Web 访问控制列表 (Web ACL) - Amazon WAFAmazon Firewall Manager、和 Amazon Shield Advanced
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Web 访问控制列表 (Web ACL)

Web 访问控制列表 (Web ACL) 可让您对受保护资源响应的所有 HTTP(S) Web 请求进行精细控制。您可以保护亚马逊 CloudFront、亚马逊 API Gateway、Application Load Balancer Amazon AppSync、Amazon Cognito 和 Amazon 已验证访问资源。 Amazon App Runner

您可以使用如下条件来允许或阻止请求:

  • 请求的 IP 地址源

  • 请求的源国家/地区

  • 部分请求中的字符串匹配或正则表达式匹配

  • 请求特定部分的大小

  • 检测恶意 SQL 代码或脚本

您还可以针对这些条件的任何组合进行测试。您可以屏蔽或统计不仅满足指定条件,而且在一分钟内超过指定请求数的 Web 请求。您可以使用逻辑运算符组合条件。您还可以根据请求运行验证码拼图和静默客户端会话质询。

您在 Amazon WAF 规则语句中提供匹配条件和对匹配项采取的操作。您可以直接在 Web ACL 中定义规则语句,也可以在可重复使用的规则组(您在 Web ACL 中使用的)中进行定义。有关选项的完整列表,请参阅 规则语句基础知识规则操作

要指定您的 Web 请求检查和处理条件,请执行以下任务:

  1. 为与您指定的任何规则都不匹配的 Web 请求选择 Web ACL 默认操作(Allow 或 Block)。有关更多信息,请参阅Web ACL 默认操作

  2. 添加要在 Web ACL 中使用的任何规则组。托管规则组通常包含阻止 Web 请求的规则。有关规则组的信息,请参阅规则组

  3. 在一条或多条规则中指定其他匹配条件和处理说明。要添加多个规则,请从 ANDOR 规则语句开始,并将要组合的规则嵌套在这些语句下。如果要否定某个规则选项,请将该规则嵌套在 NOT 语句中。您可以选择性地使用基于速率的规则(而不是常规规则)来限制来自满足条件的任何单个 IP 地址的请求数。有关规则的信息,请参阅 Amazon WAF 规则

如果您向 Web ACL 添加多个规则,则会按照 Web ACL 中列出的顺序 Amazon WAF 评估这些规则。有关更多信息,请参阅Web ACL 规则和规则组评估

创建 Web ACL 时,您可以指定要使用它的资源类型。有关信息,请参阅 创建 Web ACL。定义 Web ACL 后,您可以将其与资源相关联,以开始为资源提供保护。有关更多信息,请参阅将 Web ACL 与资源关联或取消关联 Amazon

Amazon 资源如何处理来自的响应延迟 Amazon WAF

在某些情况下, Amazon WAF 可能会遇到内部错误,从而延迟对相关 Amazon 资源的响应,以决定是允许还是阻止请求。在这些情况下, CloudFront 通常会允许请求或提供内容,而区域服务通常会拒绝请求并且不提供内容。