**推出 的新主控台體驗 AWS WAF**

您現在可以使用更新後的體驗，在主控台的任何位置存取 AWS WAF 功能。如需詳細資訊，請參閱[使用 主控台](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html)。

本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 步驟 4：建立並套用 AWS Firewall Manager AWS WAF Classic 政策
<a name="classic-get-started-fms-create-security-policy"></a>

**警告**  
AWS WAF Classic 正在經歷規劃end-of-life程序。如需區域特定的里程碑和日期，請參閱您的 AWS Health 儀表板。

**注意**  
這是 **AWS WAF Classic** 文件。只有在您在 2019 年 11 月 AWS WAF 之前建立 AWS WAF 規則和 Web ACLs 等資源，且尚未將它們遷移到最新版本時，才應該使用此版本。若要遷移您的 Web ACLs，請參閱 [將您的 AWS WAF Classic 資源遷移至 AWS WAF](waf-migrating-from-classic.md)。  
**如需最新版本的 AWS WAF** ，請參閱 [AWS WAF](waf-chapter.md)。

建立規則群組之後，您可以建立 AWS Firewall Manager AWS WAF 政策。Firewall Manager AWS WAF 政策包含您要套用至資源的規則群組。<a name="classic-get-started-fms-create-security-policy-procedure"></a>

**建立 Firewall Manager AWS WAF 政策 （主控台）**

1. 在您建立規則群組後 (上一個程序的最後一個步驟，[步驟 3：建立規則群組](classic-get-started-fms-create-rule-group.md)) 主控台會顯示 **Rule group summary (規則群組摘要)** 頁面。選擇**下一步**。

1. 在 **Name (名稱)** 中，輸入易記的名稱。

1. 針對**政策類型**，選擇 **WAF**。

1. 針對**區域**，選擇 AWS 區域。若要保護 Amazon CloudFront 資源，請選擇**全域**。

   若要保護多個區域中的資源 (CloudFront 資源除外），您必須為每個區域建立個別的 Firewall Manager 政策。

1. 選取要新增得規則群組，然後選擇**新增規則群組**。

1. 政策有兩種動作：**規則群組這定的動作**和**計數**。如果您想要測試政策和規則群組，設定動作為**計數**。這個動作覆寫任何由政策裡規則群組所指定的*封鎖*動作。也就是說，如果政策的動作是設定為**計數**，只會計算請求，而不會封鎖請求。反之，如果您設定政策的動作為**規則群組這定的動作**，則會使用該政策裡規則群組的動作。在此教學課程，請選擇**計數**。

1. 選擇**下一步**。

1. 如果您想要在政策中只包含特定帳戶、或在政策中排除特定帳戶，請選取 **Select accounts to include/exclude from this policy (optional) (選擇此政策要包含/排除的帳戶選用)**。選擇**在此政策中只包含這些帳戶**或**在此政策中排除這些帳戶**。您只可以選擇一個選項。選擇**新增**。選取要包含或排除的帳戶號碼，然後選擇 **OK**。
**注意**  
如果您未選取此選項，則 Firewall Manager 會將政策套用至組織中的所有帳戶 AWS Organizations。如果您將新帳戶新增至組織，防火牆管理員會自動將政策套用到該帳戶。

1. 選擇您要保護的資源類型。

1. 如果您只想保護具有特定標籤的資源，或排除具有特定標籤的資源，請選擇 **Use tags to include/exclude resources (使用標籤包含/排除資源)**，輸入標籤的類型，然後選擇**包含**或**排除**。您只可以選擇一個選項。

   如果您輸入多個標籤 (以逗號分隔)，且如果資源擁有其中任一的標籤，都會被視為符合條件。

   如需標籤的詳細資訊，請參閱[使用標籤編輯器](https://docs.aws.amazon.com/awsconsolehelpdocs/latest/gsg/tag-editor.html)。

1. 選擇**建立和套用此政策到現有的和新的資源**。

   此選項會在 組織中的每個適用帳戶中建立 Web ACL AWS Organizations，並將 Web ACL 與帳戶中指定的資源建立關聯。此選項還會將政策套用到與前述條件 (資源類型和標籤) 符合的所有新的資源。或者，如果您選擇**建立，但不將此政策套用至現有或新的資源**，則 Firewall Manager 會在組織內每個適用的帳戶中建立 Web ACL，但不會將 Web ACL 套用至任何資源。之後，您必須將政策套用到資源。

1. 在預設設定中保留 [**取代現有關聯的 Web ACL**] 的選擇。

   選取此選項時，防火牆管理員會從範圍內資源移除所有現有的 Web ACL 關聯，再將新政策的 Web ACLs 與其建立關聯。

1. 選擇**下一步**。

1. 檢視新政策。若要修改，選擇**編輯**。當您滿意時，選擇 **建立政策**。