菜单
AWS WAF、AWS Firewall Manager 和 AWS Shield Advanced
开发人员指南 (API 版本 2015-08-24)

创建和配置 Web 访问控制列表 (Web ACL)

Web 访问控制列表 (Web ACL) 使您可以精细地控制您的 Amazon CloudFront 分配或 应用程序负载均衡器 所响应的 Web 请求。您可以允许或阻止以下类型的请求:

  • 源自某个 IP 地址或 IP 地址范围

  • 源自一个特定国家/地区或多个国家/地区

  • 请求的特定部分中包含指定字符串或与正则表达式 (regex) 模式匹配

  • 超过指定长度

  • 似乎包含恶意 SQL 代码 (称为 SQL 注入)

  • 似乎包含恶意脚本 (称为跨站点脚本)

您还可以对这些规则的任意组合进行测试,或阻止、统计不仅满足指定条件,还在任何 5 分钟周期内超过指定请求数的 Web 请求。

要选择希望允许或阻止访问您的内容的请求,请执行以下任务:

  1. 为与您指定的任何条件都不匹配的 Web 请求选择默认操作 (允许或阻止)。有关更多信息,请参阅 确定 Web ACL 的默认操作

  2. 指定要用于允许或阻止请求的条件:

    • 要基于请求是否表现为包含恶意脚本允许或阻止请求,请创建跨站点脚本匹配条件。有关更多信息,请参阅 使用跨站点脚本匹配条件

    • 要基于请求源自的 IP 地址允许或阻止请求,请创建 IP 匹配条件。有关更多信息,请参阅 使用 IP 匹配条件

    • 要基于请求源自的国家/地区允许或阻止请求,请创建地理匹配条件。有关更多信息,请参阅 使用地理匹配条件

    • 要基于请求是否超过指定长度允许或阻止请求,请创建大小约束条件。有关更多信息,请参阅 使用大小约束条件

    • 要基于请求是否表现为包含恶意 SQL 代码允许或阻止请求,请创建 SQL 注入匹配条件。有关更多信息,请参阅 使用 SQL 注入匹配条件

    • 要基于出现在请求中的字符串允许或阻止请求,请创建字符串匹配条件。有关更多信息,请参阅 使用字符串匹配条件

    • 要基于出现在请求中的正则表达式模式允许或阻止请求,请创建正则表达式匹配条件。有关更多信息,请参阅 使用正则表达式匹配条件

  3. 将条件添加到一个或多个规则。如果您将多个条件添加到同一个规则,则 Web 请求必须匹配所有条件,AWS WAF 才会基于该规则允许或阻止请求。有关更多信息,请参阅 使用规则。(可选) 还向规则添加速率限制,该限制指定允许来自一个特定 IP 地址的最大请求数。

  4. 将规则添加到 Web ACL。对于每个规则,指定 AWS WAF 应基于添加到规则的条件允许还是阻止请求。如果将多个规则添加到一个 Web ACL,则 AWS WAF 按规则在 Web ACL 中列出的顺序来评估规则。有关更多信息,请参阅 使用 Web ACL