本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
测试网页 ACLs
警告
AWS WAF 经典支持将于 2025 年 9 月 30 日结束。
注意
这是 AWS WAF Classic 文档。只有在 2019 年 11 月 AWS WAF 之前创建了诸如规则和 Web ACLs 之类的 AWS WAF 资源,并且尚未将其迁移到最新版本时,才应使用此版本。要迁移您的网站ACLs,请参阅将您的 AWS WAF 经典资源迁移到 AWS WAF。
有关的最新版本 AWS WAF,请参阅AWS WAF。
为确保您不会意外将 Cl AWS WAF assic 配置为阻止要允许的 Web 请求或允许要阻止的请求,我们建议您在开始在网站或 Web 应用程序上使用之前,先对其进行ACL全面测试。
主题
计算符合网络规则的 Web 请求 ACL
向 Web 添加规则时ACL,您可以指定是否希望 AWS WAF Classic 允许、阻止或计算符合该规则中所有条件的 Web 请求。建议您首先进行以下配置:
配置 Web 中的所有规则ACL以计数 Web 请求
将 Web 的默认操作设置ACL为允许请求
在此配置中, AWS WAF Classic 会根据第一条规则中的条件检查每个 Web 请求。如果 Web 请求符合该规则中的所有条件,则 AWS WAF Classic 会增加该规则的计数器。然后, AWS WAF Classic 会根据下一条规则中的条件检查 Web 请求。如果请求符合该规则中的所有条件,则 AWS WAF Classic 会增加该规则的计数器。这种情况一直持续到 AWS WAF Classic 根据您的所有规则中的条件检查请求为止。
将网络中的所有规则配置为对请求进行计数并将网站ACLACL与 Amazon API Gateway API、 CloudFront 分配或 Application Load Balancer 关联后,即可在 Amazon CloudWatch 图表中查看生成的计数。对于网络中的每条规则ACL以及 Gateway CloudFront 或 Applic API ation Load Balancer 转发到 AWS WAF Classic for Web 的所有请求ACL, CloudWatch 允许您:
查看前一个小时或前三个小时的数据
更改数据点之间的间隔
更改对数据 CloudWatch 执行的计算,例如最大值、最小值、平均值或总和
注意
AWS WAF Classic with CloudFront 是一项全球服务,只有当您在中选择美国东部(弗吉尼亚北部)地区时,才可使用指标 AWS Management Console。如果您选择其他区域,则 CloudWatch 控制台中将不会显示任何 AWS WAF 经典指标。
在 Web 中查看规则数据 ACL
登录 AWS Management Console 并打开 CloudWatch 控制台,网址为https://console.aws.amazon.com/cloudwatch/
。 在导航窗格的 “指标” 下,选择WAF。
选中要查看其数据ACL的 Web 的复选框。
更改适用的设置:
- Statistic
选择对数据 CloudWatch 执行的计算。
- 时间范围
选择您要查看前一个小时还是前三个小时的数据。
- 周期
选择图表中的数据点之间的间隔。
- 规则
选择要查看其数据的规则。
请注意以下几点:
如果您刚刚将网站ACL与API网关API、 CloudFront 分布或 Application Load Balancer 相关联,则可能需要等待几分钟,数据才会显示在图表中,网站ACL的指标才会出现在可用指标列表中。
如果您将多个API网关API、 CloudFront 分布或 Application Load Balancer 与网站ACL相关联,则 CloudWatch 数据将包括与该网络关联的所有分配的所有请求ACL。
您可以将鼠标光标悬停在数据点上方,以获取更多信息。
-
该图表不会自动自行刷新。要更新显示,请选择刷新 (
) 图标。
(可选)查看有关 Gatewa API y CloudFront 或 Application Load Balancer 已转发到 AWS WAF Classic 的各个请求的详细信息。有关更多信息,请参阅 查看 Gatewa API y CloudFront 或 Application Load Balancer 已转发到 AWS WAF Classic 的 Web 请求示例。
如果您确定规则正在截获您不想截获的请求,请更改相应设置。有关更多信息,请参阅 创建和配置 Web 访问控制列表 (WebACL)。
如果您对所有规则只截获正确的请求感到满意,则将每个规则的操作改为 允许 或 阻止。有关更多信息,请参阅 编辑网页 ACL。
查看 Gatewa API y CloudFront 或 Application Load Balancer 已转发到 AWS WAF Classic 的 Web 请求示例
在 AWS WAF Classic 控制台中,您可以查看 Gatewa API y CloudFront 或 Application Load Balancer 已转发到 AWS WAF Classic 进行检查的请求示例。对于每个示例请求,您可以查看关于该请求的详细数据,例如来源 IP 地址和请求中包含的标头。您还可以查看请求匹配哪个规则,以及该规则配置为允许还是阻止请求。
请求采样包含多达 100 个与每个规则中的所有条件都匹配的请求,还有用于默认操作的 100 个请求,该默认操作适用于未与任何规则中的所有条件匹配的请求。示例中的请求来自在过去 15 分钟内收到内容请求的所有API网关APIs、 CloudFront 边缘站点或应用程序负载均衡器。
查看 Gateway CloudFront 或 Applic API ation Load Balancer 已转发到 C AWS WAF lassic 的 Web 请求的示例
登录 AWS Management Console 并打开 AWS WAF 控制台,网址为https://console.aws.amazon.com/wafv2/
。 如果您在导航窗格中看到 “切换到 AWS WAF 经典版”,请将其选中。
在导航窗格中,选择要查看其请求的网站ACL。
在右窗格中,选择 请求 选项卡。
Sampled requests 表显示每个请求的下列值:
- 源 IP
要么是发出请求的 IP 地址,要么是代理或 Application Load Balancer 的 IP 地址,如果查看者使用HTTP代理或 Application Load Balancer 发送请求,则是代理或 Application Load Balancer 的 IP 地址。
- URI
请求的URI路径,用于标识资源,例如
/images/daily-ad.jpg。这不包括的查询字符串或片段组件URI。有关信息,请参见统一资源标识符 (URI):通用语法。 - Matches rule
标识 Web 中第一个符合所有条件ACL的 Web 请求的规则。如果 Web 请求不符合网络中任何规则中的所有条件ACL,则 “匹配” 规则的值为 “默认”。
请注意,当 Web 请求符合规则中的所有条件并且该规则的操作为 C ount 时, AWS WAF Classic 会继续根据网络中的后续规则检查 Web ACL 请求。在此情况下,一个 Web 请求会在采样的请求列表中出现两次;一次是出于具有 计数 操作的规则,一次是出于后续规则或默认操作。
- 操作
指示相应规则的操作是 允许、区块 还是 计数。
- 时间
AWS WAF Classic 收到来自 API Gateway CloudFront 或您的 Application Load Balancer 的请求的时间。
要显示有关该请求的更多信息,请选择该请求的 IP 地址左侧的箭头。 AWS WAF 经典版显示以下信息:
- 源 IP
与表中 源 IP 列的值相同的 IP 地址。
- Country
请求来源国家/地区的双字母国家/地区代码。如果查看者使用HTTP代理或 Application Load Balancer 发送请求,则这是HTTP代理或应用程序负载均衡器所在国家/地区的双字母国家/地区代码。
有关由两个字母组成的国家/地区代码和相应的国家/地区名称的列表,请参阅维基百科条目 ISO316
6-1 alpha-2。 - 方法
HTTP请求的请求方法:
GET、HEAD、OPTIONS、PUT、POSTPATCH、或DELETE。- URI
与表中URI列中的值URI相同。
- Request headers(请求标头)
请求中的请求标头和标头值。
要刷新示例请求列表,请选择 Get new samples。
