本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Web ACL 中规则和规则组操作的基本处理
在配置规则和规则组时,您可以选择所需方式Amazon WAF要处理匹配的 Web 请求:
-
Allow和Block正在终止行动— 允许和阻止操作会停止对匹配的 Web 请求进行 Web ACL 的所有其他处理。如果 Web ACL 中的规则找到了请求的匹配项,并且规则操作为 “允许” 或 “阻止”,则该匹配决定了 Web ACL 的 Web 请求的最终处置。Amazon WAF不处理 Web ACL 中匹配规则之后出现的任何其他规则。对于直接添加到 Web ACL 的规则和添加的规则组中的规则,此原理同样适用。使用封禁操作时,受保护的资源不会接收或处理 Web 请求。
-
Count是一个不终止的动作— 当具有计数操作的规则与请求匹配时,Amazon WAF计算请求数,然后继续处理 Web ACL 规则集中的后续规则。如果唯一匹配的规则设置了计数操作,Amazon WAF 会应用 Web ACL 默认操作设置。
-
CAPTCHA可以是非终止动作或终止动作— 当规则带有CAPTCHA操作与请求匹配,Amazon WAF检查它的CAPTCHA状态。如果请求有效CAPTCHA令牌Amazon WAF继续处理 Web ACL 规则集中的后续规则。如果请求没有有效的令牌,Amazon WAF终止评估并运行CAPTCHA来电者必须解决的挑战难题。
的操作Amazon WAF应用于 Web 请求受到 Web ACL 中规则的数字优先级设置的影响。例如,假设你的 Web ACL 有一条规则有Allow操作和数字优先级为 50 以及另一条规则有Count操作和数字优先级为 100。Amazon WAF将 Web ACL 中的规则从最低设置开始,按优先级顺序进行评估,因此它将评估Allow先于规则Count规则。如果您的网络请求与两个规则都匹配,则它将匹配Allow规则第一。由于Allow是一项终止行动,Amazon WAF会在这场比赛中停止评估并且不会再次评估请求Count规则。如果你想从中统计指标Count规则,即使是匹配的请求也是如此Allow规则,你需要给Countrule a 的数字优先级设置低于Allow规则,以便它先运行。有关优先级设置的更多信息,请参阅Web ACL 中规则和规则组的处理顺序.
在您的 Web ACL 中,您可以覆盖规则组内规则的操作设置,也可以覆盖规则组返回的操作。有关信息,请参阅覆盖规则组或其规则的操作。