AWS WAF 的運作方式 - AWS WAF、AWS Firewall Manager 與 AWS Shield Advanced

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

AWS WAF 的運作方式

您可以使用AWS WAF控制 Amazon CloudFront 分發、Amazon API Gateway REST API、Application Load Balancer 或AWS AppSyncGraphQL SQL API 響應 HTTP(S)的網絡請求。

  • Web ACL— 您可以使用 Web 存取控制清單 (ACL) 來保護AWS的費用。您可以建立一個 Web ACL,並透過新增規則來定義其保護策略。規則定義用於檢查 Web 請求的準則,並指定如何處理符合準則的請求。您可以設定 Web ACL 的預設動作,指出是否要封鎖或允許通過規則檢查的這些請求。

  • 規則— 每個規則都包含定義檢查準則的陳述式,以及 Web 請求符合準則時要採取的一個動作。當 Web 請求符合準則時,這是一個相符。您可以使用規則來封鎖相符的請求,或允許相符的請求通過。您也可以使用規則來計算符合的請求。

  • 規則群組— 可以個別使用規則或使用可重複使用的規則群組中的規則AWS 受管規則和AWS Marketplace賣家會提供管理規則群組供你使用。您也可以定義自己的規則群組。

建立 Web ACL 之後,您可以將其與一或多個AWS的費用。您可以使用的資源類型AWS WAFWeb ACL 是 Amazon CloudFront 分發、Amazon API Gateway REST API、Application Load Balancer 和AWS AppSyncGraphQL API。

AWS WAF在列出的區域中可供使用AWS服務端點

  • 若為 Amazon API Gateway REST API、Application Load Balancer、Application Load Balancer 或AWS AppSyncGraphQL API,您可以使用列表中的任何區域。

  • 對於 CloudFront 分佈,AWS WAF可在全球範圍內使用,但您必須對所有工作中使用美國東部區域 (維吉尼亞北部)。您必須使用美國東部區域 (維吉尼亞北部) 來建立 Web ACL。您也必須使用此區域來建立您在 Web ACL 中使用的任何其他資源,例如規則群組、IP 集和規則運算式模式集。

    某些介面提供「全域 (CloudFront)」的區域選項。選擇此選項與選擇 US East (N. Virginia) 或 US east-1 相同。

AWS WAF Web ACL 容量單位 (WCU)

AWS WAF使用 Web ACL 容量單位 (WCU) 來計算和控制執行規則、規則群組和 Web ACL 所需的作業資源。AWS WAF會在您設定規則群組和 Web ACL 時強制執行 WCU 限制。WCU 不會影響AWS WAF會檢查 Web 流量。

AWS WAF會針對不同的規則類型分開計算容量,來反映各個規則的相對成本。相較於使用更多處理能力的複雜規則,執行成本較少的簡單規則,會使用較少的 WCU。例如,大小限制規則陳述式使用的 WSU 比針對正則運算式樣式集進行檢查的陳述式少。

AWS WAF 會管理規則、規則群組和 Web ACL 的容量:

  • 規則容量–AWS WAF會在您建立或更新規則時計算規則容量。如需規則容量需求的一些基本準則,請參閱AWS WAF 規則陳述式,以取得各種規則陳述式的清單。您也可以建立一個 Web ACL 或規則群組,並將個別規則新增至規則群組,以瞭解 AWS WAF 主控台中各種規則類型所需容量的概貌。主控台會顯示您新增規則時所使用的容量單位。

  • 規則群組容量–AWS WAF會要求在建立時為每個規則群組指派不可變的容量。對於透過 AWS WAF 建立的受管規則群組和規則群組而言,正是如此。修改規則群組時,您的變更必須將規則群組的 WCU 保持在其容量之內。如此可確保正在使用規則群組的 Web ACL 可保持在其容量上限內。

  • Web ACL 容量— Web ACL 的最大容量為 1,500,這對大多數使用案例來說已經足夠。如果您需要更多容量,請連絡AWS SupportCenter

AWS WAF 定價

使用 AWS WAF,您只需支付自己所建立的 Web ACL 和規則群組,以及 AWS WAF 檢查 HTTP(S) 請求數量的費用。如需詳細資訊,請參閱 AWS WAF 定價