方法 AWS WAF 處理 Web 中的規則和規則群組動作 ACL - AWS WAF, AWS Firewall Manager和 AWS Shield Advanced

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

方法 AWS WAF 處理 Web 中的規則和規則群組動作 ACL

本節說明如何 AWS WAF 使用規則和規則群組來處理動作。

設定規則和規則群組時,您可以選擇想要的方式 AWS WAF 處理匹配的 Web 請求:

  • Allow 以及 Block 正在終止動作 — Allow 以及 Block 動作會停止相符 Web 要求ACL上的所有其他 Web 處理。如果 Web 中的規則ACL找到要求的相符項目,且規則動作為 Allow 或 Block,相符項目會決定 Web 要求的最終處理方式。ACL AWS WAF 不處理在匹配之後的網絡上ACL的任何其他規則。對於直接新增至 Web 的規則以ACL及新增的規則群組內的規則而言,這是正確的。隨著 Block 動作,受保護的資源不會接收或處理 Web 請求。

  • Count 為非終止動作 — 當規則具有 Count 動作匹配請求, AWS WAF 計算要求,然後繼續處理 Web 規則集中遵循的規ACL則。

  • CAPTCHA 以及 Challenge 可以是非終止或終止動作 — 當具有這些動作之一的規則符合請求時, AWS WAF 檢查其令牌狀態。如果請求具有有效的令牌, AWS WAF 對待類似於 a 的匹配 Count 比對,然後繼續處理 Web 規則集中遵循的規ACL則。如果請求沒有有效的令牌, AWS WAF 終止評估,並向客戶端發送CAPTCHA難題或無聲後台客戶端會話挑戰以解決。

如果規則評估不會導致任何終止動作,則 AWS WAF 將 Web ACL 預設動作套用至要求。如需相關資訊,請參閱 設定網頁ACL預設動作 AWS WAF

在您的 Web 中ACL,您可以覆寫規則群組內規則的動作設定,也可以覆寫規則群組傳回的動作。如需相關資訊,請參閱 覆寫中的規則群組動作 AWS WAF

動作與優先權設定之間的互動

的動作 AWS WAF 套用至 Web 要求會受到 Web 中規則的數字優先順序設定的影響ACL。例如,假設您的網絡ACL有一個規則 Allow 動作和 50 的數字優先級和另一個規則 Count 動作和 100 的數字優先級。 AWS WAF 從最低設定開始,依照 Web ACL 中的規則優先順序評估 Web 中的規則,因此它會在計數規則之前評估允許規則。符合這兩個規則的 Web 要求會先符合 allow 規則。自 Allow 是一個終止動作, AWS WAF 將在此匹配中停止評估,並且不會根據計數規則評估請求。

  • 如果您只想在計數規則量度中包含與 allow 規則不相符的要求,則規則的優先順序設定就可以使用。

  • 另一方面,如果您想要計數規則中的計數量度,即使是符合 allow 規則的請求,則需要將計數規則指定為低於 allow 規則的數字優先順序設定,以便先執行。

如需優先順序設定的更多資訊,請參閱在 Web 中設定規則優先順序 ACL