在中配置保护 Amazon WAF - Amazon WAF、 Amazon Firewall ManagerAmazon Shield Advanced、和 Amazon Shield 网络安全总监
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

引入全新的主机体验 Amazon WAF

现在,您可以使用更新的体验访问控制台中任意位置的 Amazon WAF 功能。有关更多详细信息,请参阅 使用更新的主机体验

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

在中配置保护 Amazon WAF

本页说明了什么是保护包和 Web 访问控制列表 (Web ACLs) 以及它们的工作原理。

保护包或 Web ACL 执行的功能基本相同。两者都允许您对受保护资源响应的所有 HTTP (S) Web 请求进行精细控制。你可以保护亚马逊 CloudFront、亚马逊 API Gateway、Application Load Balancer Amazon AppSync、、、 Amazon App Runner Amazon Amplify、Amazon Cognito 和 Amazon 已验证访问资源。您可以在新的主机体验中使用保护包,在标准控制台 ACLs 中使用网页。有关新主机体验的更多信息,请参阅使用更新的主机体验

您可以使用如下条件来允许或阻止请求:

  • 请求的 IP 地址源

  • 请求的源国家/地区

  • 部分请求中的字符串匹配或正则表达式匹配

  • 请求特定部分的大小

  • 检测恶意 SQL 代码或脚本

您还可以针对这些条件的任何组合进行测试。您可以阻止或统计不仅满足指定条件,还在一分钟内超过指定请求数的 Web 请求。您可以使用逻辑运算符组合条件。您还可以根据请求运行验证码拼图和静默客户端会话质询。

您在 Amazon WAF 规则语句中提供匹配条件和对匹配项采取的操作。您可以直接在保护包或 Web ACL 中定义规则语句,也可以在保护包或 Web ACL 中使用的可重复使用的规则组中定义规则语句。有关选项的完整列表,请参阅 在中使用规则语句 Amazon WAF在中使用规则操作 Amazon WAF

创建保护包或 Web ACL 时,需要指定要与之配合使用的资源类型。有关信息,请参阅在中创建保护包或 Web ACL Amazon WAF。定义保护包或 Web ACL 后,可以将其与您的资源关联以开始为它们提供保护。有关更多信息,请参阅 将保护与资源关联或取消关联 Amazon

注意

在某些情况下, Amazon WAF 可能会遇到内部错误,从而延迟对相关 Amazon 资源的响应,以决定是允许还是阻止请求。在这些情况下, CloudFront 通常会允许请求或提供内容,而区域服务通常会拒绝请求并且不提供内容。

生产流量风险

在为生产流量部署保护包或 Web ACL 中的更改之前,请在暂存或测试环境中对其进行测试和调整,直到您对流量可能产生的影响感到满意。然后,在启用之前,在计数模式下使用生产流量对更新后的规则进行测试和调整。有关指南,请参阅测试和调整您的 Amazon WAF 保护措施

注意

在保护包或 Web ACL WCUs 中使用超过 1,500 的保护包或 Web ACL 会产生超出基本保护包或 Web ACL 价格的成本。有关更多信息,请参阅 Web ACL 容量单位 (WCUs) Amazon WAFAmazon WAF 定价

更新期间暂时出现不一致

创建或更改保护包、Web ACL 或其他 Amazon WAF 资源时,更改需要很少的时间才能传播到存储资源的所有区域。传播时间可以从几秒钟到几分钟不等。

以下示例是更改传播过程中可能暂时出现的不一致:

  • 创建保护包或 Web ACL 后,如果您尝试将其与资源关联,则可能会出现异常,指示该保护包或 Web ACL 不可用。

  • 将规则组添加到保护包或 Web ACL 后,新的规则组规则可能会在使用保护包或 Web ACL 的某个区域生效,而在另一个区域则不生效。

  • 更改规则操作设置后,可能会在某些位置显示旧操作而在另一些位置显示新操作。

  • 将 IP 地址添加到阻止规则中使用的 IP 集后,新地址可能会在一个区域中被阻止,而在另一个区域中仍然允许。

主题