规则操作 - Amazon WAFAmazon Firewall Manager、和 Amazon Shield Advanced
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

规则操作

当网络请求符合规则中定义的条件时,规则操作会告诉 Amazon WAF 您如何处理该请求。您可以选择为每个规则操作添加自定义行为。

注意

规则操作可以是终止,也可以是非终止。终止操作会停止对请求的 Web ACL 评估,要么允许请求继续访问受保护的应用程序,要么将其阻止。

以下是规则操作选项:

  • Allow— Amazon WAF 允许将请求转发到受保护的 Amazon 资源进行处理和响应。这是终止操作。在您定义的规则中,您可以在请求中插入自定义标头,然后再将其转发到受保护的资源。

  • Block— Amazon WAF 阻止请求。这是终止操作。默认情况下,您的受保护 Amazon 资源以 HTTP 403 (Forbidden) 状态代码进行响应。在您定义的规则中,您可以自定义响应。当 Amazon WAF 阻止请求时,Block操作设置将决定受保护资源发送回客户端的响应。

  • Count— 对请求进行 Amazon WAF 计数,但不确定是允许还是阻止请求。这是一个非终止操作。 Amazon WAF 继续处理 Web ACL 中的其余规则。在您定义的规则中,您可以将自定义标头插入请求中,也可以添加其他规则可以匹配的标签。

  • CAPTCHA并且 Challenge — Amazon WAF 使用 CAPTCHA 谜题和静默挑战来验证请求不是来自机器人,并 Amazon WAF 使用代币来跟踪最近成功的客户响应。

    注意

    当您在其中一个规则中使用 CAPTCHA 或 Challenge 规则操作或在规则组中将其作为规则操作覆盖时,您需要支付额外费用。有关更多信息,请参阅Amazon WAF 定价

    这些规则操作可以是终止操作,也可以是非终止操作,具体取决于请求中令牌的状态:

    • 未过期的有效令牌不终止 — 如果根据配置的验证码或质疑免疫时间,令牌有效且未过期,则 Amazon WAF 处理与操作类似的请求。Count Amazon WAF 继续根据 Web ACL 中的其余规则检查 Web 请求。与 Count 配置类似,在您定义的规则中,您可以选择使用自定义标头配置这些操作以插入到请求中,也可以添加其他规则可以匹配的标签。

    • 以对无效或过期令牌的请求被阻止而终止 — 如果令牌无效或指定的时间戳已过期,则 Amazon WAF 终止对 Web 请求的检查并阻止请求,类似于操作。Block Amazon WAF 然后使用自定义响应代码响应客户端。因为CAPTCHA,如果请求内容表明客户端浏览器可以处理它,则会在 JavaScript 插页式广告中 Amazon WAF 发送一个验证码拼图,该拼图旨在区分人类客户端和机器人。对于Challenge操作, Amazon WAF 会发送带有静默挑战的 JavaScript 插页式广告,该挑战旨在将普通浏览器与机器人运行的会话区分开来。

    有关更多信息,请参阅 CAPTCHA然后Challenge在 Amazon WAF

有关自定义请求和响应的信息,请参阅 Amazon WAF中的自定义 Web 请求和响应

有关为匹配请求添加标签的信息,请参阅 Amazon WAF 网络请求上的标签

有关 Web ACL 和规则设置如何交互的信息,请参阅 Web ACL 规则和规则组评估