AWS WAF 規則動作 - AWS WAF、AWS Firewall Manager 與 AWS Shield Advanced

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

AWS WAF 規則動作

規則動作會告知 AWS WAF 當 Web 請求符合規則中定義的準則時,如何處理 Web 請求。您可以選擇性地將自訂行為新增至每個規則動作。

以下是規則動作選項:

  • Count—AWS WAF 計算請求,但不確定是否允許或阻止它。使用這個動作,AWS WAF 會繼續處理 Web ACL 中的其餘規則。您可以在要求中插入自訂標題,也可以新增其他規則可以符合的標籤。

  • Allow-AWS WAF 允許將請求轉發到受保護的AWS資源以進行處理和響應。此動作會終止要求的 Web ACL 評估。您可以在要求中插入自訂標頭,然後再將其轉寄至受保護的資源。

  • Block-AWS WAF 阻止請求。此動作會終止要求的 Web ACL 評估。根據預設,資AWS源會以 HTTP403 (Forbidden) 狀態碼回應,但您可以自訂回應。AWS WAF封鎖要求時,Block處理行動設定會決定受保護資源傳送回用戶端的回應。

  • CAPTCHA並且Challenge —AWS WAF 使用 CAPTCHA 謎題和無聲挑戰來驗證請求是否來自機器人,並AWS WAF使用令牌來跟踪最近成功的客戶響應。

    注意

    如果您在其中一項規則中使用CAPTCHA或規Challenge則動作,或是規則群組中的規則動作覆寫,系統會向您收取額外費用。如需詳細資訊,請參閱 AWS WAF 定價

    使用這些規則動作選項,AWS WAF可能會以終止或非終止方式處理請求,具體取決於請求中令牌的狀態:

    • 非終止有效,未過期的令牌-如果令牌根據配置的 CAPTCHA 或挑戰免疫時間有效且未過期,則AWS WAF處理類似於Count操作的請求。 AWS WAF繼續根據 Web ACL 中剩餘的規則檢查 Web 請求。與Count組態類似,您可以選擇性地使用要插入要插入要求的自訂標頭來設定這些動作,也可以新增其他規則可以符合的標籤。

    • 阻止無效或過期令牌的請求終止 — 如果令牌無效或指示的時間戳記已過期,則AWS WAF會終止對 Web 請求的檢查並阻止請求,類似於Block操作。 AWS WAF然後用錯誤響應客戶端。對於CAPTCHA,如果請求內容表明客戶端瀏覽器可以處理它,則以 JavaScript 插入式方式AWS WAF發送 CAPTCHA 難題,該謎題旨在區分人類客戶端和機器人。對於該Challenge動作,AWS WAF發送帶有無聲挑戰的 JavaScript 插頁式挑戰,該挑戰旨在區分普通瀏覽器和由機器人運行的會話。

    如需其他資訊,請參閱 CAPTCHA和Challenge動作AWS WAF

如需有關自訂請求和回應的資訊,請參閱定制的 Web 請求和響應AWS WAF

如需將標籤新增至相符請求的資訊,請參閱網頁要求上的標籤

如需 Web ACL 和規則設定如何互動的資訊,請參閱Web ACL 規則和規則群組評估