-caveats.md)。
**完成基本迁移 - 手动步骤**
1. 登录 AWS 管理控制台 并在 [https://console.aws.amazon.com/wafv2/homev](https://console.aws.amazon.com/wafv2/homev2) 2 上打开主 AWS WAF 机。
1. 控制台应自动使用最新版本的 AWS WAF。要验证这一点,请在导航窗格中查看是否可以看到 “**切换到 AWS WAF 经典版**” 选项。如果您看到 “**切换到新**版本” AWS WAF,请选择该选项以切换到最新版本。
1. 在导航窗格中,选择**保护包 (Web ACLs)**。
1. 在**保护包 (Web ACLs)** 页面中,在创建新保护包 (Web ACL) 的区域列表中找到您的新保护包 (Web ACL)。选择保护包(web ACL)的名称以显示保护包(web ACL)的设置。
1. 对照之前的 AWS WAF 经典 Web ACL,查看新保护包 (Web ACL) 的所有设置。默认情况下,日志记录和受保护的资源关联处于禁用状态。您可以在准备好进行切换时启用这些功能。
1. 如果您的 AWS WAF 经典保护包 (Web ACL) 具有托管规则组,则迁移中不会移除包含的规则组。您可以将托管规则组添加到新的保护包(web ACL)中。查看有关托管规则组的信息,包括新版本中可用的 AWS 托管规则列表 AWS WAF,网址为[在中使用托管规则组 AWS WAF](waf-managed-rule-groups.md)。要添加托管规则组,请执行以下操作:
1. 在保护包(web ACL)设置页面中,选择保护包(web ACL)**规则**选项卡。
1. 选择**添加规则**,然后选择**添加托管规则组**。
1. 展开您选择的供应商的列表,然后选择要添加的规则组。对于 AWS Marketplace 卖家,您可能需要订阅规则组。有关在保护包(web ACL)中使用托管规则组的更多信息,请参阅 [在中使用托管规则组 AWS WAF](waf-managed-rule-groups.md) 和 [使用包含规则和规则组的保护包 (Web ACLs) AWS WAF](web-acl-processing.md)。
完成基本迁移过程后,我们建议您查看您的需求并考虑其他选项,以确保新配置尽可能高效并使用最新的可用安全选项。请参阅[迁移保护包(web ACL):其他注意事项](waf-migrating-procedure-additional.md)。
# 迁移保护包(web ACL):其他注意事项
查看您的新保护包 (Web ACL),并考虑新 AWS WAF 版中可供您使用的选项,以确保配置尽可能高效,并且使用的是最新的可用安全选项。
**其他 AWS 托管规则**
考虑在保护包 (Web ACL) 中实施其他 AWS 托管规则,以提高应用程序的安全状况。这些都包含 AWS WAF 在内,不收取额外费用。 AWS 托管规则具有以下类型的规则组:
+ 基准规则组针对各种常见威胁提供了一般保护,例如阻止已知错误输入进入应用程序并防止访问管理页面。
+ 使用案例特定的规则组为许多不同的使用案例和环境提供增量保护。
+ IP 声誉列表基于客户端的源 IP 提供威胁情报。
有关更多信息,请参阅 [AWS 的托管规则 AWS WAF](aws-managed-rule-groups.md)。
**规则优化和清理**
重新访问旧规则,并考虑通过重写它们或删除过时的规则来优化它们。例如,如果您过去部署了技术论文《OWASP 十大 Web 应用程序漏洞》、《为 OWASP 十大 Web 应用程序漏洞[使用做好准备》 AWS WAF 和《我们的新白皮书》中的 AWS CloudFormation 模板,则应考虑将其替换为托](https://aws.amazon.com/blogs/aws/prepare-for-the-owasp-top-10-web-application-vulnerabilities-using-aws-waf-and-our-new-white-paper/)管规则。 AWS 虽然文档中的概念仍然适用,可以帮助您编写自己的规则,但模板创建的规则在很大程度上已被 AWS 托管规则所取代。
**Amazon CloudWatch 指标和警报**
重新访问您的 Amazon CloudWatch 指标并根据需要设置警报。迁移不会带入 CloudWatch 警报,并且您的指标名称可能并不符合您需要。
**与您的应用程序团队一起审核**
与您的应用程序团队合作并检查安全状况。找出应用程序经常解析哪些字段,并添加规则以相应地清理输入。如果应用程序的业务逻辑无法处理边缘案例,请检查是否存在任何边缘案例,并添加规则以捕获这些案例。
**规划切换**
与您的应用程序团队一起规划切换的时间。从旧的保护包(web ACL)关联切换到新的保护包(web ACL)关联可能需要很少的时间才能传播到存储资源的所有区域。传播时间可以从几秒钟到几分钟不等。在此期间,有些请求将由旧的保护包(web ACL)处理,而其他请求将由新的保护包(web ACL)处理。在整个交换过程中,您的资源都将受到保护,但是您可能会注意到在切换进行期间请求处理存在不一致之处。
准备好切换时,请按照[迁移保护包(web ACL):切换](waf-migrating-procedure-switchover.md)中的步骤操作。
# 迁移保护包(web ACL):切换
验证新的保护包(web ACL)设置后,可以开始使用它来代替 AWS WAF Classic 保护包(web ACL)。
**开始使用您的新 AWS WAF 保护包 (Web ACL)**
1. 按照中的指导将 AWS WAF 保护包 (Web ACL) 与要保护的资源相关联[将保护与资源关联或取消关联 AWS](web-acl-associating-aws-resource.md)。这会自动断开资源与旧保护包(web ACL)的关联。
切换可能需要几秒到几分钟的传播时间。在此期间,一些请求可能会由旧的保护包(web ACL)处理,而其他请求则由新的保护包(web ACL)处理。在整个交换过程中,您的资源都将受到保护,但是在请求处理完成之前,您可能会注意到请求处理存在不一致之处。
1. 按照 [记录 AWS WAF 保护包 (Web ACL) 流量](logging.md) 中的指导为新的保护包(web ACL)配置日志记录。
1. (可选)如果您的 AWS WAF 经典保护包 (Web ACL) 不再与任何资源关联,请考虑将其完全从 AWS WAF 经典版中删除。有关信息,请参阅[删除 Web ACL](classic-web-acl-deleting.md)。