建立和設定 Web 存取控制清單 (Web ACL) - AWS WAF、AWS Firewall Manager 與 AWS Shield Advanced

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

建立和設定 Web 存取控制清單 (Web ACL)

注意

這是AWS WAF經典文檔。如果您在 2019 年 11 月 AWS WAF 之前建立 AWS WAF 資源 (例如規則和 Web ACL),而且並未將其移轉至最新版本,則應該只使用此版本。若要移轉資源,請參閱 將您的AWS WAF傳統資源遷移到 AWS WAF

如需的最新版本 AWS WAF,請參閱AWS WAF

Web 存取控制清單 (Web ACL) 可讓您對 Amazon API 閘道 API、Amazon CloudFront 分發或應 Application Load Balancer 回應的 Web 請求進行更精確的控制。您可以允許或封鎖以下類型的請求:

  • 源自於 IP 地址或 IP 地址的範圍

  • 源自於特定國家/地區

  • 包含指定的字串或符合特定請求中的規則運算式 (regex) 模式

  • 超過指定的長度

  • 似乎含有惡意 SQL 程式碼 (稱為 SQL injection)

  • 似乎含有惡意指令碼 (稱為跨網站指令碼)

您葛已操是這些條件的任意組合,封鎖或計數不僅只符合指定條件的 web 請求,還有在任五分鐘內超過指定數量的請求。

若要選擇您想允許的請求,以存取您的內容,或您想要封鎖的內容,請執行以下:

  1. 選擇預設的動作,允許或封鎖不符合任何您所指定條件的 web 請求。如需詳細資訊,請參閱 決定 Web ACL 的預設動作

  2. 指定您想要允許或封鎖請求的條件:

    • 若要根據請求是否有含有惡意指令碼,允許或封鎖請求,請建立跨網站指令碼比對條件。如需詳細資訊,請參閱 使用跨網站指令碼比對條件

    • 若要根據他們源於的 IP 地址,允許或封鎖請求,請建立 IP 比對條件。如需詳細資訊,請參閱 使用 IP 比對條件

    • 若要根據他們源於的國家/地區執行,允許或封鎖請求,請建立地理比對條件。如需詳細資訊,請參閱 使用地理比對條件

    • 若要根據請求是否超過指定的長度,允許或封鎖請求,請建立容量的限制條件。如需詳細資訊,請參閱 使用容量限制條件

    • 若要據請求是否有含有惡意 SQL 碼,允許或封鎖請求,請建立 SQL injection 比對條件。如需詳細資訊,請參閱 使用 SQL Injection 比對條件

    • 若要根據在請求中出現的字串,允許或封鎖請求,請建立字串比對條件。如需詳細資訊,請參閱 使用字串比對條件

    • 若要根據在請求中出現的 regex 模式,允許或封鎖請求,請建立 regex 比對條件。如需詳細資訊,請參閱 使用 Regex 比對條件

  3. 將此條件新增至一個或多個規則。如果您在相同規則中新增多個條件,Web 要求必須符合 C AWS WAF lassic 的所有條件,才能根據規則允許或封鎖要求。如需詳細資訊,請參閱 使用規則。或者,您可以使用以速率為基礎的規則來取代一般規則,限制來自任何 IP 地址且符合條件的請求數量。

  4. 新增規則至 Web ACL。針對每個規則,指定要讓 C AWS WAF lassic 根據您新增至規則的條件來允許或封鎖要求。如果您將多個規則新增至 Web ACL,AWS WAF典型會依照規則在 Web ACL 中列出的順序來評估規則。如需詳細資訊,請參閱 使用 Web ACL

    當您新增新的規則或更新現有的規則,可能需要一分鐘左右讓所做的變更完成,才會出現在您的 Web ACL 和資源。