規則陳述式清單 - AWS WAF、AWS Firewall Manager 與 AWS Shield Advanced

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

規則陳述式清單

本節說明您可以新增至規則的陳述式,並提供針對各項計算 Web ACL 容量單位 (WCU) 使用量的一些準則。

此頁面依類別群組規則陳述式,提供各項的高階描述,並提供包含陳述式類型詳細資訊的小節連結。

比對陳述式

比對陳述式會將 Web 請求或其來源與您提供的條件進行比較。對於此類型的許多陳述式,AWS WAF 會比較請求的特定元件來取得相符內容。

匹配語句是可固定的。您可以將它們嵌套在邏輯規則陳述式中,並在範圍下限陳述式使用它們。

比對陳述式

描述

WCU

地理比對

檢查請求的來源國家/地區。

1

IP 集合比對

會根據一組 IP 位址和位址範圍來檢查請求。

1 適用於大多數情況。如果您將陳述式設定為使用具有轉寄 IP 位址的標頭,並在Any,那麼 WSU 是 5。

標籤比對規則陳述式

檢查相同 Web ACL 中其他規則已新增的標籤的請求。

1

規則運算式模式集

將規則運算式模式與指定的請求元件比較。

每組模式 25 個,作為基本成本。

如果您使用請求組件所有查詢參數中,新增 10 個 WSU。如果您使用請求組件JSON 主體,則陳述式的基本成本 WSU 加倍。Flow Eat文字轉換,請新增 10 個 WSU。

大小約束

針對指定的請求元件檢查大小約束。

1、作為基本成本。

如果您使用請求組件所有查詢參數中,新增 10 個 WSU。如果您使用請求組件JSON 主體,則陳述式的基本成本 WSU 加倍。Flow Eat文字轉換,請新增 10 個 WSU。

SQLi 攻擊

檢查指定請求元件中的惡意 SQL 程式碼。

20,作為基本成本。

如果您使用請求組件所有查詢參數中,新增 10 個 WSU。如果您使用請求組件JSON 主體,則陳述式的基本成本 WSU 加倍。Flow Eat文字轉換,請新增 10 個 WSU。

字串比對

比較字串與指定的請求元件。

基本成本取決於字符串匹配的類型,並且介於 1 到 10 之間。

如果您使用請求組件所有查詢參數中,新增 10 個 WSU。如果您使用請求組件JSON 主體,則陳述式的基本成本 WSU 加倍。Flow Eat文字轉換,請新增 10 個 WSU。

XSS 指令碼攻擊

檢查指定請求元件中的跨網站指令碼攻擊。

40,作為基本成本。

如果您使用請求組件所有查詢參數中,新增 10 個 WSU。如果您使用請求組件JSON 主體,則陳述式的基本成本 WSU 加倍。Flow Eat文字轉換,請新增 10 個 WSU。

邏輯規則陳述式

邏輯規則陳述式會允許您結合其他陳述式或否定其結果。每個邏輯規則陳述式至少需要一個巢狀化的陳述式。

若要在邏輯上結合或否定規則陳述式結果,您可以在邏輯規則陳述式下將陳述式巢狀化。

注意

主控台上的視覺化編輯器支援一個層級的規則陳述式巢狀,這適用於許多需求。若要將更多層級巢狀化,請在主控台上編輯規則的 JSON 表示法,或使用 API。

邏輯規則陳述式是可巢狀化的。您可以將它們嵌套在其他邏輯規則語句中,並在範圍下語句中使用它們。如需範圍降低陳述式的資訊,請參閱縮小範圍陳述式

邏輯陳述式

描述

WCU

AND 邏輯

將巢狀化陳述式與結合AND邏輯。

以巢狀化陳述式為基礎

NOT 邏輯

否定巢狀化陳述式的結果。

以巢狀化陳述式為基礎

OR 邏輯

將巢狀化陳述式與結合OR邏輯。

以巢狀化陳述式為基礎

複雜陳述式

AWS WAF 支援下列複雜陳述式。

複雜的語句是不穩定的。不過,對於某些人來說,您可以藉由在複雜陳述式中新增範圍降低陳述式來縮小他們檢查的要求範圍。

Statement

描述

WCU

速率型

追蹤來自個別 IP 地址的請求速率。

您可以透過新增範圍降低陳述式來縮小使用費率型陳述式評估的要求範圍。

2 個,加上範圍縮小陳述式的任何其他 WCU。

受管規則群組

執行指定的受管規則群組中定義的規則。

您可以藉由新增降低範圍陳述式,縮小使用規則群組評估的要求範圍。

由規則群組所定義,加上範圍降低陳述式的任何其他 WSU。

規則群組

執行在您管理的規則群組中定義的規則。

您可以在建立規則群組時為其定義 WCU 限制。