在 中設定保護 AWS WAF - AWS WAFAWS Firewall Manager、 AWS Shield Advanced和 AWS Shield 網路安全主管

推出 的新主控台體驗 AWS WAF

您現在可以使用更新後的體驗,在主控台的任何位置存取 AWS WAF 功能。如需詳細資訊,請參閱使用更新的主控台體驗

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

在 中設定保護 AWS WAF

此頁面說明什麼是保護套件和 Web 存取控制清單 (Web ACLs),以及它們的運作方式。

保護套件或 Web ACL 基本上執行相同的函數。兩者都可讓您精細控制受保護資源回應的所有 HTTP(S) Web 請求。您可以保護 Amazon CloudFront、Amazon API Gateway、Application Load Balancer AWS AppSync、Amazon Cognito AWS App Runner AWS Amplify和 AWS Verified Access 資源。您可以在新的主控台體驗中使用保護套件,並在標準主控台中使用 Web ACLs。如需新主控台體驗的詳細資訊,請參閱 使用更新的主控台體驗

您可以使用如下的準則來允許或封鎖請求:

  • 請求的 IP 地址來源

  • 請求的來源國家/地區

  • 字串比對或規則運算式 (regex) 在請求的一部分比對

  • 請求的特定部分的大小

  • 偵測惡意 SQL 程式碼或指令碼

您也可以測試這些條件的任何組合。您可以封鎖或計數不僅符合指定條件的 Web 請求,也可以在一分鐘內超過指定的請求數量。您可以使用邏輯運算子結合條件。您也可以針對請求執行 CAPTCHA 拼圖和靜音用戶端工作階段挑戰。

您在 AWS WAF 規則陳述式中提供相符條件和要對相符項目採取的動作。您可以直接在保護套件或 Web ACL 內,以及您在保護套件或 Web ACL 中使用的可重複使用規則群組中定義規則陳述式。如需選項的完整清單,請參閱 在 中使用規則陳述式 AWS WAF在 中使用規則動作 AWS WAF

當您建立保護套件或 Web ACL 時,您可以指定要使用的 資源類型。如需相關資訊,請參閱在 中建立保護套件或 Web ACL AWS WAF。定義保護套件或 Web ACL 之後,您可以將其與您的資源建立關聯,以開始為它們提供保護。如需詳細資訊,請參閱將保護與 AWS 資源建立關聯或取消關聯

注意

在某些情況下, AWS WAF 可能會遇到內部錯誤,延遲回應有關是否允許或封鎖請求的相關聯 AWS 資源。在這些情況下,CloudFront 通常會允許請求或提供內容,而區域服務通常會拒絕請求且不提供內容。

生產流量風險

在保護套件或 Web ACL 中部署生產流量的變更之前,請先在預備或測試環境中進行測試和調校,直到您對流量的潛在影響感到滿意為止。然後,使用生產流量在計數模式中測試和調整更新的規則,然後再啟用它們。如需準則,請參閱測試和調校您的 AWS WAF 保護

注意

在保護套件或 Web ACL 中使用超過 1,500 WCUs 會產生超出基本保護套件或 Web ACL 價格的成本。如需詳細資訊,請參閱 中的 Web ACL 容量單位 WCUs) AWS WAFAWS WAF 定價

更新期間的暫時性不一致

當您建立或變更保護套件或 Web ACL 或其他 AWS WAF 資源時,變更會花費少量的時間傳播到儲存資源的所有區域。傳播時間可以是幾秒鐘到幾分鐘。

以下是您在變更傳播期間可能注意到的暫時不一致的範例:

  • 建立保護套件或 Web ACL 之後,如果您嘗試將保護套件或 Web ACL 與資源建立關聯,您可能會收到例外狀況,指出保護套件或 Web ACL 無法使用。

  • 將規則群組新增至保護套件或 Web ACL 之後,新的規則群組規則可能會在使用保護套件或 Web ACL 的某個區域中生效,而不會在另一個區域中生效。

  • 變更規則動作設定後,您可能會在某些地方看到舊動作,在其他地方看到新動作。

  • 將 IP 地址新增至封鎖規則中使用的 IP 集後,新的地址可能會在某個區域中遭到封鎖,同時仍允許在另一個區域中封鎖。

主題