创建和配置 Web 访问控制列表 (Web ACL) - Amazon WAF、Amazon Firewall Manager 和 Amazon Shield Advanced
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

创建和配置 Web 访问控制列表 (Web ACL)

注意

这是Amazon WAFClassic文档中)。仅当 2019 年 11 月之前在 Amazon WAF 中创建了 Amazon WAF 资源(例如规则和 Web ACL),但尚未将这些资源迁移到最新版本时,才应使用此版本。要迁移您的资源,请参阅迁移您的Amazon WAFClassic 资源Amazon WAF

对于最新版本的Amazon WAF请参阅Amazon WAF

Web 访问控制列表 (Web ACL) 使您可以精细地控制您的 Amazon API Gateway API、Amazon CloudFront 分配或应 Application Load Balancer 所响应的 Web 请求。您可以允许或阻止以下类型的请求:

  • 源自某个 IP 地址或 IP 地址范围

  • 源自一个特定国家/地区或多个国家/地区

  • 请求的特定部分中包含指定字符串或与正则表达式 (regex) 模式匹配

  • 超过指定长度

  • 似乎包含恶意 SQL 代码 (称为 SQL 注入)

  • 似乎包含恶意脚本 (称为跨站点脚本)

您还可以对这些规则的任意组合进行测试,或阻止、统计不仅满足指定条件,还在任何 5 分钟周期内超过指定请求数的 Web 请求。

要选择希望允许或阻止访问您的内容的请求,请执行以下任务:

  1. 为与您指定的任何条件都不匹配的 Web 请求选择默认操作 (允许或阻止)。有关更多信息,请参阅确定 Web ACL 的默认操作

  2. 指定要用于允许或阻止请求的条件:

    • 要基于请求是否表现为包含恶意脚本允许或阻止请求,请创建跨站点脚本匹配条件。有关更多信息,请参阅使用跨站点脚本匹配条件

    • 要基于请求源自的 IP 地址允许或阻止请求,请创建 IP 匹配条件。有关更多信息,请参阅使用 IP 匹配条件

    • 要基于请求源自的国家/地区允许或阻止请求,请创建地理匹配条件。有关更多信息,请参阅使用地理匹配条件

    • 要基于请求是否超过指定长度允许或阻止请求,请创建大小约束条件。有关更多信息,请参阅使用大小约束条件

    • 要基于请求是否表现为包含恶意 SQL 代码允许或阻止请求,请创建 SQL 注入匹配条件。有关更多信息,请参阅使用 SQL 注入匹配条件

    • 要基于出现在请求中的字符串允许或阻止请求,请创建字符串匹配条件。有关更多信息,请参阅使用字符串匹配条件

    • 要基于出现在请求中的正则表达式模式允许或阻止请求,请创建正则表达式匹配条件。有关更多信息,请参阅使用正则表达式匹配条件

  3. 将条件添加到一个或多个规则。如果您将多个条件添加到同一个规则,则 Web 请求必须匹配所有条件Amazon WAF经典可基于规则允许或阻止请求。有关更多信息,请参阅使用规则。(可选)您可以使用基于速率的规则而不是常规规则来限制来自满足条件的任何 IP 地址的请求数。

  4. 将规则添加到 Web ACL。对于每个规则,指定是否希望Amazon WAFClassic (经典):基于添加到规则的条件允许或阻止请求。如果将多个规则添加到 Web ACL,Amazon WAFClassic (经典) 按规则在 Web ACL 中列出的顺序来评估规则。有关更多信息,请参阅使用 Web ACL

    添加新规则或更新现有规则时,最多可能需要一分钟这些更改才能显示并在 Web ACL 和资源中生效。