选择您的 Cookie 首选项

我们使用必要 Cookie 和类似工具提供我们的网站和服务。我们使用性能 Cookie 收集匿名统计数据,以便我们可以了解客户如何使用我们的网站并进行改进。必要 Cookie 无法停用,但您可以单击“自定义”或“拒绝”来拒绝性能 Cookie。

如果您同意,AWS 和经批准的第三方还将使用 Cookie 提供有用的网站功能、记住您的首选项并显示相关内容,包括相关广告。要接受或拒绝所有非必要 Cookie,请单击“接受”或“拒绝”。要做出更详细的选择,请单击“自定义”。

ACLs 在 web 中使用 AWS WAF

聚焦模式
ACLs 在 web 中使用 AWS WAF - AWS WAFAWS Firewall Manager、和 AWS Shield Advanced

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

本页介绍了什么是 Web 访问控制列表 (Web ACL) 及其工作方式。

Web ACL 可让您对受保护资源响应的所有 HTTP(S) Web 请求进行精细控制。你可以保护亚马逊 CloudFront、亚马逊 API Gateway、Application Load Balancer AWS AppSync、、、 AWS App Runner AWS Amplify、Amazon Cognito 和 AWS 已验证访问资源。

您可以使用如下条件来允许或阻止请求:

  • 请求的 IP 地址源

  • 请求的源国家/地区

  • 部分请求中的字符串匹配或正则表达式匹配

  • 请求特定部分的大小

  • 检测恶意 SQL 代码或脚本

您还可以针对这些条件的任何组合进行测试。您可以阻止或统计不仅满足指定条件,还在一分钟内超过指定请求数的 Web 请求。您可以使用逻辑运算符组合条件。您还可以根据请求运行验证码拼图和静默客户端会话质询。

您在 AWS WAF 规则语句中提供匹配条件和对匹配项采取的操作。您可以直接在 Web ACL 中定义规则语句,也可以在可重复使用的规则组(您在 Web ACL 中使用的)中进行定义。有关选项的完整列表,请参阅 在中使用规则语句 AWS WAF在中使用规则操作 AWS WAF

创建 Web ACL 时,您可以指定要使用它的资源类型。有关信息,请参阅在中创建 Web ACL AWS WAF。定义 Web ACL 后,您可以将其与资源相关联,以开始为资源提供保护。有关更多信息,请参阅 将 Web ACL 与资源关联或取消关联 AWS

注意

在某些情况下, AWS WAF 可能会遇到内部错误,从而延迟对相关 AWS 资源的响应,以决定是允许还是阻止请求。在这些情况下, CloudFront 通常会允许请求或提供内容,而区域服务通常会拒绝请求并且不提供内容。

生产流量风险

在 Web ACL 中为生产流量部署更改之前,请在暂存或测试环境中对其进行测试和调整,直到您对流量可能产生的影响感到满意。然后,在启用之前,在计数模式下使用生产流量对更新后的规则进行测试和调整。有关指南,请参阅测试和调整您的 AWS WAF 保护措施

注意

在 Web ACL WCUs 中使用超过 1,500 的容量会产生超出基本网络 ACL 价格的成本。有关更多信息,请参阅 Web ACL 容量单位 (WCUs) AWS WAFAWS WAF 定价

更新期间暂时出现不一致

创建或更改 Web ACL 或其他 AWS WAF 资源时,更改需要很少的时间才能传播到存储资源的所有区域。传播时间可以从几秒钟到几分钟不等。

以下示例是更改传播过程中可能暂时出现的不一致:

  • 创建 Web ACL 后,如果您尝试将其与资源关联,则可能会出现异常,指示 Web ACL 不可用。

  • 将规则组添加到 Web ACL 后,新的规则组规则可能在某个使用 Web ACL 的区域生效,而在另一个区域不生效。

  • 更改规则操作设置后,可能会在某些位置显示旧操作而在另一些位置显示新操作。

  • 将 IP 地址添加到阻止规则中使用的 IP 集后,新地址可能会在一个区域中被阻止,而在另一个区域中仍然允许。

隐私网站条款Cookie 首选项
© 2025, Amazon Web Services, Inc. 或其附属公司。保留所有权利。