菜单
AWS WAF、AWS Firewall Manager 和 AWS Shield Advanced
开发人员指南 (API 版本 2015-08-24)

创建和配置 Web 访问控制列表 (Web ACL)

Web 访问控制列表 (Web ACL) 使您可以精细地控制您的 Amazon CloudFront 分配或 应用程序负载均衡器 所响应的 Web 请求。您可以允许或阻止以下类型的请求:

  • 源自某个 IP 地址或 IP 地址范围

  • 源自一个特定国家/地区或多个国家/地区

  • 请求的特定部分中包含指定字符串或与正则表达式 (regex) 模式匹配

  • 超过指定长度

  • 似乎包含恶意 SQL 代码 (称为 SQL 注入)

  • 似乎包含恶意脚本 (称为跨站点脚本)

您还可以对这些规则的任意组合进行测试,或阻止、统计不仅满足指定条件,还在任何 5 分钟周期内超过指定请求数的 Web 请求。

要选择希望允许或阻止访问您的内容的请求,请执行以下任务:

  1. 为与您指定的任何条件都不匹配的 Web 请求选择默认操作 (允许或阻止)。有关更多信息,请参阅 确定 Web ACL 的默认操作

  2. 指定要用于允许或阻止请求的条件:

    • 要基于请求是否表现为包含恶意脚本允许或阻止请求,请创建跨站点脚本匹配条件。有关更多信息,请参阅 使用跨站点脚本匹配条件

    • 要基于请求源自的 IP 地址允许或阻止请求,请创建 IP 匹配条件。有关更多信息,请参阅 使用 IP 匹配条件

    • 要基于请求源自的国家/地区允许或阻止请求,请创建地理匹配条件。有关更多信息,请参阅 使用地理匹配条件

    • 要基于请求是否超过指定长度允许或阻止请求,请创建大小约束条件。有关更多信息,请参阅 使用大小约束条件

    • 要基于请求是否表现为包含恶意 SQL 代码允许或阻止请求,请创建 SQL 注入匹配条件。有关更多信息,请参阅 使用 SQL 注入匹配条件

    • 要基于出现在请求中的字符串允许或阻止请求,请创建字符串匹配条件。有关更多信息,请参阅 使用字符串匹配条件

    • 要基于出现在请求中的正则表达式模式允许或阻止请求,请创建正则表达式匹配条件。有关更多信息,请参阅 使用正则表达式匹配条件

  3. 将条件添加到一个或多个规则。如果您将多个条件添加到同一个规则,则 Web 请求必须匹配所有条件,AWS WAF 才会基于该规则允许或阻止请求。有关更多信息,请参阅 使用规则。(可选) 还向规则添加速率限制,该限制指定允许来自一个特定 IP 地址的最大请求数。

  4. 将规则添加到 Web ACL。对于每个规则,指定 AWS WAF 应基于添加到规则的条件允许还是阻止请求。如果将多个规则添加到一个 Web ACL,则 AWS WAF 按规则在 Web ACL 中列出的顺序来评估规则。有关更多信息,请参阅 使用 Web ACL

    添加新规则或更新现有规则时,最多可能需要一分钟这些更改才能显示并在 Web ACL 和资源中生效。