地理匹配规则语句 - Amazon WAF、Amazon Firewall Manager 和 Amazon Shield Advanced
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

地理匹配规则语句

要允许或阻止基于源向该 Web 发送的请求,请创建一个或多个地理或地理匹配语句。

注意

如果您将 CloudFront 地理限制功能可阻止某个国家访问您的内容,来自该国家/地区的任何请求都将被屏蔽且不会转发到Amazon WAF. 因此,如果您想根据地理位置和其他条件允许或阻止任何请求Amazon WAF标准,您应该使用 CloudFront 地理限制功能。您可以改为使用Amazon WAF地理匹配声明。

您可以使用它来阻止来自特定国家/地区的访问您的网站,或者仅允许来自特定国家/地区的访问。如果您想允许某些网络请求并根据来源国屏蔽其他网络请求,请为要允许的国家添加地理匹配声明,并为要屏蔽的国家添加第二条地理匹配声明。

你可以将地理匹配语句与其他语句结合起来Amazon WAF语句来创建复杂的筛选条件。例如,要屏蔽某些国家/地区,但仍允许来自这些国家/地区的一组特定 IP 地址的请求,您可以创建一个规则,将操作设置为Block以及以下嵌套语句:

  • AND statement

    • 地理匹配声明列出了您要屏蔽的国家

    • NOT statement

      • IP set 语句,用于指定要允许通过的 IP 地址

再举一个例子,如果你想为特定国家/地区的用户设置资源的优先级,你可以为每个地理匹配声明创建不同的基于费率的规则声明。为首选国家/地区中的用户设置较高的速率限制,并为所有其他用户设置较低的速率限制。

Amazon WAF通过解析 Web 请求来源的 IP 地址来确定来源国。如果你想改用备用标头中的 IP 地址,比如X-Forwarded-For,启用转发的 IP 配置。

嵌套的— 你可以嵌套这个语句类型。

WCU— 1 WCU。

此语句使用以下设置:

  • 地理匹配— 用于比较地理匹配的国家/地区代码数组。它们必须是两个字符的国家/地区代码,例如[ "US", "CN" ],来自 ISO 3166 国际标准的 alpha-2 国家/地区 ISO 代码。

    每个代码必须是一两个字符长。

  • (可选)转发的 IP 配置— 默认情况下,Amazon WAF使用 Web 请求源中的 IP 地址来确定来源国。或者,您可以将规则配置为在 HTTP 标头中使用转发的 IP,例如X-Forwarded-For请改用。Amazon WAF使用标头中的第一个 IP 地址。使用此配置,您还可以指定回退行为以应用于指定标头中具有错误的 IP 地址的 Web 请求。后备行为将请求的匹配结果设置为匹配或不匹配。有关更多信息,请参阅 转发的 IP 地址

此语句的查找位置

  • 规则生成器控制台上 — For请求选项,选择起源于一个国家.

  • API 语句GeoMatchStatement