Web 访问控制列表 (Web ACL) - AWS WAF、AWS Firewall Manager 和 AWS Shield Advanced

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Web 访问控制列表 (Web ACL)

Web 访问控制列表 (Web ACL) 使您可以精细地控制受保护资源所响应的所有 HTTP (S) Web 请求。你可以保护亚马逊 CloudFront、Amazon API Gateway、Application Load Balancer、AWS AppSync和Amazon Cognito 资源。

您可以使用如下条件来允许或阻止请求:

  • 请求的 IP 地址源

  • 请求的源国家/地区

  • 部分请求中的字符串匹配或正则表达式匹配

  • 请求特定部分的大小

  • 检测恶意 SQL 代码或脚本

您还可以针对这些条件的任何组合进行测试。您可以阻止或统计不仅满足指定条件,还在任何 5 分钟周期内超过指定请求数的 Web 请求。您可以使用逻辑运算符组合条件。您还可在其他实例上运行CAPTCHA对请求的控制。

您提供您的匹配条件以及要在以下位置对匹配项采取的操作AWS WAF规则语句。您可以在 Web ACL 中直接在 Web ACL 中使用的可重用规则组中定义规则语句,您可以在 Web ACL 中使用的可重用规则组中定义规则语句。有关选项的完整列表,请参阅。AWS WAF 规则语句AWS WAF 规则操作.

要指定 Web 请求检查和处理标准,请执行以下任务:

  1. 为与您指定的任何规则都不匹配的 Web 请求选择默认操作(允许或阻止)。有关更多信息,请参阅 确定 Web ACL 的默认操作

  2. 添加要在 Web ACL 中使用的任何规则组。托管规则组通常包含阻止 Web 请求的规则。有关规则组的信息,请参阅规则组

  3. 在一个或多个规则中指定其他匹配条件和处理指令。要添加多个规则,请使用AND要么ORrule statement,并将要组合在这些语句下的规则嵌套在这些语句下。如果要否定某个规则选项,请将该规则嵌套在 NOT 语句中。您可以选择性地使用基于速率的规则(而不是常规规则)来限制来自满足条件的任何单个 IP 地址的请求数。有关规则的信息,请参阅 规则

如果将多个规则添加到一个 Web ACL,AWS WAF 按规则在 Web ACL 中的列出顺序来评估规则。有关更多信息,请参阅 Web ACL 规则和规则组评估

创建 Web ACL 时,您可以指定要使用它的资源类型。有关信息,请参阅创建 Web ACL。定义 Web ACL 后,您可以将其与资源相关联,以开始为资源提供保护。有关更多信息,请参阅 将 Web ACL 与一个 Web ACLAWS资源

操作方法AWS资源处理来自的响应延迟AWS WAF

在某些情况下,AWS WAF 可能会遇到内部错误,该错误会延迟对关联 AWS 资源有关允许还是阻止请求的响应。在那些场合, CloudFront 通常会允许请求或提供内容,而区域服务通常会拒绝请求并且不提供内容。