Web Access Control 清單 (Web ACL) - AWS WAF、AWS Firewall Manager 與 AWS Shield Advanced

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

Web Access Control 清單 (Web ACL)

Web 存取控制清單 (Web ACL) 可讓您對受保護的資源回應的所有 HTTP (S) Web 請求進行精細控制。您可以保護亞馬遜 CloudFront、Amazon API Gateway、Application Load Balancer 器和 Amazon Cognito 資源。AWS AppSync

您可以使用如下的準則來允許或封鎖請求:

  • 請求的 IP 地址來源

  • 請求的來源國家/地區

  • 字串比對或規則運算式 (regex) 在請求的一部分比對

  • 請求的特定部分的大小

  • 偵測惡意 SQL 程式碼或指令碼

您也可以測試這些條件的任何組合。您可以封鎖或計數不僅符合指定條件,還在任 5 分鐘期間內超過指定請求數量的 Web 請求。您可以使用邏輯運算子結合條件。您也可以針對要求執行CAPTCHA控制項。

您可以提供比對條件,以及在AWS WAF規則陳述式中對相符項目採取的動作。您可以直接在 Web ACL 內以及在 Web ACL 中使用的可重複使用規則群組中定義規則陳述式。如需選項的完整清單,請參閱AWS WAF 規則陳述式AWS WAF 規則動作

若要指定 Web 請求檢查與處理條件,請執行下列作業:

  1. 選擇預設的動作,允許或封鎖不符合任何您所指定規則的 Web 請求。如需詳細資訊,請參閱 決定 Web ACL 的預設動作

  2. 新增您要在 Web ACL 中使用的任何規則群組。受管規則群組通常包含封鎖 Web 請求的規則。如需規則群組的詳細資訊,請參閱 規則群組

  3. 在一或多個規則中指定其他符合條件和處理指示。若要新增多個規則,請使用AND或規OR則陳述式開頭,然後將您要合併的規則嵌套在這些規則之下。如果您要否定某個規則選項,請將巢狀在 NOT 陳述式中規則化。您可以選擇性地使用速率型規則來取代一般規則,限制來自任何單一 IP 地址且符合條件的請求數量。如需規則的詳細資訊,請參閱 規則

如果您將一個以上的規則新增至 Web ACL,AWS WAF 會按照 Web ACL 中列出規則的順序評估規則。如需詳細資訊,請參閱 Web ACL 規則和規則群組評估

建立 Web ACL 時,您可以指定要與其搭配使用的資源類型。如需相關資訊,請參閱 建立 Web ACL。定義 Web ACL 之後,您可以將它與您的資源產生關聯,以開始為它們提供保護。如需詳細資訊,請參閱 建立 Web ACL 與AWS資源的關聯或取消關聯

AWS資源如何處理來自的回應延遲AWS WAF

在某些情況下,AWS WAF 可能遇到內部錯誤以導致對是否要允許或封鎖請求的相關聯 AWS 資源回應的延遲。在這些情況下, CloudFront 通常允許請求或提供內容,而區域服務通常會拒絕請求並且不提供內容。