本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Web ACL 中如何处理规则和规则组操作
配置规则和规则组时,您可以选择处理匹配的 Web 请求的方式:Amazon WAF
-
Allow并Block正在终止操作,Block操作会停止对匹配的 Web 请求的 Web ACL 的所有其他处理。Allow如果 Web ACL 中的规则找到请求的匹配项并且该规则操作为Allow或Block,则该匹配将决定 Web ACL 的 Web 请求的最终处置方式。 Amazon WAF不处理 Web ACL 中匹配规则之后的任何其他规则。对于直接添加到 Web ACL 的规则和添加的规则组中的规则,此原理同样适用。通过该Block操作,受保护的资源不会接收或处理 Web 请求。
-
Count是非终止操作 — 当带有Count操作的规则与请求匹配时,对请求进行Amazon WAF计数,然后继续处理 Web ACL 规则集中的规则。
-
CAPTCHA并且Challenge可以是非终止操作或终止操作 — 当包含这些操作之一的规则与请求匹配时,Amazon WAF会检查其令牌状态。如果请求具有有效令牌,则将匹配项Amazon WAF视为Count匹配项,然后继续处理 Web ACL 规则集中的规则。如果请求没有有效的令牌,则Amazon WAF终止评估并向客户端发送验证码谜题或静默后台客户端会话挑战来解决。
如果规则评估未导致任何终止操作,则将 Web ACL 默认操作Amazon WAF应用于请求。
Amazon WAF适用于 Web 请求的操作受到 Web ACL 中规则的数字优先级设置的影响。例如,假设您的 Web ACL 有一条规则的Allow操作和数值优先级为 50,另一条规则的Count操作和数值优先级为 100。 Amazon WAF按优先级顺序评估 Web ACL 中的规则,从最低设置开始,因此它将在计数规则之前评估允许规则。如果您的 Web 请求同时匹配这两个规则,则它将首先匹配允许规则。由于Allow是终止操作,因此Amazon WAF将停止本次比赛的评估,并且不会根据计数规则评估请求。如果您想要计数规则中的计数指标,即使是与允许规则匹配的请求也是如此,则需要为计数规则指定比允许规则更低的数字优先级设置,这样它才能首先运行。有关优先级设置的更多信息,请参阅Web ACL 中规则和规则组的处理顺序。
在 Web ACL 中,您可以覆盖规则组内规则的操作设置,也可以覆盖规则组返回的操作。有关信息,请参阅 规则组中的操作替代。