管理和使用 Web 访问控制列表 (Web ACL)

Web 访问控制列表 (Web ACL) 使您可以精细地控制您的受保护资源所响应的 Web 请求。您可以保护 Amazon CloudFront、Amazon API Gateway、Application Load Balancer 和 AWS AppSync 资源。

您可以使用如下条件来允许或阻止请求：

• 请求的 IP 地址源

• 请求的源国家/地区

• 部分请求中的字符串匹配或正则表达式匹配

• 请求特定部分的大小

• 检测恶意 SQL 代码或脚本

您还可以针对这些条件的任何组合进行测试。您可以阻止或统计不仅满足指定条件，还在任何 5 分钟周期内超过指定请求数的 Web 请求。您可以使用逻辑运算符组合条件。

此条件在 Web ACL 包含的规则以及 Web ACL 使用的规则组所包含的规则中提供。此条件在规则语句中指定。有关选项的完整列表，请参阅 AWS WAF 规则语句。

要选择希望允许或阻止访问您的内容的请求，请执行以下任务：

1. 为与您指定的任何规则都不匹配的 Web 请求选择默认操作（允许或阻止）。有关更多信息，请参阅 确定 Web ACL 的默认操作。

2. 添加要在 Web ACL 中使用的任何规则组。托管规则组通常包含阻止 Web 请求的规则。有关规则组的信息，请参阅规则组。

3. 在一个或多个规则中指定要用于允许或阻止请求的其他条件。要添加多个项目，请从AND或者OR规则语句，并将要组合的规则嵌套在这些语句下。如果要否定某个规则选项，请将该规则嵌套在 NOT 语句中。您可以选择性地使用基于速率的规则（而不是常规规则）来限制来自满足条件的任何单个 IP 地址的请求数。有关规则的信息，请参阅 AWS WAF 规则。

如果将多个规则添加到一个 Web ACL，AWS WAF 会按规则在 Web ACL 中列出的顺序来评估规则。有关更多信息，请参阅 Web ACL 规则和规则组评估。

创建 Web ACL 时，您可以指定要使用它的资源类型。有关信息，请参阅 创建 Web ACL。定义 Web ACL 后，您可以将其与资源相关联，以开始为资源提供保护。有关更多信息，请参阅 将 Web ACL 与 AWS 资源关联或取消关联。

AWS 资源如何处理来自 AWS WAF 的响应延迟

在某些情况下，AWS WAF 可能会遇到内部错误，该错误会延迟对关联 AWS 资源有关允许还是阻止请求的响应。在这些情况下，CloudFront 通常会允许请求或提供内容，而区域服务通常会拒绝请求并且不提供内容。

主题

• Web ACL 规则和规则组评估
• 确定 Web ACL 的默认操作
• 使用 Web ACL