本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
在中使用规则操作 AWS WAF
本节介绍规则操作的工作原理。
规则动作告诉我们 AWS WAF 当 Web 请求与规则中定义的条件相匹配时,该如何处理。您可以选择为每个规则操作添加自定义行为。
注意
规则操作可以是终止,也可以是非终止。终止操作会停止对请求的 Web ACL 评估,要么允许请求继续访问受保护的应用程序,要么将其阻止。
以下是规则操作选项:
-
Allow – AWS WAF 允许将请求转发给受保护的 AWS 用于处理和响应的资源。这是终止操作。在您定义的规则中,您可以在请求中插入自定义标头,然后再将其转发到受保护的资源。
-
Block – AWS WAF 阻止请求。这是终止操作。默认情况下,您的受保护 AWS 资源使用HTTP
403 (Forbidden)状态码进行响应。在您定义的规则中,您可以自定义响应。时间 AWS WAF 阻止请求,Block 操作设置决定受保护资源向客户端发送回的响应。 -
Count – AWS WAF 对请求进行计数,但不确定是允许还是阻止请求。这是一项非终止操作。 AWS WAF 继续处理 Web 中的其余规则ACL。在您定义的规则中,您可以将自定义标头插入请求中,也可以添加其他规则可以匹配的标签。
-
CAPTCHA 以及 Challenge – AWS WAF 使用CAPTCHA谜题和无声挑战来验证请求不是来自机器人,并且 AWS WAF 使用令牌来跟踪最近成功的客户响应。
CAPTCHA拼图和静默挑战只能在浏览器访问HTTPS端点时运行。浏览器客户端必须在安全的环境中运行才能获取令牌。
注意
当您使用时,您需要支付额外费用 CAPTCHA 或者 Challenge 在您的一个规则中执行规则操作或在规则组中作为规则操作覆盖。有关更多信息,请参阅 AWS WAF 定价
。 这些规则操作可以是终止操作,也可以是非终止操作,具体取决于请求中令牌的状态:
-
未过期的有效令牌不终止 — 如果根据配置CAPTCHA或质询免疫时间,令牌有效且未过期, AWS WAF 处理请求的方式类似于 Count 行动。 AWS WAF 继续根据网络中的其余规则检查 Web 请求ACL。类似于 Count 配置,在您定义的规则中,您可以选择使用要插入请求的自定义标头来配置这些操作,也可以添加其他规则可以匹配的标签。
-
因对无效或过期令牌的请求被阻止而终止 — 如果令牌无效或指定的时间戳已过期, AWS WAF 终止对 Web 请求的检查并阻止该请求,类似于 Block 行动。 AWS WAF 然后使用自定义响应代码响应客户端。对于 CAPTCHA,如果请求内容表明客户端浏览器可以处理它, AWS WAF 在插页 JavaScript 式广告中发送CAPTCHA拼图,该插页式广告旨在区分人类客户和机器人。对于 Challenge 行动, AWS WAF 发送带有静默挑战的 JavaScript 插页式广告,旨在将普通浏览器与机器人运行的会话区分开来。
有关更多信息,请参阅 使用 CAPTCHA 以及 Challenge in AWS WAF。
-
有关自定义请求和响应的信息,请参阅 在中添加自定义 Web 请求和响应 AWS WAF。
有关为匹配请求添加标签的信息,请参阅 在 Web 请求中使用标签 AWS WAF。
有关 Web ACL 和规则设置如何交互的信息,请参阅使用ACLs带有规则和规则组的 Web AWS WAF。
