本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
使用網頁 ACLs AWS WAF
本頁解釋了什麼是 Web 訪問控制列表(WebACL)以及它如何工作。
Web ACL 使您可以對受保護的資源響應的所有HTTP(S)Web 請求進行細粒度控制。您可以保護 Amazon CloudFront,Amazon API 網關,Application Load Balancer, AWS AppSync, Amazon Cognito, AWS App Runner和 AWS 已驗證的存取資源。
您可以使用如下的準則來允許或封鎖請求:
-
請求的 IP 地址來源
請求的來源國家/地區
字串比對或規則運算式 (regex) 在請求的一部分比對
-
請求的特定部分的大小
-
偵測惡意SQL程式碼或指令碼
您也可以測試這些條件的任何組合。您可以封鎖或計算不僅符合指定條件,還可以在一分鐘內超過指定要求數目的 Web 要求。您可以使用邏輯運算子結合條件。您還可以針對請求運行CAPTCHA謎題和無聲客戶端會話挑戰。
您提供您的匹配條件以及對比賽進行的操作 AWS WAF 規則陳述式。您可以直接在 Web 內部ACL和您在 Web 中使用的可重複使用的規則群組中定義規則陳述式ACL。如需選項的完整清單,請參閱使用規則陳述式 AWS WAF和使用規則動作於 AWS WAF。
當您建立 Web 時ACL,您可以指定要與其搭配使用的資源類型。如需相關資訊,請參閱 ACL在中建立網頁 AWS WAF。定義 Web 之後ACL,您可以將其與資源建立關聯,以開始為它們提供保護。如需詳細資訊,請參閱關聯或取消關聯網與 ACL AWS 資源。
注意
在某些情況下, AWS WAF 可能會遇到延遲回應至關聯的內部錯誤 AWS 有關是否允許或阻止請求的資源。在這些情況下, CloudFront 通常允許請求或提供內容,而區域服務通常會拒絕請求並且不提供內容。
生產流量風險
在ACL針對生產流量部署 Web 中的變更之前,請先在測試或測試環境中對其進行測試和調整,直到您熟悉對流量的潛在影響為止。然後在啟用生產流量之前,在計數模式下測試和調整您更新的規則。如需準則,請參閱測試和調整您的 AWS WAF 保護。
注意
在網絡WCUs中使用超過 1,500 ACL 會產生超出基本網絡ACL價格的成本。如需詳細資訊,請參閱 瞭解中的 Web ACL 容量單位 (WCUs) AWS WAF 和 AWS WAF 定價
更新期間暫時不一致
當您建立或變更網頁ACL或其他網頁時 AWS WAF 資源,這些更改需要少量的時間來傳播到存儲資源的所有區域。傳輸時間可以是幾秒鐘到分鐘數。
以下是您在變更傳播期間可能會注意到的暫時性不一致的範例:
建立 Web 之後ACL,如果您嘗試將其與資源建立關聯,可能會出現例外狀況,指出網頁無ACL法使用。
將規則群組新增至 Web 之後ACL,新規則群組規則可能會在使用 Web ACL 的某個區域中生效,而不會在另一個區域中生效。
變更規則動作設定後,您可能會在某些地方看到舊動作,而在其他地方看到新動作。
將 IP 位址新增至封鎖規則中使用的 IP 集後,該新位址可能會在某個區域遭到封鎖,而另一個區域仍允許使用該 IP 位址。
主題
