本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
创建和配置 Web 访问控制列表 (Web ACL)
注意
这是Amazon WAFClassic文档中)。仅当 2019 年 11 月之前在 Amazon WAF 中创建了 Amazon WAF 资源(例如规则和 Web ACL),但尚未将这些资源迁移到最新版本时,才应使用此版本。要迁移您的资源,请参阅将您的Amazon WAF经典资源迁移到Amazon WAF。
对于最新版本的Amazon WAF请参阅Amazon WAF.
Web 访问控制列表 (Web ACL) 使您可以精细地控制您的亚马逊 API GAmazon API Gateway) 的 Web 请求 CloudFront 分发或应 Application Load Balancer 响应。您可以允许或阻止以下类型的请求:
-
源自某个 IP 地址或 IP 地址范围
源自一个特定国家/地区或多个国家/地区
请求的特定部分中包含指定字符串或与正则表达式 (regex) 模式匹配
-
超过指定长度
-
似乎包含恶意 SQL 代码 (称为 SQL 注入)
-
似乎包含恶意脚本 (称为跨站点脚本)
您还可以对这些规则的任意组合进行测试,或阻止、统计不仅满足指定条件,还在任何 5 分钟周期内超过指定请求数的 Web 请求。
要选择希望允许或阻止访问您的内容的请求,请执行以下任务:
为与您指定的任何条件都不匹配的 Web 请求选择默认操作 (允许或阻止)。有关更多信息,请参阅 确定 Web ACL 的默认操作。
指定要用于允许或阻止请求的条件:
要基于请求是否表现为包含恶意脚本允许或阻止请求,请创建跨站点脚本匹配条件。有关更多信息,请参阅 使用跨站点脚本匹配条件。
要基于请求源自的 IP 地址允许或阻止请求,请创建 IP 匹配条件。有关更多信息,请参阅 使用 IP 匹配条件。
要基于请求源自的国家/地区允许或阻止请求,请创建地理匹配条件。有关更多信息,请参阅 使用地理匹配条件。
要基于请求是否超过指定长度允许或阻止请求,请创建大小约束条件。有关更多信息,请参阅 使用大小约束条件。
要基于请求是否表现为包含恶意 SQL 代码允许或阻止请求,请创建 SQL 注入匹配条件。有关更多信息,请参阅 使用 SQL 注入匹配条件。
要基于出现在请求中的字符串允许或阻止请求,请创建字符串匹配条件。有关更多信息,请参阅 使用字符串匹配条件。
要基于出现在请求中的正则表达式模式允许或阻止请求,请创建正则表达式匹配条件。有关更多信息,请参阅 使用正则表达式匹配条件。
将条件添加到一个或多个规则。如果您将多个条件添加到同一个规则,则 Web 请求必须与所有条件匹配,Amazon WAF这样,您可以根据规则允许或阻止任何请求。有关更多信息,请参阅 使用规则。(可选)您可以使用基于速率的规则而不是常规规则来限制来自满足条件的任何 IP 地址的请求数。
将规则添加到 Web ACL。对于每个规则,指定是否需要Amazon WAFClassic (经典) 可基于添加到规则的条件允许或阻止请求。如果将多个规则添加到 Web ACL,则Amazon WAFClassic 按规则在 Web ACL 中列出的顺序来评估规则。有关更多信息,请参阅 使用 Web ACL。
添加新规则或更新现有规则时,最多可能需要一分钟这些更改才能显示并在 Web ACL 和资源中生效。