Amazon WAF 规则操作 - Amazon WAF、Amazon Firewall Manager 和 Amazon Shield Advanced
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon WAF 规则操作

规则操作会Amazon WAF在 Web 请求与规则中定义的条件匹配时,如何处理 Web 请求。您可以选择向每个规则操作添加自定义行为。

注意

规则操作可以是终止的,也可以是非终止的。终止操作会停止对请求的 Web ACL 评估,要么让请求继续访问您的受保护应用程序,要么将其阻止。

以下是规则操作选项:

  • Allow—Amazon WAF 允许将请求转发到受保护的Amazon资源进行处理和响应。这是终止操作。在您定义的规则中,您可以在请求中插入自定义标头,然后再将其转发到受保护的资源。

  • Block—Amazon WAF 阻止请求。这是终止操作。默认情况下,您的受保护Amazon资源以 HTTP403 (Forbidden) 状态码进行响应。在您定义的规则中,您可以自定义响应。当Amazon WAF阻止请求时,Block操作设置决定受保护资源发送回客户机的响应。

  • Count— 对请求进行Amazon WAF计数,但不确定是允许还是阻止请求。这是一项非终止操作。 Amazon WAF继续处理 Web ACL 中的其余规则。在您定义的规则中,您可以在请求中插入自定义标头,也可以添加其他规则可以匹配的标签。

  • CAPTCHA和Challenge —Amazon WAF 使用验证码谜题和静默挑战来验证请求不是来自机器人,并Amazon WAF使用代币来跟踪最近的成功客户回应。

    注意

    当您在其中一个规则中使用CAPTCHA或Challenge规则操作或在规则组中用作规则操作替代时,会向您收取额外费用。有关更多信息,请参阅 Amazon WAF 定价

    这些规则操作可以是终止的,也可以是非终止的,具体取决于请求中令牌的状态:

    • 有效的、未过期的令牌不可终止 — 如果令牌根据配置的验证码或质询豁免时间有效且未过期,则Amazon WAF处理与Count操作类似的请求。 Amazon WAF继续基于 Web ACL 中的其余规则检查 Web 请求。与Count配置类似,在您定义的规则中,您可以选择使用自定义标头配置这些操作以插入到请求中,还可以添加其他规则可以匹配的标签。

    • 终止对无效或过期令牌的请求 — 如果令牌无效或指定的时间戳已过期,则Amazon WAF终止对 Web 请求的检查并阻止请求,与Block操作类似。 Amazon WAF然后用错误回应客户端。因为CAPTCHA,如果请求内容表明客户端浏览器可以处理,则在 JavaScript 插页式广告中Amazon WAF发送验证码拼图,该拼图旨在区分人类客户端和机器人。对于动Challenge作,Amazon WAF发送带有静默挑战的 JavaScript 插页式广告,旨在区分普通浏览器和由机器人运行的会话。

    有关更多信息,请参阅CAPTCHA以及中的Challenge操作Amazon WAF

有关自定义请求和响应的信息,请参阅中的自定义 Web 请求和响应Amazon WAF

有关向匹配请求添加标签的信息,请参阅网络请求上的标签

有关 Web ACL 和规则设置如何交互的信息,请参阅Web ACL 规则和规则组评估