Amazon WAF 的工作原理 - Amazon WAF、Amazon Firewall Manager 和 Amazon Shield Advanced
Amazon WAF 组件Amazon WAF Web ACL 容量单位 (WCU) 数你可以用它来保护的资源Amazon WAF
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon WAF 的工作原理

你用Amazon WAF控制您的受保护资源如何响应 HTTP (S) Web 请求。为此,您可以定义 Web 访问控制列表 (ACL),然后将其与要保护的一个或多个 Web 应用程序资源关联起来。

Amazon WAF 组件

以下是的核心组件Amazon WAF:

  • Web ACL— 您可以使用 Web 访问控制列表 (ACL) 保护一组Amazon资源。您可以创建 Web ACL 并通过添加规则来定义其保护策略。规则定义检查 Web 请求的标准,并指定对符合其标准的请求采取的操作。您还可以为 Web ACL 设置默认操作,该操作指示是阻止还是允许通过规则尚未阻止或允许的任何请求。

  • Rule— 每条规则都包含定义检查标准的声明,以及 Web 请求符合标准时要采取的操作。当 Web 请求满足条件时,这是一个匹配。您可以配置规则来阻止匹配的请求、允许它们通过、计数请求或运行CAPTCHA对他们的控制。

  • 规则组— 您可以单独使用规则,也可以在可重复使用的规则组中使用规则。Amazon托管式规则Amazon Web Services Marketplace卖家提供托管规则组供您使用。您还可以定义自己的规则组。

Amazon WAF Web ACL 容量单位 (WCU) 数

Amazon WAF使用 Web ACL 容量单位 (WCU) 计算和控制运行规则、规则组和 Web ACL 所需的操作资源。Amazon WAF在配置规则组和 Web ACL 时强制执行 WCU 限制。WCU 不会影响方式Amazon WAF检查网络流量。

Amazon WAF以不同的方式计算每种规则类型的容量,以反映每个规则的相对成本。与使用更多处理能力的更复杂规则相比,运行成本很低的简单规则使用更少的 WCU。例如,大小限制规则语句使用的 WCU 少于检查正则表达式模式集的语句。

Amazon WAF 管理规则、规则组和 Web ACL 的容量:

  • 规则容量–Amazon WAF在您创建或更新规则时计算规则容量。有关规则容量要求的一些基本准则,请参阅 Amazon WAF 规则语句上的各种规则语句的列表。您还可以通过创建 Web ACL 或规则组并向其添加单个规则,了解 Amazon WAF 控制台中各种规则类型所需的容量。控制台显示您添加规则时使用的容量单位。

  • 规则组容量–Amazon WAF要求在创建时为每个规则组分配不可变的容量。对于通过 Amazon WAF 创建的托管规则组和规则组,事实就是如此。修改规则组时,所做更改必须使规则组的 WCU 保持在其容量范围内。这可确保使用该规则组的 Web ACL 保持在其最大容量内。

  • Web ACL 容量— Web ACL 的最大容量为 1,500,这对于大多数用例来说已经足够了。如果您需要更多容量,请联系Amazon Web Services Support中心.

你可以用它来保护的资源Amazon WAF

您可以使用Amazon WAFWeb ACL 用于保护全球或区域资源类型。要实现此目的,您可以将 Web ACL 与您要保护的资源关联起来。

亚马逊 CloudFront 分布

你可以关联一个Amazon WAFWeb ACL 与集数 CloudFront 使用Amazon WAF控制台或 API。您还可以将 WebACL 与 CloudFront 当您创建或更新分配本身时进行分配。要在中配置关联Amazon CloudFormation,您必须使用 CloudFront 分配配置。有关亚马逊的信息 CloudFront,请参阅使用Amazon WAF控制对您的内容的访问亚马逊 CloudFront 开发人员指南.

Amazon WAF在全球范围内可用 CloudFront 分配,但必须使用美国东部区域(弗吉尼亚北部)来创建 Web ACL 和 Web ACL 中使用的任何资源,例如规则组、IP 集和正则表达式模式集。有些接口提供 “全球” 区域选择(CloudFront)”。选择此选项等同于选择 Region East (N. Virginia)。us-east-1“。

区域资源

您可以保护所有地区的区域资源Amazon WAF可用。您可以在以下位置查看列表Amazon WAF终端节点和配额Amazon Web Services 一般参考.

您可以使用Amazon WAF保护以下区域资源类型:

  • Amazon API Gateway

  • Application Load Balancer

  • Amazon AppSyncGraphQL

  • Amazon Cognito 用户池

您只能将 Web ACL 关联到其中的Application Load BalancerAmazon Web Services 区域. 例如,您无法将 Web ACL 关联到开启的Application Load BalancerAmazon Outposts.

对多个资源关联的限制

您可以将一个 Web ACL 与一个或多个 Web ACL 相关联Amazon资源,但有以下限制:

  • 您只能将每个 Amazon 资源与一个 Web ACL 关联。Web ACL 与之间的关系Amazon资源是 one-to-many.

  • 您可以将 Web ACL 与一个或多个 Web ACL 相关联 CloudFront 分配。您无法关联已关联的 Web ACL CloudFront 与其他任何人一起分发Amazon资源类型。