**引入全新的主机体验 AWS WAF** 现在,您可以使用更新的体验访问控制台中任意位置的 AWS WAF 功能。有关更多详细信息,请参阅[使用控制台](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html)。 本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 创建和配置 Web 访问控制列表(Web ACL) **警告** AWS WAF Classic 正在经历一个有计划的 end-of-life流程。有关您所在地区的里程碑和日期,请参阅您的 AWS Health 控制面板。 **注意** 这是 **AWS WAF Classic** 文档。只有在 2019 年 11 月 AWS WAF 之前创建了诸如规则和 Web ACLs 之类的 AWS WAF 资源,并且尚未将其迁移到最新版本时,才应使用此版本。要迁移您的网站 ACLs,请参阅[将您的 AWS WAF 经典资源迁移到 AWS WAF](waf-migrating-from-classic.md)。 **有关的最新版本 AWS WAF,**请参阅[AWS WAF](waf-chapter.md)。 通过网络访问控制列表 (Web ACL),您可以精细控制您的 Amazon API Gateway API、亚马逊 CloudFront 分发或应用程序负载均衡器响应的网络请求。您可以允许或阻止以下类型的请求: + 源自某个 IP 地址或 IP 地址范围 + 源自一个特定国家/地区或多个国家/地区 + 请求的特定部分中包含指定字符串或与正则表达式(regex)模式匹配 + 超过指定长度 + 似乎包含恶意 SQL 代码(称为 SQL 注入) + 似乎包含恶意脚本(称为跨站点脚本) 您还可以对这些规则的任意组合进行测试,或阻止、统计不仅满足指定条件,还在任何 5 分钟周期内超过指定请求数的 web 请求。 要选择希望允许或阻止访问您的内容的请求,请执行以下任务: 1. 为与您指定的任何条件都不匹配的 web 请求选择默认操作(允许或阻止)。有关更多信息,请参阅 [确定 Web ACL 的默认操作](classic-web-acl-default-action.md)。 1. 指定要用于允许或阻止请求的条件: + 要基于请求是否表现为包含恶意脚本允许或阻止请求,请创建跨站点脚本匹配条件。有关更多信息,请参阅 [使用跨站点脚本匹配条件](classic-web-acl-xss-conditions.md)。 + 要基于请求源自的 IP 地址允许或阻止请求,请创建 IP 匹配条件。有关更多信息,请参阅 [使用 IP 匹配条件](classic-web-acl-ip-conditions.md)。 + 要基于请求源自的国家/地区允许或阻止请求,请创建地理匹配条件。有关更多信息,请参阅 [使用地理匹配条件](classic-web-acl-geo-conditions.md)。 + 要基于请求是否超过指定长度允许或阻止请求,请创建大小约束条件。有关更多信息,请参阅 [使用大小约束条件](classic-web-acl-size-conditions.md)。 + 要基于请求是否表现为包含恶意 SQL 代码允许或阻止请求,请创建 SQL 注入匹配条件。有关更多信息,请参阅 [使用 SQL 注入匹配条件](classic-web-acl-sql-conditions.md)。 + 要基于出现在请求中的字符串允许或阻止请求,请创建字符串匹配条件。有关更多信息,请参阅 [使用字符串匹配条件](classic-web-acl-string-conditions.md)。 + 要基于出现在请求中的正则表达式模式允许或阻止请求,请创建正则表达式匹配条件。有关更多信息,请参阅 [使用正则表达式匹配条件](classic-web-acl-regex-conditions.md)。 1. 将条件添加到一个或多个规则。如果您向同一规则添加多个条件,则 Web 请求必须符合所有条件,Cl AWS WAF assic 才能根据该规则允许或阻止请求。有关更多信息,请参阅 [使用规则](classic-web-acl-rules.md)。(可选)您可以使用基于速率的规则而不是常规规则来限制来自满足条件的任何 IP 地址的请求数。 1. 将规则添加到 web ACL。对于每条规则,指定您希望 AWS WAF Classic 根据您添加到规则中的条件允许还是阻止请求。如果您向 Web ACL 添加多个规则,则 Cl AWS WAF assic 会按照规则在 Web ACL 中列出的顺序对这些规则进行评估。有关更多信息,请参阅 [使用网络 ACLs](classic-web-acl-working-with.md)。 当您添加新规则或更新现有规则时,这些更改最多可能需要一分钟才能在您的网站和资源中显示 ACLs 并生效。 **Topics** + [使用条件](classic-web-acl-create-condition.md) + [使用规则](classic-web-acl-rules.md) + [使用网络 ACLs](classic-web-acl-working-with.md)