**引入全新的主机体验 AWS WAF**

现在，您可以使用更新的体验访问控制台中任意位置的 AWS WAF 功能。有关更多详细信息，请参阅[使用控制台](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html)。

本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# IP 集匹配规则语句
<a name="waf-rule-statement-type-ipset-match"></a>

本节介绍了什么是 IP 集匹配语句及其工作方式。

IP 集匹配语句根据一组 IP 地址和地址范围检查 web 请求的 IP 地址。使用此选项可根据请求源自的 IP 地址允许或阻止 web 请求。默认情况下， AWS WAF 使用来自 web 请求来源的 IP 地址，但您可以将规则配置为使用类似 `X-Forwarded-For` 的 HTTP 标头。



AWS WAF 支持除之外的所有 IPv4 和 IPv6 CIDR 范围。`/0`有关 CIDR 表示法的更多信息，请参阅维基百科条目[无类别域间路由](https://en.wikipedia.org/wiki/Classless_Inter-Domain_Routing)。一个 IP 集最多可以容纳 1 万个 IP 地址或 IP 地址范围以供检查。

**注意**  
每个 IP 集匹配规则引用一个 IP 集，该集的创建和维护独立于规则。您可以在多个规则中使用单个 IP 集，并且在更新引用的集合时， AWS WAF 会自动更新引用该集合的所有规则。  
有关创建和管理 IP 集的信息，请参阅 [创建和管理中设置的 IP AWS WAF](waf-ip-set-managing.md)。

在规则组或保护包（web ACL）中添加或更新规则时，选择 **IP 集**选项，然后选择要使用的 IP 集的名称。

## 规则语句特征
<a name="ipset-match-characteristics"></a>

**嵌套**：您可以嵌套此语句类型。

**WCUs**— 大多数 1 个 WCU。如果将语句配置为使用转发 IP 地址并指定 ANY 的位置，则 WCU 使用量将增加 4。

此语句使用以下设置：
+ **IP 集规范**：从列表中选择要使用的 IP 集或创建一个新的 IP 集。
+ **（可选）转发 IP 配置**：用于代替请求来源的备用转发 IP 标头名称。您可以指定是与标头中的第一个地址、最后一个地址还是任何地址进行匹配。您还可以指定一种回退行为，以应用于指定标头中包含格式错误的 IP 地址的 web 请求。回退行为将请求的匹配结果设置为匹配或不匹配。有关更多信息，请参阅 [使用转发 IP 地址](waf-rule-statement-forwarded-ip-address.md)。

## 在何处查找规则语句
<a name="ipset-match-where-to-find"></a>

**在何处查找规则语句**
+ 控制台上的**规则生成器**：在**请求选项**中，选择**来源 IP 地址**。
+ 在控制台上@@ **添加我自己的规则和规则组**页面：选择 **IP 设置**选项。
+ **API**：[IPSetReferenceStatement](https://docs.aws.amazon.com/waf/latest/APIReference/API_IPSetReferenceStatement.html)