管理和使用 Web 访问控制列表 (Web ACL) - AWS WAF、AWS Firewall Manager 和 AWS Shield anced

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

管理和使用 Web 访问控制列表 (Web ACL)

Web 访问控制列表 (Web ACL) 使您可以精细地控制您的受保护资源所响应的 Web 请求。您可以保护 Amazon CloudFront、Amazon API Gateway、Application Load Balancer 和 AWS AppSync 资源。

您可以使用如下条件来允许或阻止请求:

  • 请求的 IP 地址源

  • 请求的源国家/地区

  • 部分请求中的字符串匹配或正则表达式匹配

  • 请求特定部分的大小

  • 检测恶意 SQL 代码或脚本

您还可以针对这些条件的任何组合进行测试。您可以阻止或统计不仅满足指定条件,还在任何 5 分钟周期内超过指定请求数的 Web 请求。您可以使用逻辑运算符组合条件。

此条件在 Web ACL 包含的规则以及 Web ACL 使用的规则组所包含的规则中提供。此条件在规则语句中指定。有关选项的完整列表,请参阅 AWS WAF 规则语句

要选择希望允许或阻止访问您的内容的请求,请执行以下任务:

  1. 为与您指定的任何规则都不匹配的 Web 请求选择默认操作(允许或阻止)。有关更多信息,请参阅 确定 Web ACL 的默认操作

  2. 添加要在 Web ACL 中使用的任何规则组。托管规则组通常包含阻止 Web 请求的规则。有关规则组的信息,请参阅规则组

  3. 在一个或多个规则中指定要用于允许或阻止请求的其他条件。要添加多个项目,请从AND或者OR规则语句,并将要组合的规则嵌套在这些语句下。如果要否定某个规则选项,请将该规则嵌套在 NOT 语句中。您可以选择性地使用基于速率的规则(而不是常规规则)来限制来自满足条件的任何单个 IP 地址的请求数。有关规则的信息,请参阅 AWS WAF 规则

如果将多个规则添加到一个 Web ACL,AWS WAF 会按规则在 Web ACL 中列出的顺序来评估规则。有关更多信息,请参阅 Web ACL 规则和规则组评估

创建 Web ACL 时,您可以指定要使用它的资源类型。有关信息,请参阅 创建 Web ACL。定义 Web ACL 后,您可以将其与资源相关联,以开始为资源提供保护。有关更多信息,请参阅 将 Web ACL 与 AWS 资源关联或取消关联

AWS 资源如何处理来自 AWS WAF 的响应延迟

在某些情况下,AWS WAF 可能会遇到内部错误,该错误会延迟对关联 AWS 资源有关允许还是阻止请求的响应。在这些情况下,CloudFront 通常会允许请求或提供内容,而区域服务通常会拒绝请求并且不提供内容。