[解决方案] 构建首个 AWS WAF web ACL 来抵御演变中的威胁

[解决方案] 构建首个 AWS WAF web ACL 来抵御演变中的威胁   # 产品功能分析 ## 新功能/新产品概述本文档详细介绍了AWS WAF（**Web Application Firewall**）的核心功能，即构建首个web访问控制列表（web ACL），以保护应用程序免受不断演变的威胁，如DDoS攻击、Web应用漏洞（如SQL注入和XSS）以及机器人流量。AWS WAF的目标是通过监控Web请求并控制访问来提升应用程序的安全性，适用于托管在**Amazon CloudFront**或**Application Load Balancer**（ALB）的Web应用。背景在于云计算环境中，安全威胁日益复杂，OWASP Top 10等标准突出了常见漏洞的需求。该产品定位于企业级用户，帮助他们在不牺牲性能的情况下实现快速部署和威胁响应。 ## 关键客户价值 - **增强安全防护**：AWS WAF提供开箱即用的托管规则组（如**Amazon IP声誉列表**、**核心规则集（CRS）**和**已知不良输入**），可立即抵御常见威胁，减少恶意流量对业务的影响。例如，通过一键集成CloudFront或ALB，用户能快速建立初始安全态势，避免手动配置带来的延误，与传统防火墙相比，显著降低了部署门槛。 - 在DDoS场景中，结合地理匹配和速率限制规则，能有效限制请求洪流，保护关键URI路径，提升应用可用性。 - **减少运维负担**：使用AWS托管规则组，AWS自动更新规则以应对新威胁，节省了手动维护时间。与竞品相比（如其他云提供商的WAF），其一键集成和日志功能简化了监控和响应过程，但需注意自定义规则以减少假阳性，从而优化用户体验。 - 例如，在Web应用漏洞保护中，添加SQL数据库规则组可阻挡注入攻击，显著降低数据泄露风险。 - **成本优化和可扩展性**：通过规则优先级和行动（如Count或Block），用户能控制评估顺序，降低不必要的处理成本。在Bot缓解场景中，逐步升级Bot Control规则从Count到Challenge或Block，帮助控制流量高峰，确保资源利用率高效，但在大规模应用时，可能面临规则冲突增加管理复杂度的局限性。 ## 关键技术洞察 - **技术独特性**：AWS WAF基于**托管规则组**和自定义规则（如IP允许/阻塞列表、速率限制规则）实现事件驱动的安全机制，例如，通过**EventBridge**类似的设计监控请求模式。核心原理涉及规则评估顺序（从最低优先级开始）和行动类型（终止行动如Allow/Block，非终止行动如Count），这允许精细控制流量处理，避免不必要的计算开销。创新点在于AWS自动更新规则组，利用内部威胁情报（如IP声誉），并支持地理匹配和ML驱动的Bot检测（如Targeted级别），显著提升了对分布式攻击的响应速度。 - 对于性能，该技术通过限制请求速率和使用CAPTCHA减少Bot流量，优化了资源利用率；在安全性上，结合日志和指标监控（如CloudWatch），提供了实时威胁情报，但需注意冷启动问题可能导致初始响应延迟。 - 与传统IaaS安全工具相比，AWS WAF的ML集成（如协调活动检测）提高了准确性，但在大规模组网时，规则优先级不当可能增加误判风险，建议用户通过日志分析（如Amazon Athena查询）持续优化。 - **挑战与解决**：实现中，规则顺序直接影响成本和准确性，文档建议将特定规则置于托管规则前以节省费用；然而，在高并发场景下，非终止行动可能导致额外处理开销，用户需自定义阈值（如速率限制）来平衡安全与性能。   # 构建你的第一个 AWS WAF 网络访问控制列表以防护不断演变的威胁 **原始链接:** [https://aws.amazon.com/blogs/networking-and-content-delivery/building-your-first-aws-waf-web-acl-to-protect-against-evolving-threats/](https://aws.amazon.com/blogs/networking-and-content-delivery/building-your-first-aws-waf-web-acl-to-protect-against-evolving-threats/) **发布时间:** 2025-05-07 **厂商:** AWS **类型:** BLOG --- 应用程序面临各种安全威胁，例如分布式拒绝服务 (DDoS) 攻击、网络应用程序漏洞利用（如 SQL 注入和跨站脚本 (XSS)）、以及机器人流量。在本帖中，为了帮助保护你的应用程序免受这些威胁，我们演示如何在 [AWS WAF](https://aws.amazon.com/waf/) 中构建你的第一个网络访问控制列表 (web ACL)。AWS WAF 是一个网络应用程序防火墙，用于监控网络请求并控制对应用程序的访问。我们将涵盖构建 web ACL 的初始版本，并展示如何演进它以防护网络应用程序免受外部威胁。 ## web ACL 中的初始规则 ### 第 1 步：使用一键式 AWS WAF 集成启用保护要为你的应用程序创建一个初始安全态势，以防护最常见的威胁，我们推荐以下方法，为你的应用程序提供开箱即用的保护。 - 如果你使用 [Amazon CloudFront](https://aws.amazon.com/cloudfront/) 托管应用程序，请使用 [CloudFront 一键式 AWS WAF 集成](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/WAF-one-click.html) 启用保护。 - 如果你使用 [Application Load Balancer](https://aws.amazon.com/elasticloadbalancing/application-load-balancer/) (ALB) 托管应用程序，请使用 [ALB 一键式 AWS WAF 集成](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/application-load-balancers.html#load-balancer-waf) 启用保护。当你为 CloudFront 或 ALB 启用一键式 AWS WAF 集成时，该服务会自动创建一个 web ACL，并附加以下 AWS [托管规则组](https://docs.aws.amazon.com/waf/latest/developerguide/waf-managed-rule-groups.html)，并将其附加到资源。这些托管规则组可防护应用程序免受大多数常见网络威胁，并且适用于大多数网络应用程序。使用 AWS 托管规则组可为你节省实施保护的时间，因为 AWS 会自动更新托管规则组，并在出现新漏洞和威胁时提供规则组的新版本。 - **Amazon IP 声誉列表托管规则组** [Amazon IP 声誉列表规则组](https://docs.aws.amazon.com/waf/latest/developerguide/aws-managed-rule-groups-ip-rep.html#aws-managed-rule-groups-ip-rep-amazon) 包含基于 Amazon 内部威胁情报的规则。这些规则检查与机器人或其他威胁相关的 IP 地址。这有助于缓解机器人流量并降低恶意行为者发现易受攻击应用程序的风险。 - **核心规则集 (CRS) 托管规则组** [CRS 规则组](https://docs.aws.amazon.com/waf/latest/developerguide/aws-managed-rule-groups-baseline.html#aws-managed-rule-groups-baseline-crs) 包含适用于网络应用程序的一般规则。这可防护广泛范围的漏洞利用，包括 OWASP 出版物中描述的一些高风险和常见漏洞，例如 [OWASP Top 10](https://owasp.org/www-project-top-ten/)。 - **已知不良输入托管规则组** [已知不良输入托管规则组](https://docs.aws.amazon.com/waf/latest/developerguide/aws-managed-rule-groups-baseline.html#aws-managed-rule-groups-baseline-known-bad-inputs) 包含规则，用于阻止已知无效的请求模式，这些模式与漏洞利用或发现相关。这有助于降低恶意行为者发现易受攻击应用程序的风险。 ### 第 2 步：添加其他常用 AWS WAF 规则我们推荐你还添加以下适用于大多数网络应用程序的 AWS WAF 规则，这些规则需要根据你的需求进行配置。如果你有可信来源，则添加 IP 允许列表以允许来自可信来源的流量，从而减少误报。你添加 IP 阻止列表以阻止已识别的已知恶意流量，并根据应用程序的预期流量模式添加基于速率的规则，以防护请求洪流。 - **IP 允许列表规则（如果适用）** 此规则提供一种让已知良好流量通过的方法。此规则通常包括数据中心和办公室的可信 IP 范围。你[创建一个 IP 集](https://docs.aws.amazon.com/waf/latest/developerguide/waf-ip-set-managing.html) 以包含可信 IP 范围，然后创建一个[IP 集匹配规则](https://docs.aws.amazon.com/waf/latest/developerguide/waf-rule-statement-type-ipset-match.html) 并将规则操作设置为 **Allow**，以允许来自这些 IP 范围的请求。 - **IP 阻止列表规则** 此规则提供一种阻止已知恶意来源而不进一步处理的方法。此规则通常包括表示来自恶意来源的 IP 范围。你创建一个 IP 集以包含这些 IP 范围，然后创建一个 IP 集匹配规则并将规则操作设置为 **Block**，以阻止来自这些 IP 范围的请求。你从一个空 IP 集开始，然后随着时间更新 IP 集以添加已识别的恶意来源。 - **整体基于速率的规则** [基于速率的规则](https://docs.aws.amazon.com/waf/latest/developerguide/waf-rule-statement-type-rate-based.html) 会统计传入请求，并在超过定义的速率限制阈值时限制请求。此规则可防护资源免受突发请求。你配置基于速率的规则，包括你定义的速率限制阈值和评估窗口，以基于源 IP 地址聚合请求，并将规则操作设置为 **Block**。要了解如何识别基于速率的规则阈值以及创建基于速率的规则的最佳实践，请参考帖子 [AWS WAF 的三个最重要的基于速率的规则](https://aws.amazon.com/blogs/security/three-most-important-aws-waf-rate-based-rules/)。 ### 第 3 步：启用 AWS WAF 日志记录在你的 web ACL 中配置规则后，使用默认的 [Web ACL 流量概览仪表板](https://docs.aws.amazon.com/waf/latest/developerguide/web-acl-dashboards.html)，你可以快速获得 web ACL 评估的流量摘要。我们推荐你还[启用 AWS WAF 日志记录](https://docs.aws.amazon.com/waf/latest/developerguide/logging-management-enable.html)，以获取流量的详细信息。这对威胁情报、强化规则、排查误报以及响应事件非常有用。要了解如何分析 AWS WAF 日志，请参考帖子 [在 Amazon CloudWatch Logs 中分析 AWS WAF 日志](https://aws.amazon.com/blogs/mt/analyzing-aws-waf-logs-in-amazon-cloudwatch-logs/) 和 [如何使用 Amazon Athena 查询分析 AWS WAF 日志](https://aws.amazon.com/blogs/networking-and-content-delivery/how-to-use-amazon-athena-queries-to-analyze-aws-waf-logs-and-provide-the-visibility-needed-for-threat-detection/)。 ## AWS WAF 规则顺序和规则操作在我们从 web ACL 中的这些初始规则演进之前，你必须理解规则顺序和规则操作的概念。 - **规则评估顺序**：AWS WAF 会按从最低数字优先级设置开始的顺序评估规则，直到找到终止评估的匹配项。如果没有匹配规则终止评估，则应用 [web ACL 默认操作](https://docs.aws.amazon.com/waf/latest/developerguide/web-acl-default-action.html)。[规则顺序](https://docs.aws.amazon.com/waf/latest/developerguide/web-acl-processing-order.html) 会显著影响灵活性和成本。你应将更具体的规则置于通用规则之前，以确保准确匹配和执行。你还应考虑将免费的 AWS 托管规则组置于 [智能威胁缓解](https://docs.aws.amazon.com/waf/latest/developerguide/waf-managed-protections.html) 功能之前，以实现成本效率。这是因为当请求匹配带有终止操作的规则时，AWS WAF 会停止处理请求，从而避免进一步的成本，涉及 [AWS WAF 定价](https://aws.amazon.com/waf/pricing/) 时请求被智能威胁缓解规则组评估。 - **终止操作和非终止操作**：规则操作告诉 AWS WAF，当网络请求匹配规则中定义的标准时，该如何处理。 AWS WAF 支持 [五种不同的规则操作](https://docs.aws.amazon.com/waf/latest/developerguide/web-acl-rule-actions.html)：Allow 和 Block 是终止操作，会停止对匹配网络请求的 web ACL 的所有其他处理。Count 是一种非终止操作，意味着在匹配请求后，AWS WAF 会继续处理后续规则。Count 操作通常用于使用 [AWS WAF 指标](https://docs.aws.amazon.com/waf/latest/developerguide/waf-metrics.html) 监控匹配规则的请求，或用于应用 [AWS WAF 标签](https://docs.aws.amazon.com/waf/latest/developerguide/waf-labels.html) 并在 web ACL 评估中稍后评估。[CAPTCHA 和 Challenge](https://docs.aws.amazon.com/waf/latest/developerguide/waf-captcha-and-challenge-actions.html) 是非终止或终止操作，取决于请求是否有有效的 [AWS WAF 令牌](https://docs.aws.amazon.com/waf/latest/developerguide/waf-tokens.html)。 ## 针对你的应用程序进行思考尽管前面提到的初始规则为网络应用程序安全提供了良好的起点，但根据你的应用程序或公司的需求微调 AWS WAF 规则至关重要。每个应用程序都有其独特的特征、功能和潜在攻击载体。考虑到这些因素微调 AWS WAF 规则，可帮助你保护网络应用程序，同时最小化对合法流量和用户体验的影响。在以下三个场景中，我们观察到你的网络应用程序可能面临的威胁，并查看你的 web ACL 可能的样子。 ### 场景 1：DDoS 防护想象一个场景，你开发了一个基于网络的电子商务平台，允许客户浏览产品、将物品添加到购物车并完成购买。过去，你遇到过应用程序上的请求洪流，导致响应时间下降。一个核心需求是保护应用程序免受恶意行为者影响，并在请求洪流期间限制发送到后端服务器的请求数量，特别是对计算资源密集型 URI（如 “/search”）施加更严格的限制。在这个场景中，你的客户仅位于美国。你采用第一节中建议的初始规则，并为你的 web ACL 添加以下规则，并优化优先级： - **将 Amazon IP 声誉列表规则组中的 AWSManagedIPDDoSList 规则操作更新为 Block**：AWSManagedIPDDoSList 规则检查已被识别为主动参与 DDoS 活动的 IP 地址。默认情况下，规则操作为 Count，以降低误报风险。在查看 AWS WAF 指标后，你发现此规则的 CountedRequests 指标很低，并确信此规则不会导致误报。因此，你[覆盖规则操作](https://docs.aws.amazon.com/waf/latest/developerguide/web-acl-rule-group-override-options.html) 为 **Block**。 - **添加地理位置匹配规则以阻止美国以外的流量**：此[地理位置匹配规则](https://docs.aws.amazon.com/waf/latest/developerguide/waf-rule-statement-type-geo-match.html) 根据请求的来源国家阻止请求。你创建此规则以检查非美国来源的请求，并将规则操作设置为 **Block**。 - **为特定 URI 路径添加基于速率的规则**：此规则使用更严格的速率限制保护特定 URI 路径（如 “/search”）。你创建基于速率的规则，其阈值低于初始规则中的整体基于速率的规则，并[限制检查范围](https://docs.aws.amazon.com/waf/latest/developerguide/waf-rule-scope-down-statements.html) 以匹配 URI 路径 “/search”。此外，我们推荐使用 CloudFront 托管你的应用程序，以提高对 DDoS 攻击的弹性。CloudFront 仅接受格式正确的连接，这有助于防止常见的 DDoS 攻击，如 SYN 洪流和 UDP 反射攻击。CloudFront 允许 [默认 AWS WAF 配额](https://docs.aws.amazon.com/waf/latest/developerguide/limits.html) 在每个 web ACL 的最大每秒请求数上远高于区域资源（如 ALB）。有关进一步指导，请参阅 [AWS DDoS 弹性最佳实践](https://docs.aws.amazon.com/whitepapers/latest/aws-best-practices-ddos-resiliency/aws-best-practices-ddos-resiliency.html)。实施这些规则后，你的 web ACL 如下所示： ![图 1: DDoS 防护场景示例规则](https://d2908q01vomqb2.cloudfront.net/5b384ce32d8cdef02bc3a139d4cac0a22bb029e8/2025/05/07/Picture1-2.png) 图 1: DDoS 防护场景示例规则 ### 场景 2：网络应用程序漏洞利用防护想象一个场景，你开发了一个基于网络的人力资源管理系统，使用 SQL 数据库存储和管理员工记录、工资信息和其他敏感数据。在过去几个月，通过分析应用程序日志，你的安全团队已识别出大量匹配 XSS 和 SQL 注入攻击模式的 URI 和请求体请求。你必须实施稳健的安全措施以保护应用程序及其底层数据库。此外，你希望为客户登录页面以及你访问的管理门户确保稳健的安全措施。你采用第一节中建议的初始规则，并为你的 web ACL 添加以下规则，并优化优先级。请注意，初始规则中的 CRS 托管规则组包含规则以阻止匹配 XSS 模式的请求，因此你不需要添加新规则来防护此攻击。 - **添加 SQL 数据库托管规则组**：[SQL 数据库规则组](https://docs.aws.amazon.com/waf/latest/developerguide/aws-managed-rule-groups-use-case.html#aws-managed-rule-groups-use-case-sql-db) 包含规则，用于阻止与 SQL 数据库利用相关的请求模式，如 SQL 注入攻击。你添加此规则组以防止远程注入未经授权的查询。 - **添加管理保护托管规则组**：[管理保护规则组](https://docs.aws.amazon.com/waf/latest/developerguide/aws-managed-rule-groups-baseline.html#aws-managed-rule-groups-baseline-admin) 包含规则，用于阻止对暴露的管理页面的外部访问。你添加此规则组以降低恶意行为者获得应用程序管理访问的风险，并限制检查范围以匹配你的管理门户 URI 路径。 - **为登录 URI 添加请求体大小约束规则**：你使用[大小约束语句](https://docs.aws.amazon.com/waf/latest/developerguide/waf-rule-statement-type-size-constraint-match.html) 创建此规则，以限制请求体大小。你添加此规则作为防护恶意行为者注入攻击的额外层。 - **为登录 URI 添加基于速率的规则**：根据应用程序的流量模式和要求，更严格的速率限制规则可防护蛮力攻击。你创建此基于速率的规则，其阈值低于初始规则中的整体基于速率的规则，并限制检查范围以匹配你的登录门户 URI 路径，并将规则操作设置为 **CAPTCHA**。 CAPTCHA 通常用于当 Block 操作会阻止太多合法请求时，但让所有流量通过会导致不可接受的高水平 unwanted 请求。你将规则操作设置为 CAPTCHA，以最小化对合法用户的影响，同时缓解针对登录 URI 的高量请求。实施这些规则后，你的 web ACL 如下所示： ![图 2: 网络应用程序漏洞利用防护场景示例规则](https://d2908q01vomqb2.cloudfront.net/5b384ce32d8cdef02bc3a139d4cac0a22bb029e8/2025/05/07/Picture2.png) 图 2: 网络应用程序漏洞利用防护场景示例规则 ### 场景 3：机器人缓解你正在管理一个在线旅行网站，客户使用它搜索和预订航班、酒店和其他服务。最近，你发现虽然网站流量大幅增加，但预订量没有增加。此外，你注意到大量登录尝试以及用于欺诈活动的假账户创建。你怀疑网站正遭受恶意机器人活动，并希望获得机器人流量的可见性并缓解它。你采用第一节中建议的初始规则，并首先添加以下免费或低成本规则作为缓解机器人流量的起点。 - **添加 Anonymous IP 列表规则组并将规则操作设置为 Count**：[Anonymous IP 列表规则组](https://docs.aws.amazon.com/waf/latest/developerguide/aws-managed-rule-groups-ip-rep.html#aws-managed-rule-groups-ip-rep-anonymous) 识别来自 VPN、代理、Tor 节点和托管提供商的请求。限制来自这些 IP 地址的请求有助于缓解机器人流量。你添加此规则组并将规则操作设置为 Count，因为这些请求也可能由你的合法用户发送。而且，你将操作设置为 **Count**，这允许你标记这些请求并在下一步对其进行速率限制。 - **为 Anonymous IP 列表规则组标识的请求添加基于速率的规则**：此规则对隐藏身份的请求应用速率限制，这些请求由前面的规则标识。你创建基于速率的规则，其阈值低于初始规则中的整体基于速率的规则，并限制检查范围以[匹配标签](https://docs.aws.amazon.com/waf/latest/developerguide/waf-rule-statement-type-label-match.html) 命名空间 “awswaf:managed:aws:anonymous-ip-list:”。有关更多细节，请参考帖子 [如何自定义 AWS 托管规则组的行为](https://aws.amazon.com/blogs/security/how-to-customize-behavior-of-aws-managed-rules-for-aws-waf/)。 - **为登录和注册端点添加基于速率的规则**：此规则使用更严格的每源 IP 速率限制保护登录和注册端点。你创建基于速率的规则，其阈值低于初始规则中的整体基于速率的规则，并限制检查范围以匹配登录和注册端点的 URI 路径。 - **为敏感资源添加 AWS WAF 机器人控制规则组，使用 Common Inspection 级别**：[机器人控制托管规则组](https://docs.aws.amazon.com/waf/latest/developerguide/aws-managed-rule-groups-bot-control.html) 使用常见级别保护，通过检查请求细节与已知机器人模式、执行反向 DNS 查找和其他系统验证来识别常见机器人。机器人控制是一个高级功能和付费托管规则组，因此你必须控制成本。你添加此规则组并限制检查范围以匹配某些 URI 路径或敏感 API，并将静态内容（如图像和 CSS 文件）排除在外，因为你可能不介意机器人访问它们。有关更多细节，请参考帖子 Fine-tune and optimize AWS WAF Bot Control mitigation capability。在你的 AWS WAF web ACL 中添加上述规则后，使用 web ACL 流量概览仪表板，你注意到大量机器人流量已被阻止。然而，你还注意到以下情况： - 查看你的应用程序指标，允许流量仍高于预期水平，而网站预订量仍低于预期水平。 - 虽然后端的登录尝试和注册已大大减少，但仍高于预期水平。 - 查看 AWS WAF 日志，有许多允许请求包含与正常客户端浏览器相同的请求头，但显示出与合法用户不符的异常行为。你怀疑这些请求来自恶意机器人。因此，你要启用高级机器人缓解解决方案；于是按顺序添加/更新以下规则： - **为敏感资源更新 AWS WAF 机器人控制规则组，使用 Targeted inspection 级别**：[机器人控制规则组](https://docs.aws.amazon.com/waf/latest/developerguide/aws-managed-rule-groups-bot-control.html) 使用 targeted 级别保护，可检测不自标识的高级机器人，并应用缓解措施，如速率限制和 challenge 或 CAPTCHA 响应，除了常见级别保护外。你更新此规则组，使用以下设置： - 将机器人控制检查级别设置为 **Targeted**。 - 启用机器学习 (ML) 以检测和缓解分布式、协调的机器人活动。这提供几个基于置信水平的规则，以判断一组请求是否参与协调攻击。 - 将规则 TGT_ML_CoordinatedActivityMedium 的规则操作设置为 **Challenge**，并将规则 TGT_ML_CoordinatedActivityHigh 的规则操作设置为 **Block**。 - **为登录端点添加 AWS WAF 欺诈控制账户接管预防规则组**：[欺诈控制账户接管预防规则组](https://docs.aws.amazon.com/waf/latest/developerguide/aws-managed-rule-groups-atp.html) 为你的登录端点提供防护，针对被盗凭证、凭证填充攻击、蛮力登录尝试和其他异常登录活动。你添加此规则组并限制检查范围以匹配登录端点的 URI 路径。 - **为注册端点添加 AWS WAF 欺诈控制账户创建欺诈预防规则组**：[欺诈控制账户创建欺诈预防托管规则组](https://docs.aws.amazon.com/waf/latest/developerguide/aws-managed-rule-groups-acfp.html) 提供防护，针对在你的网站上创建欺诈账户。你添加此规则组并限制检查范围以匹配注册端点的 URI 路径。此外，你[实施 AWS WAF 应用程序集成 SDKs](https://docs.aws.amazon.com/waf/latest/developerguide/waf-application-integration.html)，因为这[可最有效地利用机器人控制和欺诈控制规则组](https://docs.aws.amazon.com/waf/latest/developerguide/waf-managed-protections-best-practices.html)。挑战脚本必须在机器人控制和欺诈控制规则组之前运行，以利用脚本获取的令牌，通过应用程序集成 SDKs，该脚本会自动运行。实施这些规则后，你的 web ACL 如下所示： ![图 3: 机器人缓解场景示例规则](https://d2908q01vomqb2.cloudfront.net/5b384ce32d8cdef02bc3a139d4cac0a22bb029e8/2025/05/07/Picture3.png) 图 3: 机器人缓解场景示例规则 ## 结论本帖提供了构建 AWS WAF web ACL 的指南，以保护你的网络应用程序免受诸如 DDoS 攻击、网络应用程序漏洞利用和恶意机器人的威胁。你从在 web ACL 中添加初始规则开始，然后更新并添加进一步自定义的规则，这些规则针对你的应用程序面临的威胁及其特定需求，同时牢记规则优先级的重要性。遵循本帖中的指南，可帮助你有效保护网络应用程序免受威胁，同时最小化对合法流量的影响，并实现成本效率。如果对本帖有反馈，请在评论部分提交。如果你对本帖有问题，请在 [AWS WAF re:Post](https://repost.aws/tags/TAKdJ093DSSdGOQ1VVKX4EvQ/aws-waf) 上启动新线程或联系 [AWS Support](https://console.aws.amazon.com/support/home)。 ## 作者介绍 ![](https://d2908q01vomqb2.cloudfront.net/5b384ce32d8cdef02bc3a139d4cac0a22bb029e8/2025/04/27/pengfesh-1-e1745785759597-125x150.jpg) ### Pengfei Shao Pengfei Shao 是位于斯德哥尔摩的 AWS 高级技术账户经理。他专注于为客户提供技术指导，并主动帮助他们保持 AWS 环境的操作健康。工作之外，他喜欢滑雪、园艺和与家人共度时光。 ![Jonathan Woods](https://d2908q01vomqb2.cloudfront.net/5b384ce32d8cdef02bc3a139d4cac0a22bb029e8/2025/04/27/JonathanWoods-1-e1745785798146-125x150.jpg) ### Jonathan Woods Jonathan Woods 是位于纳什维尔的 AWS 解决方案架构师，目前与 SMB 客户合作。他热衷于以相关方式传达 AWS 技术，使客户易于创新。工作之外，他努力跟上三个孩子的步伐。