在 Amazon WAF 中使用范围缩小语句 - Amazon WAF、Amazon Firewall Manager、Amazon Shield Advanced 和 Amazon Shield 网络安全分析器
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

介绍 Amazon WAF 的全新控制台体验

现在,您可以使用更新后的体验访问控制台中任意位置的 Amazon WAF 功能。有关更多详细信息,请参阅 使用更新的控制台体验

在 Amazon WAF 中使用范围缩小语句

本节介绍了什么是缩小范围语句及其工作方式。

范围缩小语句是一种可嵌套的规则语句,您可以将其添加到托管规则组语句或基于速率的语句中,以缩小包含规则评估的请求集的范围。包含规则仅评估与范围缩小语句匹配的请求。

  • 托管规则组语句 – 如果您向托管规则组语句添加范围缩小语句,则 Amazon WAF 会将任何与范围缩小语句不匹配的请求评估为与规则组不匹配。只有符合范围缩小语句的请求才会根据规则组进行评估。对于定价基于被评估请求的数量的托管规则组,范围缩小语句可以帮助其控制成本。

    有关托管规则组语句的更多信息,请参阅 在 Amazon WAF 中使用托管规则组语句

  • 基于速率的规则语句 – 没有范围缩小语句的基于速率的规则语句会限制该规则评估的所有请求。如果您只想控制特定类别的请求的速率,请在基于速率的规则中添加范围缩小语句。例如,要仅跟踪和控制来自特定地理区域的请求速率,可以在地理匹配语句中指定该地理区域,并将其作为范围缩小语句添加到基于速率的规则中。

    有关基于速率的规则语句的更多信息,请参阅 在 Amazon WAF 中使用基于速率的规则语句

您可以在范围缩小语句中使用任何可嵌套规则。有关可用语句,请参阅 在 Amazon WAF 中使用匹配规则语句在 Amazon WAF 中使用逻辑规则语句。范围缩小语句的 WCU 是您在其中定义的规则语句所需的 WCU。使用范围缩小语句不会产生额外成本。

您可以像在常规规则中使用该语句一样配置范围缩小语句。例如,您可以对正在检查的 Web 请求组件应用文本转换,也可以指定要用作 IP 地址的被转发 IP 地址。这些配置仅适用于范围缩小语句,不由包含的托管规则组或基于速率的规则语句继承。

例如,如果您在范围缩小语句中对查询字符串应用文本转换,则在应用转换后,范围缩小语句会检查查询字符串。如果请求与范围缩小语句条件相匹配,则 Amazon WAF 会将 Web 请求以其原始状态传递给包含规则,而不进行范围缩小语句的转换。包含范围缩小语句的规则可能会应用自己的文本转换,但它不会从范围缩小语句中继承任何文本转换。

您不能使用范围缩小语句为包含规则语句指定任何请求检查配置。不能将范围缩小语句用作包含规则语句的 Web 请求预处理器。范围缩小语句的唯一作用是确定哪些请求会传递到包含规则语句以进行检查。