**引入全新的主机体验 AWS WAF**

现在，您可以使用更新的体验访问控制台中任意位置的 AWS WAF 功能。有关更多详细信息，请参阅[使用控制台](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html)。

本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 在中设置保护包 (Web ACL) 的默认操作 AWS WAF
<a name="web-acl-default-action"></a>

本节介绍保护包（web ACL）默认操作的工作方式。

当您创建和配置保护包（web ACL）时，必须设置保护包（web ACL）的默认操作。 AWS WAF 将此操作应用于通过所有保护包（web ACL）规则评估但未应用终止操作的任何 web 请求。终止操作会停止对请求的保护包（web ACL）评估，要么允许请求继续访问受保护的应用程序，要么将其阻止。有关规则操作的信息，请参阅 [在中使用规则操作 AWS WAF](waf-rule-action.md)。

保护包（web ACL）默认操作必须确定 web 请求的最终处置，因此这是一个终止操作：
+ **Allow**：如果要允许大多数用户访问您的网站，但是阻止其请求源自指定 IP 地址或其请求表现为包含恶意 SQL 代码或指定值的攻击者进行访问，请选择 Allow 作为默认操作。然后，向保护包（web ACL）添加规则时，请添加标识并阻止要阻止的特定请求的规则。在此操作中，您可以在请求中插入自定义标头，然后再将其转发到受保护的资源。
+ **Block**：如果要阻止大多数准用户访问您的网站，但是允许其请求源自指定 IP 地址或其请求包含指定值的用户进行访问，请选择 Block 作为默认操作。然后，向保护包（web ACL）添加规则时，请添加标识并允许要允许的特定请求的规则。默认情况下，对于Block操作， AWS 资源以 HTTP `403 (Forbidden)` 状态代码进行响应，但您可以自定义响应。

有关自定义请求和响应的信息，请参阅 [自定义的 Web 请求和响应 AWS WAF](waf-custom-request-response.md)。

您自己的规则和规则组的配置部分取决于您是允许还是阻止大多数 web 请求。例如，如果您希望*允许*大多数请求，应将保护包（web ACL）默认操作设置为 Allow，然后添加标识要*阻止*的 web 请求的规则，例如：
+ 源自进行数量不合理的请求的 IP 地址的请求
+ 源自您不在其中开展业务或是频繁攻击源的国家/地区的请求
+ 在 `User-agent` 标头中包含伪造值的请求
+ 表现为包含恶意 SQL 代码的请求

托管规则组规则通常使用 Block 操作，但并非所有规则都使用该操作。例如，某些用于机器人控制功能的规则使用 CAPTCHA 和 Challenge 操作设置。有关托管规则组的信息，请参阅 [在中使用托管规则组 AWS WAF](waf-managed-rule-groups.md)。