管理和使用 Web 存取控制清單 (Web ACL) - AWS WAF、AWS Firewall Manager 與 AWS Shield Advanced

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

管理和使用 Web 存取控制清單 (Web ACL)

Web 存取控制清單 (Web ACL) 可讓您詳細控制受保護資源響應的所有 HTTP (S) Web 請求。您可以保護 Amazon CloudFront、Amazon API Gateway、Application Load Balancer 和AWS AppSync的費用。

您可以使用如下的準則來允許或封鎖請求:

  • 請求的 IP 地址來源

  • 請求的來源國家/地區

  • 字串比對或規則運算式 (regex) 在請求的一部分比對

  • 請求的特定部分的大小

  • 偵測惡意 SQL 程式碼或指令碼

您也可以測試這些條件的任何組合。您可以封鎖或計數不僅符合指定條件,還在任 5 分鐘期間內超過指定請求數量的 Web 請求。您可以使用邏輯運算子結合條件。您也可以CAPTCHA針對請求的控件。

您可以提供匹配條件以及對匹配項採取的操作AWS WAF規則陳述式。您可以直接在 Web ACL 內和在 Web ACL 中使用的可重用規則羣組中定義規則陳述式。如需選項的完整清單,請參AWS WAF 規則陳述式AWS WAF 規則動作

要指定 Web 請求檢查和處理標準,請執行以下任務:

  1. 選擇預設的動作,允許或封鎖不符合任何您所指定規則的 Web 請求。如需詳細資訊,請參閱 決定 Web ACL 的預設動作

  2. 新增您要在 Web ACL 中使用的任何規則群組。受管規則群組通常包含封鎖 Web 請求的規則。如需規則群組的詳細資訊,請參閱 規則群組

  3. 在一個或多個規則中指定附加匹配條件和處理説明。若要新增超過一個規則,請從AND或者OR規則陳述式,然後將您想要結合的規則巢狀化在這些規則下。如果您要否定某個規則選項,請將巢狀在 NOT 陳述式中規則化。您可以選擇性地使用速率型規則來取代一般規則,限制來自任何單一 IP 地址且符合條件的請求數量。如需規則的詳細資訊,請參閱 AWS WAF 規則

如果您將一個以上的規則新增至 Web ACL,AWS WAF 會按照 Web ACL 中列出規則的順序評估規則。如需詳細資訊,請參閱 Web ACL 規則和規則組評估

建立 Web ACL 時,您可以指定要與其搭配使用的資源類型。如需相關資訊,請參閱 建立 Web ACL。定義 Web ACL 之後,您可以將它與您的資源產生關聯,以開始為它們提供保護。如需詳細資訊,請參閱 將 Web ACL 與AWS資源

操作説明AWS資源處理來自的回應延遲AWS WAF

在某些情況下,AWS WAF 可能遇到內部錯誤以導致對是否要允許或封鎖請求的相關聯 AWS 資源回應的延遲。在這些場合, CloudFront 而區域服務通常會允許請求或提供內容,而區域服務通常會拒絕請求,且不會提供內容。