介绍 AWS WAF 的全新控制台体验
现在,您可以使用更新后的体验访问控制台中任意位置的 AWS WAF 功能。有关更多详细信息,请参阅 使用更新的控制台体验。
在 AWS WAF 中设置保护包(web ACL)默认操作
本节介绍保护包(web ACL)默认操作的工作方式。
当您创建和配置保护包(web ACL)时,必须设置保护包(web ACL)的默认操作。AWS WAF 将此操作应用于通过所有保护包(web ACL)规则评估但未应用终止操作的任何 web 请求。终止操作会停止对请求的保护包(web ACL)评估,要么允许请求继续访问受保护的应用程序,要么将其阻止。有关规则操作的信息,请参阅 在 AWS WAF 中使用规则操作。
保护包(web ACL)默认操作必须确定 web 请求的最终处置,因此这是一个终止操作:
-
Allow:如果要允许大多数用户访问您的网站,但是阻止其请求源自指定 IP 地址或其请求表现为包含恶意 SQL 代码或指定值的攻击者进行访问,请选择 Allow 作为默认操作。然后,向保护包(web ACL)添加规则时,请添加标识并阻止要阻止的特定请求的规则。在此操作中,您可以在请求中插入自定义标头,然后再将其转发到受保护的资源。
-
Block:如果要阻止大多数准用户访问您的网站,但是允许其请求源自指定 IP 地址或其请求包含指定值的用户进行访问,请选择 Block 作为默认操作。然后,向保护包(web ACL)添加规则时,请添加标识并允许要允许的特定请求的规则。默认情况下,对于 Block 操作,AWS 资源以 HTTP
403 (Forbidden)状态代码进行响应,但您也可以自定义响应。
有关自定义请求和响应的信息,请参阅 AWS WAF 中的自定义 web 请求和响应。
您自己的规则和规则组的配置部分取决于您是允许还是阻止大多数 web 请求。例如,如果您希望允许大多数请求,应将保护包(web ACL)默认操作设置为 Allow,然后添加标识要阻止的 web 请求的规则,例如:
-
源自进行数量不合理的请求的 IP 地址的请求
-
源自您不在其中开展业务或是频繁攻击源的国家/地区的请求
-
在
User-agent标头中包含伪造值的请求 -
表现为包含恶意 SQL 代码的请求
托管规则组规则通常使用 Block 操作,但并非所有规则都使用该操作。例如,某些用于机器人控制功能的规则使用 CAPTCHA 和 Challenge 操作设置。有关托管规则组的信息,请参阅在 AWS WAF 使用托管规则组。
