在中配置保护 AWS WAF

本页说明了什么是保护包和 Web 访问控制列表 (Web ACLs) 以及它们的工作原理。

保护包或 Web ACL 执行的功能基本相同。两者都允许您对受保护资源响应的所有 HTTP (S) Web 请求进行精细控制。你可以保护亚马逊 CloudFront、亚马逊 API Gateway、Application Load Balancer AWS AppSync、、、 AWS App Runner AWS Amplify、Amazon Cognito 和 AWS 已验证访问资源。您可以在新的主机体验中使用保护包，在标准控制台 ACLs 中使用网页。有关新主机体验的更多信息，请参阅使用更新的主机体验。

您可以使用如下条件来允许或阻止请求：

• 请求的 IP 地址源

• 请求的源国家/地区

• 部分请求中的字符串匹配或正则表达式匹配

• 请求特定部分的大小

• 检测恶意 SQL 代码或脚本

您还可以针对这些条件的任何组合进行测试。您可以阻止或统计不仅满足指定条件，还在一分钟内超过指定请求数的 Web 请求。您可以使用逻辑运算符组合条件。您还可以根据请求运行验证码拼图和静默客户端会话质询。

您在 AWS WAF 规则语句中提供匹配条件和对匹配项采取的操作。您可以直接在保护包或 Web ACL 中定义规则语句，也可以在保护包或 Web ACL 中使用的可重复使用的规则组中定义规则语句。有关选项的完整列表，请参阅 在中使用规则语句 AWS WAF 和 在中使用规则操作 AWS WAF。

创建保护包或 Web ACL 时，需要指定要与之配合使用的资源类型。有关信息，请参阅在中创建保护包或 Web ACL AWS WAF。定义保护包或 Web ACL 后，可以将其与您的资源关联以开始为它们提供保护。有关更多信息，请参阅 将保护与资源关联或取消关联 AWS。

注意

在某些情况下， AWS WAF 可能会遇到内部错误，从而延迟对相关 AWS 资源的响应，以决定是允许还是阻止请求。在这些情况下， CloudFront 通常会允许请求或提供内容，而区域服务通常会拒绝请求并且不提供内容。

生产流量风险

在为生产流量部署保护包或 Web ACL 中的更改之前，请在暂存或测试环境中对其进行测试和调整，直到您对流量可能产生的影响感到满意。然后，在启用之前，在计数模式下使用生产流量对更新后的规则进行测试和调整。有关指南，请参阅测试和调整您的 AWS WAF 保护措施。

注意

在保护包或 Web ACL WCUs 中使用超过 1,500 的保护包或 Web ACL 会产生超出基本保护包或 Web ACL 价格的成本。有关更多信息，请参阅 Web ACL 容量单位 (WCUs) AWS WAF 和 AWS WAF 定价。

更新期间暂时出现不一致

创建或更改保护包、Web ACL 或其他 AWS WAF 资源时，更改需要很少的时间才能传播到存储资源的所有区域。传播时间可以从几秒钟到几分钟不等。

以下示例是更改传播过程中可能暂时出现的不一致：

• 创建保护包或 Web ACL 后，如果您尝试将其与资源关联，则可能会出现异常，指示该保护包或 Web ACL 不可用。

• 将规则组添加到保护包或 Web ACL 后，新的规则组规则可能会在使用保护包或 Web ACL 的某个区域生效，而在另一个区域则不生效。

• 更改规则操作设置后，可能会在某些位置显示旧操作而在另一些位置显示新操作。

• 将 IP 地址添加到阻止规则中使用的 IP 集后，新地址可能会在一个区域中被阻止，而在另一个区域中仍然允许。

主题

• 在中创建保护包或 Web ACL AWS WAF

• 在中编辑保护包或 Web ACL AWS WAF

• 管理规则组行为

• 将保护与资源关联或取消关联 AWS

• 使用保护包或 ACLs 带有规则和规则组的 Web AWS WAF

• 在中设置保护包或 Web ACL 的默认操作 AWS WAF

• 管理车身检查的大小限制 AWS WAF

• 在中配置验证码、挑战和令牌 AWS WAF

• 在中查看 Web 流量指标 AWS WAF

• 删除保护包或 Web ACL