创建和配置 Web 访问控制列表 (Web ACL) - Amazon WAFAmazon Firewall Manager、和 Amazon Shield Advanced
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

创建和配置 Web 访问控制列表 (Web ACL)

注意

这是 Amazon WAF Classic 文档。只有在 2019 年 11 月 Amazon WAF 之前创建了 Amazon WAF 资源(如规则和 Web ACL),并且尚未将其迁移到最新版本时,才应使用此版本。要迁移您的资源,请参阅将您的 Amazon WAF 经典资源迁移到 Amazon WAF

有关的最新版本 Amazon WAF,请参阅Amazon WAF

通过网络访问控制列表 (Web ACL),您可以精细控制您的 Amazon API Gateway API、亚马逊 CloudFront 分发或应用程序负载均衡器响应的网络请求。您可以允许或阻止以下类型的请求:

  • 源自某个 IP 地址或 IP 地址范围

  • 源自一个特定国家/地区或多个国家/地区

  • 请求的特定部分中包含指定字符串或与正则表达式 (regex) 模式匹配

  • 超过指定长度

  • 似乎包含恶意 SQL 代码 (称为 SQL 注入)

  • 似乎包含恶意脚本 (称为跨站点脚本)

您还可以对这些规则的任意组合进行测试,或阻止、统计不仅满足指定条件,还在任何 5 分钟周期内超过指定请求数的 Web 请求。

要选择希望允许或阻止访问您的内容的请求,请执行以下任务:

  1. 为与您指定的任何条件都不匹配的 Web 请求选择默认操作 (允许或阻止)。有关更多信息,请参阅 确定 Web ACL 的默认操作

  2. 指定要用于允许或阻止请求的条件:

    • 要基于请求是否表现为包含恶意脚本允许或阻止请求,请创建跨站点脚本匹配条件。有关更多信息,请参阅 使用跨站点脚本匹配条件

    • 要基于请求源自的 IP 地址允许或阻止请求,请创建 IP 匹配条件。有关更多信息,请参阅 使用 IP 匹配条件

    • 要基于请求源自的国家/地区允许或阻止请求,请创建地理匹配条件。有关更多信息,请参阅 使用地理匹配条件

    • 要基于请求是否超过指定长度允许或阻止请求,请创建大小约束条件。有关更多信息,请参阅 使用大小约束条件

    • 要基于请求是否表现为包含恶意 SQL 代码允许或阻止请求,请创建 SQL 注入匹配条件。有关更多信息,请参阅 使用 SQL 注入匹配条件

    • 要基于出现在请求中的字符串允许或阻止请求,请创建字符串匹配条件。有关更多信息,请参阅 使用字符串匹配条件

    • 要基于出现在请求中的正则表达式模式允许或阻止请求,请创建正则表达式匹配条件。有关更多信息,请参阅 使用正则表达式匹配条件

  3. 将条件添加到一个或多个规则。如果您向同一规则添加多个条件,则 Web 请求必须符合所有条件,Cl Amazon WAF assic 才能根据该规则允许或阻止请求。有关更多信息,请参阅 使用规则。(可选)您可以使用基于速率的规则而不是常规规则来限制来自满足条件的任何 IP 地址的请求数。

  4. 将规则添加到 Web ACL。对于每条规则,指定您希望 Amazon WAF Classic 根据您添加到规则中的条件允许还是阻止请求。如果您向 Web ACL 添加多个规则,则 Cl Amazon WAF assic 会按照规则在 Web ACL 中列出的顺序对这些规则进行评估。有关更多信息,请参阅 使用 Web ACL

    添加新规则或更新现有规则时,最多可能需要一分钟这些更改才能显示并在 Web ACL 和资源中生效。

主题