本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Amazon WAF 的工作原理
您使用Amazon WAF来控制 Amazon CloudFront 分配、Amazon API Gateway REST API、Application Load Balancer 或Amazon AppSyncGraphQL API 响应 HTTP(S)网络请求。
-
Web ACL— 您可以使用 Web 访问控制列表 (ACL) 来保护一组Amazon资源的费用。您可以创建 Web ACL 并通过添加规则来定义其保护策略。规则可定义检查 Web 请求的条件,并指定如何处理符合条件的请求。您可以为 Web ACL 设置默认操作,该操作指示是阻止还是允许那些成功通过规则检查的请求。
-
Rule— 每个规则都包含定义检查条件的语句,还包含在 Web 请求满足条件时要执行的操作。当 Web 请求满足条件时,这是一个匹配。您可以使用规则阻止匹配请求或允许匹配请求通过。您也可以仅使用规则来对匹配请求计数。
-
规则组— 您可以单独使用规则,也可以在可重用的规则组中使用规则。Amazon托管规则和Amazon Web Services Marketplace卖家提供托管规则组供您使用。您还可以定义自己的规则组。
创建 Web ACL 后,您可以将其与一个或多个Amazon资源的费用。您可以使用保护的资源类型Amazon WAFWeb ACL 是 Amazon CloudFront 分配、Amazon API Gateway REST API、Application Load Balancer 和Amazon AppSyncGraphQL API。
Amazon WAF在列出的区域中可用。Amazon服务终端节点.
-
对于 Amazon API Gateway REST API、ApApplication Load Balancer 或Amazon AppSyncGraphQL API,您可以使用列表中的任何区域。
-
对于 CloudFront 分配,请Amazon WAF全局可用,但您必须对所有工作使用美国东部区域(弗吉尼亚北部)。必须使用美国东部区域(弗吉尼亚北部)创建 Web ACL。您还必须使用此区域创建您在 Web ACL 中使用的任何其他资源,例如规则组、IP 集和正则表达式模式集。
某些接口提供了 “全局(CloudFront)” 的区域选择。选择此选项与选择美国东部区域(弗吉尼亚北部)或 “us-east-1” 相同。
Amazon WAF Web ACL 容量单位 (WCU) 数
Amazon WAF使用 Web ACL 容量单位 (WCU) 计算和控制运行规则、规则组和 Web ACL 所需的操作资源。Amazon WAF在配置规则组和 Web ACL 时强制实施 WCU 限制。WCU 不会影响Amazon WAF检查 Web 流量。
Amazon WAF以不同的方式计算每种规则类型的容量,以反映每个规则的相对成本。与使用更多处理能力的更复杂规则相比,运行成本很低的简单规则使用更少的 WCU。例如,与检查正则表达式模式集的语句相比,大小约束规则语句使用的 WCU 更少。
Amazon WAF 管理规则、规则组和 Web ACL 的容量:
-
规则容量–Amazon WAF计算在您创建或更新规则时的容量。有关规则容量要求的一些基本准则,请参阅 Amazon WAF 规则语句上的各种规则语句的列表。您还可以通过创建 Web ACL 或规则组并向其添加单个规则,了解 Amazon WAF 控制台中各种规则类型所需的容量。控制台显示您添加规则时使用的容量单位。
-
规则组容量–Amazon WAF要求在创建时为每个规则组分配一个不可变的容量。对于通过 Amazon WAF 创建的托管规则组和规则组,事实就是如此。修改规则组时,所做更改必须使规则组的 WCU 保持在其容量范围内。这可确保使用该规则组的 Web ACL 保持在其最大容量内。
-
Web ACL 容量— Web ACL 的最大容量为 1,500,这足以满足大多数使用案例。如果您需要更多容量,请联系Amazon Web Services SupportCenter
.
Amazon WAF 定价
使用 Amazon WAF 时,您只需为您创建的 Web ACL 和规则组以及为 Amazon WAF 检查的 HTTP(S) 请求数付费。有关更多信息,请参阅 Amazon WAF定价