**引入全新的主机体验 AWS WAF**

现在，您可以使用更新的体验访问控制台中任意位置的 AWS WAF 功能。有关更多详细信息，请参阅[使用控制台](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html)。

本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 确定 Web ACL 的默认操作
<a name="classic-web-acl-default-action"></a>

**警告**  
AWS WAF Classic 正在经历一个有计划的 end-of-life流程。有关您所在地区的里程碑和日期，请参阅您的 AWS Health 控制面板。

**注意**  
这是 **AWS WAF Classic** 文档。只有在 2019 年 11 月 AWS WAF 之前创建了诸如规则和 Web ACLs 之类的 AWS WAF 资源，并且尚未将其迁移到最新版本时，才应使用此版本。要迁移您的网站 ACLs，请参阅[将您的 AWS WAF 经典资源迁移到 AWS WAF](waf-migrating-from-classic.md)。  
**有关的最新版本 AWS WAF，**请参阅[AWS WAF](waf-chapter.md)。

创建和配置 Web ACL 时，必须做出的第一个也是最重要的决定是 C AWS WAF lassic 的默认操作是允许 Web 请求还是阻止 Web 请求。默认操作指示 AWS WAF Classic 在检查 Web 请求中是否符合您指定的所有条件后要执行的操作，而 Web 请求与这些条件都不匹配：
+ **允许**：如果要允许大多数用户访问您的网站，但是阻止其请求源自指定 IP 地址或其请求表现为包含恶意 SQL 代码或指定值的攻击者进行访问，请选择**允许**作为默认操作。
+ **阻止**：如果要阻止大多数准用户访问您的网站，但是允许其请求源自指定 IP 地址或其请求包含指定值的用户进行访问，请选择**阻止**作为默认操作。

在确定默认操作之后制定的许多决策取决于您是要允许还是阻止大多数 web 请求。例如，如果要*允许*大多数请求，则创建的匹配条件通常应指定要*阻止*的 web 请求，如以下这些条件：
+ 源自进行数量不合理的请求的 IP 地址的请求
+ 源自您不在其中开展业务或是频繁攻击源的国家/地区的请求
+ 在 **User-Agent** 标头中包含伪造值的请求
+ 表现为包含恶意 SQL 代码的请求