本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
如何 AWS WAF 處理 Web ACL 中的規則和規則群組動作
設定規則和規則群組時,您可以選擇要如 AWS WAF 何處理相符的 Web 要求:
-
Allow和Block正在終止動作 — Allow 並且Block動作會停止相符 Web 請求上對 Web ACL 的所有其他處理。如果 Web ACL 中的規則找到與請求相符的項目,而規則動作為Allow或Block,則該相符項目會決定 Web ACL 的 Web 要求的最終處理方式。 AWS WAF 不會處理 Web ACL 中位於相符項目之後的任何其他規則。對於您直接新增至 Web ACL 的規則和在規則群組內新增的規則,正是如此。透過此Block動作,受保護的資源不會接收或處理 Web 要求。
-
Count為非終止動作 — 當具有動作的規則符合要求時,會 AWS WAF 計算要求,然後繼續處理 Web ACL 規則集中後續的規則。Count
-
CAPTCHA且Challenge可以是非終止或終止動作 — 當具有這些動作之一的規則符合要求時,會 AWS WAF 檢查其 Token 狀態。如果要求具有有效權杖,則會 AWS WAF 將相符項目視為與相Count符項目類似,然後繼續處理 Web ACL 規則集中遵循的規則。如果請求沒有有效的令牌,則 AWS WAF 終止評估並向客戶端發送 CAPTCHA 難題或無聲後台客戶端會話挑戰以解決。
如果規則評估不會產生任何終止動作,則會將 Web ACL 預設動作 AWS WAF 套用至要求。如需相關資訊,請參閱網頁 ACL 預設動作。
在 Web ACL 中,您可以覆寫規則群組內規則的動作設定,也可以覆寫規則群組傳回的動作。如需相關資訊,請參閱規則群組的動作覆寫選項。
動作與優先權設定之間的互動
AWS WAF 套用至 Web 要求的動作會受 Web ACL 中規則的數字優先順序設定影響。例如,假設您的 Web ACL 具有Allow動作和數字優先順序為 50 的規則,另一個具有Count動作且數字優先順序為 100 的規則。 AWS WAF 從最低設定開始,依其優先順序來評估 Web ACL 中的規則,因此它會在計數規則之前評估允許規則。符合這兩個規則的 Web 要求會先符合 allow 規則。由於Allow是終止動作,因此 AWS WAF 會在此比對中停止評估,並且不會根據計數規則評估要求。
如果您只想在計數規則量度中包含與 allow 規則不相符的要求,則規則的優先順序設定就可以使用。
另一方面,如果您想要計數規則中的計數量度,即使是符合 allow 規則的請求,則需要將計數規則指定為低於 allow 規則的數字優先順序設定,以便先執行。
如需優先順序設定的更多資訊,請參閱Web ACL 中規則和規則群組的處理順序。