如何在 Web ACL 中處理規則和規則群組動作

設定規則和規則群組時，您可以選擇要如 AWS WAF 何處理相符的 Web 要求：

• Allow和Block正在終止動作 — Allow 並且Block動作會停止相符 Web 請求上對 Web ACL 的所有其他處理。如果 Web ACL 中的規則找到與請求相符的項目，而規則動作為Allow或Block，則該相符項目會決定 Web ACL 的 Web 要求的最終處理方式。 AWS WAF 不會處理 Web ACL 中位於相符項目之後的任何其他規則。對於您直接新增至 Web ACL 的規則和在規則群組內新增的規則，正是如此。透過此Block動作，受保護的資源不會接收或處理 Web 要求。

• Count為非終止動作 — 當具有動作的規則符合要求時，會 AWS WAF 計算要求，然後繼續處理 Web ACL 規則集中後續的規則。Count

• CAPTCHA且Challenge可以是非終止或終止動作 — 當具有這些動作之一的規則符合要求時，會 AWS WAF 檢查其 Token 狀態。如果要求具有有效權杖，則會 AWS WAF 將相符項目視為與相Count符項目類似，然後繼續處理 Web ACL 規則集中遵循的規則。如果請求沒有有效的令牌，則 AWS WAF 終止評估並向客戶端發送 CAPTCHA 難題或無聲後台客戶端會話挑戰以解決。

如果規則評估不會產生任何終止動作，則會將 Web ACL 預設動作 AWS WAF 套用至要求。如需相關資訊，請參閱網頁 ACL 預設動作。

在 Web ACL 中，您可以覆寫規則群組內規則的動作設定，也可以覆寫規則群組傳回的動作。如需相關資訊，請參閱規則群組中的動作覆寫。

動作與優先權設定之間的互動

AWS WAF 套用至 Web 要求的動作會受 Web ACL 中規則的數字優先順序設定影響。例如，假設您的 Web ACL 具有Allow動作和數字優先順序為 50 的規則，另一個具有Count動作且數字優先順序為 100 的規則。 AWS WAF 從最低設定開始，依其優先順序來評估 Web ACL 中的規則，因此它會在計數規則之前評估允許規則。符合這兩個規則的 Web 要求會先符合 allow 規則。由於Allow是終止動作，因此 AWS WAF 會在此比對中停止評估，並且不會根據計數規則評估要求。

• 如果您只想在計數規則量度中包含與 allow 規則不相符的要求，則規則的優先順序設定就可以使用。

• 另一方面，如果您想要計數規則中的計數量度，即使是符合 allow 規則的請求，則需要將計數規則指定為低於 allow 規則的數字優先順序設定，以便先執行。

如需優先順序設定的更多資訊，請參閱Web ACL 中規則和規則群組的處理順序。