地理匹配规则语句 - Amazon WAF、Amazon Firewall Manager 和 Amazon Shield Advanced
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

地理匹配规则语句

要基于来源国家/地区允许或阻止 Web 请求,请创建一个或多个地理或地理匹配语句。

注意

如果您使用 CloudFront 地理限制功能来阻止某个国家/地区访问您的内容,则会阻止来自该国家/地区的任何请求,并且不会将这些请求转发到Amazon WAF. 因此,如果您想要根据地理位置以及其他Amazon WAF标准,您应该不是使用 CloudFront 地理限制功能。而是应使用 Amazon WAF 地理匹配条件。

您可以使用此功能来阻止来自特定国家/地区的访问您的网站,或仅允许来自特定国家/地区的访问。如果要允许某些 Web 请求并阻止其他请求,请为要允许的国家/地区添加地理匹配语句,并为要阻止的国家/地区添加第二个地理匹配语句。

您可以将地理匹配语句与其他Amazon WAF语句来构建复杂的过滤。例如,要阻止某些国家/地区,但仍然允许来自该国家/地区的特定 IP 地址集的请求,您可以创建一个规则,该规则将操作设置为Block和以下嵌套语句:

  • AND statement

    • 地理匹配语句列出要阻止的国家/地区

    • NOT statement

      • IP 集语句,用于指定要允许通过

再举一个例子,如果要为特定国家/地区中的用户设置资源优先级,则可以为每个地理匹配条件创建不同的基于速率的规则语句。为首选国家/地区中的用户设置较高的速率限制,并为所有其他用户设置较低的速率限制。

AmazonWAF 通过解析 Web 请求来源的 IP 地址来确定来源国。如果你想改为使用来自备用标头的 IP 地址,例如X-Forwarded-For,启用转发 IP 配置。

嵌套— 您可以嵌套此语句类型。

世界协调单位— 1 WCU。

此语句使用以下设置:

  • 地理匹配— 要为地理匹配进行比较的国家/地区代码数组。这些代码必须是双字符的国家代码,例如,[ "US", "CN" ],取自 ISO 3166 国际标准的 alpha-2 国家/地区 ISO 代码。

    每个代码必须是一个或两个characters长整型。

  • (可选)转发 IP 配置— 默认情况下,Amazon WAF使用 Web 请求来源中的 IP 地址来确定来源国。或者,您可以将规则配置为在 HTTP 标头中使用转发的 IP,如X-Forwarded-For相反。Amazon WAF会使用标头中的第一个 IP 地址。使用此配置,您还可以指定回退行为,以应用于指定标头中具有格式错误 IP 地址的 Web 请求。回退行为将请求的匹配结果设置为匹配或不匹配。有关更多信息,请参阅转发的 IP 地址

此语句的查找位置

  • 规则生成器在控制台上 — 对于请求选项中,选择起源于一个国家.

  • API 语句GeoMatchStatement