Menggunakan web ACLs di AWS WAF - AWS WAF, AWS Firewall Manager, dan AWS Shield Advanced

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menggunakan web ACLs di AWS WAF

Halaman ini menjelaskan apa daftar kontrol akses web (webACL) dan cara kerjanya.

Web ACL memberi Anda kontrol halus atas semua permintaan web HTTP (S) yang ditanggapi oleh sumber daya terlindungi Anda. Anda dapat melindungi Amazon CloudFront, Amazon API Gateway, Application Load Balancer, AWS AppSync, Amazon Cognito, AWS App Runner, dan AWS Sumber daya Akses Terverifikasi.

Anda dapat menggunakan kriteria seperti berikut ini untuk mengizinkan atau memblokir permintaan:

  • Alamat IP asal permintaan

  • Negara asal permintaan

  • Pencocokan string atau ekspresi reguler (regex) cocok di bagian permintaan

  • Ukuran bagian tertentu dari permintaan

  • Deteksi SQL kode berbahaya atau scripting

Anda juga dapat menguji kombinasi dari kondisi ini. Anda dapat memblokir atau menghitung permintaan web yang tidak hanya memenuhi kondisi yang ditentukan, tetapi juga melebihi jumlah permintaan tertentu dalam satu menit. Anda dapat menggabungkan kondisi menggunakan operator logis. Anda juga dapat menjalankan CAPTCHA teka-teki dan tantangan sesi klien diam terhadap permintaan.

Anda memberikan kriteria pencocokan Anda dan tindakan untuk mengambil pertandingan di AWS WAF pernyataan aturan. Anda dapat menentukan pernyataan aturan langsung di dalam web Anda ACL dan dalam grup aturan yang dapat digunakan kembali yang Anda gunakan di web ACL Anda. Untuk daftar lengkap opsi, lihat Menggunakan pernyataan aturan di AWS WAF danMenggunakan tindakan aturan di AWS WAF.

Saat Anda membuat webACL, Anda menentukan jenis sumber daya yang ingin Anda gunakan. Untuk informasi, lihat Membuat web ACL di AWS WAF. Setelah Anda mendefinisikan webACL, Anda dapat mengaitkannya dengan sumber daya Anda untuk mulai memberikan perlindungan bagi mereka. Untuk informasi selengkapnya, lihat Mengaitkan atau memisahkan web dengan ACL AWS sumber daya.

catatan

Pada beberapa kesempatan, AWS WAF mungkin mengalami kesalahan internal yang menunda respons terkait AWS sumber daya tentang apakah akan mengizinkan atau memblokir permintaan. Pada kesempatan tersebut, CloudFront biasanya mengizinkan permintaan atau menyajikan konten, sedangkan layanan Regional biasanya menolak permintaan dan tidak menyajikan konten.

Risiko lalu lintas produksi

Sebelum Anda menerapkan perubahan di web Anda ACL untuk lalu lintas produksi, uji dan sesuaikan di lingkungan pementasan atau pengujian sampai Anda merasa nyaman dengan dampak potensial terhadap lalu lintas Anda. Kemudian uji dan sesuaikan aturan Anda yang diperbarui dalam mode hitungan dengan lalu lintas produksi Anda sebelum mengaktifkannya. Untuk panduan, lihat Menguji dan menyetel AWS WAF perlindungan.

catatan

Menggunakan lebih dari 1.500 WCUs di web ACL menimbulkan biaya di luar harga web dasar. ACL Untuk informasi selengkapnya, lihat Unit ACL kapasitas web (WCUs) di AWS WAF dan AWS WAF Harga.

Ketidakkonsistenan sementara selama pembaruan

Saat Anda membuat atau mengubah web ACL atau lainnya AWS WAF sumber daya, perubahan membutuhkan sedikit waktu untuk menyebar ke semua area di mana sumber daya disimpan. Waktu propagasi bisa dari beberapa detik hingga beberapa menit.

Berikut ini adalah contoh inkonsistensi sementara yang mungkin Anda perhatikan selama propagasi perubahan:

  • Setelah Anda membuat webACL, jika Anda mencoba mengaitkannya dengan sumber daya, Anda mungkin mendapatkan pengecualian yang menunjukkan bahwa web tidak ACL tersedia.

  • Setelah Anda menambahkan grup aturan ke webACL, aturan grup aturan baru mungkin berlaku di satu area di mana web ACL digunakan dan bukan di area lain.

  • Setelah mengubah setelan tindakan aturan, Anda mungkin melihat tindakan lama di beberapa tempat dan tindakan baru di tempat lain.

  • Setelah Anda menambahkan alamat IP ke set IP yang digunakan dalam aturan pemblokiran, alamat baru mungkin diblokir di satu area sementara masih diizinkan di area lain.

Topik