地理比對規則陳述式 - AWS WAF、AWS Firewall Manager 與 AWS Shield Advanced

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

地理比對規則陳述式

若要根據來源國家/地區允許或封鎖 Web 請求,請建立一或多個地理區域比對陳述式。

注意

如果您使用 CloudFront 地理限制功能封鎖某國家/地區存取您的內容,則來自該國家/地區的所有請求皆被封鎖,也不會轉送至AWS WAF。因此,如果您想根據地理和其他AWS WAF條件,您應該使用 CloudFront 地理位置限制功能。反之,您應該使用 AWS WAF 地理比對條件。

您可以使用此功能來封鎖從特定國家/地區對您網站的存取,或只允許從特定國家/地區存取。如果您要允許某些 Web 請求並根據來源國家/地區封鎖其他請求,請為您要允許的國家/地區新增地理比對陳述式,並為您要封鎖的國家/地區新增第二個陳述式。

您可以使用地理比對陳述式搭配其他 AWS WAF 陳述式來建立複雜的篩選。例如,若要封鎖特定國家/地區,但仍允許來自該國家/地區的特定 IP 地址集合的請求,您可以建立規則並將動作設定為 Block,以及下列巢狀陳述式:

  • AND 陳述式

    • 列出您要封鎖的國家/地區的地理比對陳述式

    • NOT 陳述式

      • IP 集合陳述式,指定您要允許通過的 IP 地址

舉另一個例子,如果您想為特定國家/地區的使用者設定資源優先順序,您可以為每個地區比對條件建立不同的速率型規則陳述式。為慣用的國家/地區的使用者這定高速率限制,對其他國家/地區的使用者設定低的速率限制。

AWSWAF 通過解析 Web 請求的來源的 IP 地址來確定原產國。如果你想改為使用來自替代標題的 IP 地址,如X-Forwarded-For,請啟用轉送的 IP 組態。

可形成巢狀— 您可以將此陳述式類型巢狀化。

WCU— 1 瓦庫。

此陳述式使用下列設定:

  • 地理比對— 要比對地理比對的國家/地區代碼陣列。這些必須是兩個字元的國家/地區代碼,例如,[ "US", "CN" ],來自 ISO 3166 國際標準的 α-2 國家/地區 ISO 代碼。

    每個代碼必須是一或兩個characters長。

  • (選擇性) 轉送的 IP 組態— 根據預設,AWS WAF會使用 Web 請求來源中的 IP 位址來判斷來源國家/地區。或者,您可以將規則設定為在 HTTP 標頭中使用轉送的 IP,例如X-Forwarded-For反之。AWS WAF會使用標頭中的第一個 IP 位址。透過此組態,您也可以指定要套用至指定標頭中含有格式錯誤的 IP 位址的 Web 要求的後援行為。後援行為會將要求的符合結果設定為符合或不符合。如需更多詳細資訊,請參閱 轉寄 IP 地址

哪裡可以找到此項

  • 規則建置器在控制台上 — 對於請求選項中,選擇起源於

  • API 陳述式GeoMatchStatement