AWS WAF

透過使用 AWS WAF，您可以在全域 CloudFront 發佈或區域資源上設定 Web 存取控制清單 (WebACLs)，以根據請求簽章篩選、監視和封鎖要求。若要判斷是否允許或封鎖要求，您可以考慮諸如 IP 位址或原始國家/地區、要求中的特定字串或模式、要求特定部分的大小，以及存在惡意SQL程式碼或指令碼等因素。您也可以針對要求執行CAPTCHA謎題和無訊息用戶端工作階段挑戰。

AWS WAF 並且 CloudFront 還使您能夠設置地理限制以阻止或允許來自選定國家/地區的請求。這有助於封鎖或限制來自您不希望為使用者提供服務的地理位置的攻擊。使用中的精細地理比對規則陳述式 AWS WAF，您可以控制區域層級的存取權。

您可以使用 ScopeDlow 陳述式來縮小規則評估的要求範圍以節省成本，並在 Web 要求上使用「標籤」 來允許符合要求的規則，將比對結果傳達給稍後在相同網頁中評估的規則。ACL選擇此選項可在多個規則中重複使用相同的邏輯。

您還可以定義完整的自定義響應，包含響應代碼，標題和正文。

為了幫助識別惡意請求，請查看 Web 服務器日誌或使用 AWS WAF的日誌記錄和請求採樣。通過啟用日誌 AWS WAF 記錄，您可以獲得有關 Web 分析流量的詳細信息。ACL AWS WAF 支援防護記錄篩選，可讓您指定要記錄哪些 Web 要求，以及在檢查之後從記錄檔捨棄哪些要求。

記錄檔中記錄的資訊包括從您的 AWS 資源 AWS WAF 接收要求的時間、有關請求的詳細資訊，以及每個要求規則的比對動作。

抽樣的請求會提供過去三小時內符合您 AWS WAF 其中一個規則的要求詳細資料。您可以使用此資訊來識別潛在惡意流量特徵，並建立新規則來拒絕這些要求。如果您看到許多包含隨機查詢字串的要求，請確定只允許與應用程式快取相關的查詢字串參數。此技術有助於緩解針對您的來源的快取破壞攻擊。