建立和設定 Web 存取控制清單 (Web ACL) - AWS WAF、AWS Firewall Manager 與 AWS Shield Advanced

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

建立和設定 Web 存取控制清單 (Web ACL)

注意

這是AWS WAF傳統文件中)。如果您在 2019 年 11 月 AWS WAF 之前建立 AWS WAF 資源 (例如規則和 Web ACL),而且並未將其移轉至最新版本,則應該只使用此版本。若要移轉資源,請參閱 遷移您的AWS WAF傳統資源AWS WAF

如需的最新版本AWS WAF,請參閱AWS WAF

Web 存取控制清單 (Web ACL) 可讓您詳細控制您的 Amazon API Gateway API、Amazon CloudFront 分佈或 Application Load Balancer 回應的 Web 請求。您可以允許或封鎖以下類型的請求:

  • 源自於 IP 地址或 IP 地址的範圍

  • 源自於特定國家/地區

  • 包含指定的字串或符合特定請求中的規則運算式 (regex) 模式

  • 超過指定的長度

  • 似乎含有惡意 SQL 程式碼 (稱為 SQL injection)

  • 似乎含有惡意指令碼 (稱為跨網站指令碼)

您葛已操是這些條件的任意組合,封鎖或計數不僅只符合指定條件的 web 請求,還有在任五分鐘內超過指定數量的請求。

若要選擇您想允許的請求,以存取您的內容,或您想要封鎖的內容,請執行以下:

  1. 選擇預設的動作,允許或封鎖不符合任何您所指定條件的 web 請求。如需詳細資訊,請參閱決定 Web ACL 的預設動作

  2. 指定您想要允許或封鎖請求的條件:

    • 若要根據請求是否有含有惡意指令碼,允許或封鎖請求,請建立跨網站指令碼比對條件。如需詳細資訊,請參閱使用跨網站指令碼比對條件

    • 若要根據他們源於的 IP 地址,允許或封鎖請求,請建立 IP 比對條件。如需詳細資訊,請參閱使用 IP 比對條件

    • 若要根據他們源於的國家/地區執行,允許或封鎖請求,請建立地理比對條件。如需詳細資訊,請參閱使用地理比對條件

    • 若要根據請求是否超過指定的長度,允許或封鎖請求,請建立容量的限制條件。如需詳細資訊,請參閱使用容量限制條件

    • 若要據請求是否有含有惡意 SQL 碼,允許或封鎖請求,請建立 SQL injection 比對條件。如需詳細資訊,請參閱使用 SQL Injection 比對條件

    • 若要根據在請求中出現的字串,允許或封鎖請求,請建立字串比對條件。如需詳細資訊,請參閱使用字串比對條件

    • 若要根據在請求中出現的 regex 模式,允許或封鎖請求,請建立 regex 比對條件。如需詳細資訊,請參閱使用 Regex 比對條件

  3. 將此條件新增至一個或多個規則。如果您將一個以上的條件新增至相同的規則,Web 請求必須符合AWS WAF傳統,根據規則允許或封鎖請求。如需詳細資訊,請參閱使用規則。或者,您可以使用以速率為基礎的規則來取代一般規則,限制來自任何 IP 地址且符合條件的請求數量。

  4. 新增規則至 Web ACL。針對每個規則,指定您想要AWS WAF傳統可根據您新增至規則的條件來允許或封鎖請求。如果您將一個以上的規則新增至 Web ACL,AWS WAF典型會按照 Web ACL 中列出規則的順序評估規則。如需詳細資訊,請參閱使用 Web ACL

    當您新增新的規則或更新現有的規則,可能需要一分鐘左右讓所做的變更完成,才會出現在您的 Web ACL 和資源。