本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Web ACL(Web ACL)
Web 访问控制列表 (Web ACL) 使您可以对受保护资源响应的所有 HTTP (S) Web 请求进行精细控制。您可以保护亚马逊 CloudFront、Amazon API Gateway、Application Load BalAmazon AppSync ancer、Amazon Cognito 和Amazon App Runner资源。
您可以使用如下条件来允许或阻止请求:
-
请求的 IP 地址源
请求的源国家/地区
部分请求中的字符串匹配或正则表达式匹配
-
请求特定部分的大小
-
检测恶意 SQL 代码或脚本
您还可以针对这些条件的任何组合进行测试。您可以阻止或统计不仅满足指定条件,还在任何 5 分钟周期内超过指定请求数的 Web 请求。您可以使用逻辑运算符组合条件。你还可以根据请求运行 CAPTCHA 谜题和静默客户端会话挑战。
您在Amazon WAF规则声明中提供匹配标准和匹配时要采取的操作。您可以直接在 Web ACL 中定义规则语句,也可以在 Web ACL 中使用的可重用规则组中定义规则语句。有关选项的完整列表,请参阅Amazon WAF 规则语句和Amazon WAF 规则操作。
要指定您的 Web 请求检查和处理标准,请执行以下任务:
对于与您指定的任何规则均不匹配的 Web 请求,选择 Web ACL 默认操作Allow或Block。有关更多信息,请参阅决定 Web ACL 的默认操作:
-
添加要在 Web ACL 中使用的任何规则组。托管规则组通常包含阻止 Web 请求的规则。有关规则组的信息,请参阅规则组。
在一个或多个规则中指定其他匹配标准和处理指令。要添加多个规则,请以 o
ANDrOR规则语句开头,然后将要合并的规则嵌套在这些语句下。如果要否定某个规则选项,请将该规则嵌套在 NOT 语句中。您可以选择性地使用基于速率的规则(而不是常规规则)来限制来自满足条件的任何单个 IP 地址的请求数。有关规则的信息,请参阅 规则。
如果将多个规则添加到一个 Web ACL,Amazon WAF 按规则在 Web ACL 中的列出顺序来评估规则。有关更多信息,请参阅Web ACL 规则和规则组评估:
创建 Web ACL 时,您可以指定要使用它的资源类型。有关信息,请参阅 创建 Web ACL。定义 Web ACL 后,您可以将其与资源相关联,以开始为资源提供保护。有关更多信息,请参阅将 Web ACL 与Amazon资源关联或取消关联:
Amazon资源如何处理来自的响应延迟Amazon WAF
在某些情况下,Amazon WAF 可能会遇到内部错误,该错误会延迟对关联 Amazon 资源有关允许还是阻止请求的响应。在这些情况下, CloudFront 通常允许请求或提供内容,而区域服务通常会拒绝请求并且不提供内容。