如何在 Web ACL 中處理規則和規則群組動作 - AWS WAF、AWS Firewall Manager 與 AWS Shield Advanced

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

如何在 Web ACL 中處理規則和規則群組動作

設定規則和規則群組時,您可以選擇要如AWS WAF何處理相符的 Web 要求:

  • Allow和Block正在終止動作 — Allow 並且Block動作會停止相符 Web 請求上對 Web ACL 的所有其他處理。如果 Web ACL 中的規則找到與請求相符的項目,而規則動作為Allow或Block,則該相符項目會決定 Web ACL 的 Web 要求的最終處理方式。 AWS WAF不會處理 Web ACL 中位於相符項目之後的任何其他規則。對於您直接新增至 Web ACL 的規則和在規則群組內新增的規則,正是如此。透過此Block動作,受保護的資源不會接收或處理 Web 要求。

  • Count為非終止動作 — 當具有動作的規則符合要求時,會AWS WAF計算要求,然後繼續處理 Web ACL 規則集中後續的規則。Count

  • CAPTCHA且Challenge可以是非終止或終止動作 — 當具有這些動作之一的規則符合要求時,會AWS WAF檢查其 Token 狀態。如果要求具有有效權杖,則會AWS WAF將相符項目視為與相Count符項目類似,然後繼續處理 Web ACL 規則集中遵循的規則。如果請求沒有有效的令牌,則AWS WAF終止評估並向客戶端發送 CAPTCHA 難題或無聲後台客戶端會話挑戰以解決。

如果規則評估不會產生任何終止動作,則會將 Web ACL 預設動作AWS WAF套用至要求。如需相關資訊,請參閱 網頁 ACL 預設動作

在 Web ACL 中,您可以覆寫規則群組內規則的動作設定,也可以覆寫規則群組傳回的動作。如需相關資訊,請參閱 規則群組中的動作覆寫

動作與優先權設定之間的互動

AWS WAF套用至 Web 要求的動作會受 Web ACL 中規則的數字優先順序設定影響。例如,假設您的 Web ACL 具有Allow動作和數字優先順序為 50 的規則,另一個具有Count動作且數字優先順序為 100 的規則。 AWS WAF從最低設定開始,依其優先順序來評估 Web ACL 中的規則,因此它會在計數規則之前評估允許規則。符合這兩個規則的 Web 要求會先符合 allow 規則。由於Allow是終止動作,因此AWS WAF會在此比對中停止評估,並且不會根據計數規則評估要求。

  • 如果您只想在計數規則量度中包含與 allow 規則不相符的要求,則規則的優先順序設定就可以使用。

  • 另一方面,如果您想要計數規則中的計數量度,即使是符合 allow 規則的請求,則需要將計數規則指定為低於允許規則的數字優先順序設定,以便它先執行。

如需優先順序設定的更多資訊,請參閱Web ACL 中規則和規則群組的處理順序