Amazon WAF 的工作原理 - Amazon WAF、Amazon Firewall Manager 和 Amazon Shield Advanced
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon WAF 的工作原理

您使用Amazon WAF来控制 Amazon CloudFront 分配、Amazon API Gateway REST API、Application Load Balancer 或Amazon AppSyncGraphQL API 响应 HTTP(S)网络请求。

  • Web ACL— 您可以使用 Web 访问控制列表 (ACL) 来保护一组Amazon资源的费用。您可以创建 Web ACL 并通过添加规则来定义其保护策略。规则可定义检查 Web 请求的条件,并指定如何处理符合条件的请求。您可以为 Web ACL 设置默认操作,该操作指示是阻止还是允许那些成功通过规则检查的请求。

  • Rule— 每个规则都包含定义检查条件的语句,还包含在 Web 请求满足条件时要执行的操作。当 Web 请求满足条件时,这是一个匹配。您可以使用规则阻止匹配请求或允许匹配请求通过。您也可以仅使用规则来对匹配请求计数。

  • 规则组— 您可以单独使用规则,也可以在可重用的规则组中使用规则。Amazon托管规则和Amazon Web Services Marketplace卖家提供托管规则组供您使用。您还可以定义自己的规则组。

创建 Web ACL 后,您可以将其与一个或多个Amazon资源的费用。您可以使用保护的资源类型Amazon WAFWeb ACL 是 Amazon CloudFront 分配、Amazon API Gateway REST API、Application Load Balancer 和Amazon AppSyncGraphQL API。

Amazon WAF在列出的区域中可用。Amazon服务终端节点.

  • 对于 Amazon API Gateway REST API、ApApplication Load Balancer 或Amazon AppSyncGraphQL API,您可以使用列表中的任何区域。

  • 对于 CloudFront 分配,请Amazon WAF全局可用,但您必须对所有工作使用美国东部区域(弗吉尼亚北部)。必须使用美国东部区域(弗吉尼亚北部)创建 Web ACL。您还必须使用此区域创建您在 Web ACL 中使用的任何其他资源,例如规则组、IP 集和正则表达式模式集。

    某些接口提供了 “全局(CloudFront)” 的区域选择。选择此选项与选择美国东部区域(弗吉尼亚北部)或 “us-east-1” 相同。

Amazon WAF Web ACL 容量单位 (WCU) 数

Amazon WAF使用 Web ACL 容量单位 (WCU) 计算和控制运行规则、规则组和 Web ACL 所需的操作资源。Amazon WAF在配置规则组和 Web ACL 时强制实施 WCU 限制。WCU 不会影响Amazon WAF检查 Web 流量。

Amazon WAF以不同的方式计算每种规则类型的容量,以反映每个规则的相对成本。与使用更多处理能力的更复杂规则相比,运行成本很低的简单规则使用更少的 WCU。例如,与检查正则表达式模式集的语句相比,大小约束规则语句使用的 WCU 更少。

Amazon WAF 管理规则、规则组和 Web ACL 的容量:

  • 规则容量–Amazon WAF计算在您创建或更新规则时的容量。有关规则容量要求的一些基本准则,请参阅 Amazon WAF 规则语句上的各种规则语句的列表。您还可以通过创建 Web ACL 或规则组并向其添加单个规则,了解 Amazon WAF 控制台中各种规则类型所需的容量。控制台显示您添加规则时使用的容量单位。

  • 规则组容量–Amazon WAF要求在创建时为每个规则组分配一个不可变的容量。对于通过 Amazon WAF 创建的托管规则组和规则组,事实就是如此。修改规则组时,所做更改必须使规则组的 WCU 保持在其容量范围内。这可确保使用该规则组的 Web ACL 保持在其最大容量内。

  • Web ACL 容量— Web ACL 的最大容量为 1,500,这足以满足大多数使用案例。如果您需要更多容量,请联系Amazon Web Services SupportCenter.

Amazon WAF 定价

使用 Amazon WAF 时,您只需为您创建的 Web ACL 和规则组以及为 Amazon WAF 检查的 HTTP(S) 请求数付费。有关更多信息,请参阅 Amazon WAF定价