地理比對規則陳述式 - AWS WAF、AWS Firewall Manager 與 AWS Shield Advanced

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

地理比對規則陳述式

若要根據來源國家/地區允許或封鎖 Web 請求,請建立一或多個地理區域比對陳述式。

注意

如果您使用 CloudFront 地理限制功能封鎖某國家/地區存取您的內容,來自該國家/地區的所有請求皆被封鎖,且不會轉送至AWS WAF。如果您想根據地理和其他方式允許或封鎖請求AWS WAF標準,你應該使用 CloudFront 地理限制功能。反之,您應該使用AWS WAF地理比對陳述。

您可以使用此功能來封鎖從特定國家/地區對您網站的存取,或只允許從特定國家/地區存取。如果您要允許某些 Web 請求並根據來源國家/地區封鎖其他請求,請為您要允許的國家/地區新增地理比對陳述式,並為您要封鎖的國家/地區新增第二個陳述式。

您可以使用地理比對陳述式搭配其他 AWS WAF 陳述式來建立複雜的篩選。例如,若要封鎖特定國家/地區,但仍允許來自該國家/地區的特定 IP 地址集合的請求,您可以建立規則並將動作設定為 Block,以及下列巢狀陳述式:

  • AND 陳述式

    • 列出您要封鎖的國家/地區的地理比對陳述式

    • NOT 陳述式

      • IP 集合陳述式,指定您要允許通過的 IP 地址

舉另一個例子,如果您想為特定國家/地區的使用者設定資源優先順序,您可以為每個 geo match 陳述式建立不同的速率型規則陳述式。為慣用的國家/地區的使用者這定高速率限制,對其他國家/地區的使用者設定低的速率限制。

AWS WAF透過解析 Web 請求來源的 IP 位址來判斷來源國家/地區。如果您想使用備用標題中的 IP 地址,例如X-Forwarded-For,啟用轉送的 IP 設定。

可巢狀— 您可以將此陳述式類型巢狀化。

WCU— 1 小時.

此陳述式使用下列設定:

  • 地理匹配— 要比對地理比對的國家/地區代碼陣列。這些必須是兩個字元的國家/地區代碼,例如,[ "US", "CN" ],來自 ISO 3166 國際標準的 α-2 國家/地區 ISO 代碼。

    每個代碼必須是一或兩個人物長。

  • (選擇性) 轉送 IP 設定— 根據預設,AWS WAF使用 Web 請求來源中的 IP 位址來判斷來源國家。或者,您可以將規則配置為在 HTTP 標頭中使用轉發的 IP,例如X-Forwarded-For反之。AWS WAF使用標頭中的第一個 IP 位址。透過此設定,您也可以指定後援行為,以套用至指定標頭中具有格式錯誤 IP 位址的 Web 要求。後援行為會設定要求的相符結果,以符合或不相符。如需詳細資訊,請參閱 轉換 IP 地址

哪裡可以找到此項

  • 規則建置器在主控台上 — 對於請求選項,選擇起源於一個國家

  • API 陳述式GeoMatchStatement