本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
網頁 ACL 預設動作
當您建立和設定 Web ACL 時,必須設定 Web ACL 預設動作。 AWS WAF 將此動作套用至任何透過 Web ACL 規則評估的 Web 請求,而不套用終止動作。終止動作會停止要求的 Web ACL 評估,並允許該要求繼續執行受保護的應用程式或封鎖該要求。如需有關規則動作的資訊,請參閱規則動作。
Web ACL 預設動作必須決定 Web 要求的最終處理方式,因此它是終止動作:
-
Allow— 如果您想要允許大多數使用者存取您的網站,但想要封鎖對其請求來自指定 IP 位址的攻擊者的存取,或其要求似乎包含惡意 SQL 程式碼或指定值的攻擊者,請選擇Allow預設動作。然後,當您將規則新增至 Web ACL 時,請新增可識別並封鎖您要封鎖的特定請求的規則。透過此動作,您可以在要求中插入自訂標頭,然後再將其轉寄至受保護的資源。
-
Block— 如果您想要防止大多數使用者存取您的網站,但您想要允許存取來自指定 IP 位址的要求,或其要求包含指定值的使用者,請選擇Block預設動作。然後,當您將規則新增至 Web ACL 時,請新增可識別並允許您要允許的特定請求的規則。根據預設,對於Block動作,資 AWS 源會使用 HTTP
403 (Forbidden)狀態碼回應,但您可以自訂回應。
如需有關自訂請求和回應的資訊,請參閱定制的 Web 請求和響應 AWS WAF。
您自己的規則和規則群組的組態部分取決於您要允許還是封鎖多數的 Web 請求。例如,如果您想要允許大部分的要求,您可以將 Web ACL 預設動作設定為Allow,然後新增規則來識別您要封鎖的 Web 要求,如下所示:
-
來自發出異常數量 IP 地址的請求
-
來自您不常交涉、或時常受到攻擊國家/地區的請求
-
User-agent標題中包含虛假值的請求 -
似乎含有惡意 SQL 程式碼的請求
受管規則群組規則通常會使用Block動作,但並非所有規則都會使用。例如,用於機器人控制的某些規則會使用CAPTCHA和Challenge動作設定。如需受管規則群組的相關資訊,請參閱 受管規則群組。
