AWS WAF 的運作方式 - AWS WAF、AWS Firewall Manager 與 AWS Shield Advanced

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

AWS WAF 的運作方式

您使用AWS WAF來控制亞馬遜 CloudFront 分發、Amazon API Gateway REST API、Application Load Balancer 或AWS AppSyncGraphQL API 響應 HTTP(S)網絡請求。

  • Web ACL— 您可以使用 Web 存取控制清單 (ACL) 來保護一組AWS的費用。您可以建立一個 Web ACL,並透過新增規則來定義其保護策略。規則定義用於檢查 Web 請求的準則,並指定如何處理符合準則的請求。您可以設定 Web ACL 的預設動作,指出是否要封鎖或允許通過規則檢查的這些請求。

  • 規則— 每個規則都包含定義檢查條件的陳述式,以及 Web 請求符合條件時要採取的動作。當 Web 請求符合準則時,這是一個相符。您可以配置規則以阻止匹配請求、允許它們通過、計數或運行CAPTCHA對他們的控制。

  • 規則羣組— 您可以個別使用規則或使用可重複使用的規則羣組中的規則。AWS受管規則和AWS Marketplace賣家提供託管規則組供您使用。您也可以定義自己的規則群組。

在您建立 Web ACL 之後,您可以將其與一個或多個AWS的費用。您可以使用AWS WAF網絡 ACL 是亞馬遜 CloudFront 分發、Amazon API Gateway REST API、Application Load Balancer 和AWS AppSyncGraphQL API。

AWS WAF在列出的區域中可供使用。AWS服務端點

  • 若為 Amazon API Gateway REST API、Application Load Balancer 或AWS AppSyncGraphQL API,您可以使用列表中的任何區域。

  • 對於 CloudFront 分發,AWS WAF在全球範圍內提供,但您必須使用美國東部地區 (弗吉尼亞北部) 完成所有工作。您必須使用美國東部 (維吉尼亞北部) 建立您的 Web ACL。您也必須使用此區域來建立您在 Web ACL 中使用的任何其他資源,例如規則群組、IP 集和規則運算式模式集。

    一些接口提供了「全球 (CloudFront)」. 選擇這與選擇美國東部區域 (維吉尼亞北部) 或 "us-east-1" 相同。

您可以將 Web ACL 與 CloudFront 分佈,當您建立或更新分發時。如需相關資訊,請參閱「」。使用AWS WAF控制對您內容的存取中的亞馬遜 CloudFront 開發人員指南

您只能將 Web ACL 與AWS 區域。例如,您無法將 Web ACL 與AWS Outposts。

有關多個關聯的限制

您可以根據下列限制,將單一 Web ACL 與一或多個 AWS 資源產生關聯:

  • 您只能將每個 AWS 資源與一個 Web ACL 產生關聯。Web ACL 和AWS資源是 one-to-many。

  • 您可以將 Web ACL 與一或多個 CloudFront 分佈。您不能將已與 CloudFront 與任何其他AWS 資源類型。

AWS WAF Web ACL 容量單位 (WCU)

AWS WAF使用 Web ACL 容量單位 (WCU) 來計算和控制運行規則、規則羣組和 Web ACL 所需的作業資源。AWS WAF在配置規則組和 Web ACL 時強制執行 WCU 限制。WCU 不會影響AWS WAF檢查 Web 流量。

AWS WAF會針對不同的規則類型分開計算容量,以反映各個規則的相對成本。相較於使用更多處理能力的複雜規則,執行成本較少的簡單規則,會使用較少的 WCU。例如,大小約束規則語句使用的 WCU 少於檢查正則表達式模式集的語句。

AWS WAF 會管理規則、規則群組和 Web ACL 的容量:

  • 規則容量–AWS WAF會在您建立或更新規則時計算規則容量。如需規則容量需求的一些基本準則,請參閱AWS WAF 規則陳述式,以取得各種規則陳述式的清單。您也可以建立一個 Web ACL 或規則群組,並將個別規則新增至規則群組,以瞭解 AWS WAF 主控台中各種規則類型所需容量的概貌。主控台會顯示您新增規則時所使用的容量單位。

  • 規則羣組容量–AWS WAF要求在建立時為每個規則組指派不可變的容量。對於透過 AWS WAF 建立的受管規則群組和規則群組而言,正是如此。修改規則群組時,您的變更必須將規則群組的 WCU 保持在其容量之內。如此可確保正在使用規則群組的 Web ACL 可保持在其容量上限內。

  • Web ACL 容量— Web ACL 的最大容量為 1,500,這對大多數使用案例來説已經足夠。如果您需要更多容量,請連絡AWS SupportCenter