**Présentation d'une nouvelle expérience de console pour AWS WAF**
Vous pouvez désormais utiliser l'expérience mise à jour pour accéder aux AWS WAF fonctionnalités n'importe où dans la console. Pour plus de détails, consultez la section [Utilisation de la console](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html).
Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Utilisation des conditions de correspondance de chaîne
**Avertissement**
AWS WAF Classic suit un end-of-life processus planifié. Consultez votre AWS Health tableau de bord pour connaître les étapes et les dates spécifiques à votre région.
**Note**
Il s'agit d'une documentation **AWS WAF classique**. Vous ne devez utiliser cette version que si vous avez créé AWS WAF des ressources, telles que des règles et du Web ACLs, AWS WAF avant novembre 2019, et que vous ne les avez pas encore migrées vers la dernière version. Pour migrer votre site Web ACLs, consultez[Migration de vos ressources AWS WAF classiques vers AWS WAF](waf-migrating-from-classic.md).
**Pour la dernière version de AWS WAF**, voir[AWS WAF](waf-chapter.md).
Si vous souhaitez autoriser ou bloquer des requêtes web en fonction des chaînes qui apparaissent dans les requêtes, créez une ou plusieurs conditions de correspondance de chaîne. Une condition de correspondance de chaîne identifie la chaîne que vous souhaitez rechercher et la partie des requêtes Web, telle qu'un en-tête spécifié ou la chaîne de requête, que AWS WAF Classic doit inspecter pour détecter la chaîne. Ultérieurement dans le processus, lorsque vous créez une liste ACL web, vous spécifiez s'il convient d'autoriser ou de bloquer les requêtes qui contiennent la chaîne.
**Topics**
+ [Création d'une condition de correspondance de chaîne](#classic-web-acl-string-conditions-creating)
+ [Valeurs que vous spécifiez lorsque vous créez ou modifiez des conditions de correspondance de chaîne](#classic-web-acl-string-conditions-values)
+ [Ajout et suppression de filtres dans une condition de correspondance de chaîne](#classic-web-acl-string-conditions-editing)
+ [Suppression de conditions de correspondance de chaîne](#classic-web-acl-string-conditions-deleting)
## Création d'une condition de correspondance de chaîne
Lorsque vous créez des conditions de correspondance de chaîne, vous spécifiez des filtres qui identifient la chaîne que vous souhaitez rechercher et la partie des requêtes Web que AWS WAF Classic doit inspecter pour cette chaîne, telle que l'URI ou la chaîne de requête. Vous pouvez ajouter plus d'un filtre à une condition de correspondance de chaîne ou vous pouvez créer une condition de correspondance de chaîne distincte pour chaque filtre. Voici comment chaque configuration affecte le comportement AWS WAF classique :
+ **Un filtre par condition de correspondance de chaîne** — Lorsque vous ajoutez des conditions de correspondance de chaîne distinctes à une règle et que vous ajoutez la règle à une ACL Web, les requêtes Web doivent répondre à toutes les conditions pour que AWS WAF Classic autorise ou bloque les demandes en fonction de ces conditions.
Par exemple, supposons que vous créez deux conditions. Une correspond aux requêtes web qui contiennent la valeur `BadBot` dans l'en-tête `User-Agent`. L'autre correspond aux requêtes web qui contiennent la valeur `BadParameter` dans les chaînes de requête. Lorsque vous ajoutez les deux conditions à la même règle et que vous ajoutez la règle à une ACL Web, AWS WAF Classic autorise ou bloque les demandes uniquement lorsqu'elles contiennent les deux valeurs.
+ Plusieurs **filtres par condition de correspondance de chaîne** : lorsque vous ajoutez une condition de correspondance de chaîne contenant plusieurs filtres à une règle et que vous ajoutez la règle à une ACL Web, il suffit qu'une demande Web corresponde à l'un des filtres de la condition de correspondance de chaîne pour que AWS WAF Classic autorise ou bloque la demande en fonction d'une seule condition.
Supposons que vous créiez une condition au lieu de deux et que celle-ci contienne les deux mêmes filtres que dans l'exemple précédent. AWS WAF Classic autorise ou bloque les demandes si elles sont *contenues* `BadBot` dans l'`User-Agent`en-tête *ou* `BadParameter` dans la chaîne de requête.
**Note**
Lorsque vous ajoutez une condition de correspondance de chaîne à une règle, vous pouvez également configurer AWS WAF Classic pour autoriser ou bloquer les requêtes Web qui *ne correspondent pas* aux valeurs de la condition.
**Pour créer une condition de correspondance de chaîne**
1. Connectez-vous à la AWS WAF console AWS Management Console et ouvrez-la à l'adresse [https://console.aws.amazon.com/wafv2/](https://console.aws.amazon.com/wafv2/).
Si le **bouton Passer à la AWS WAF version classique** apparaît dans le volet de navigation, sélectionnez-le.
1. Dans le volet de navigation, sélectionnez **String and regex matching**.
1. Choisissez **Create condition**.
1. Indiquez les paramètres de filtre applicables. Pour de plus amples informations, veuillez consulter [Valeurs que vous spécifiez lorsque vous créez ou modifiez des conditions de correspondance de chaîne](#classic-web-acl-string-conditions-values).
1. Choisissez **Add filter**.
1. Si vous souhaitez ajouter un autre filtre, répétez les étapes 4 et 5.
1. Lorsque vous avez fini d'ajouter les filtres, choisissez **Create**.
## Valeurs que vous spécifiez lorsque vous créez ou modifiez des conditions de correspondance de chaîne
Lorsque vous créez ou mettez à jour une condition de correspondance de chaîne, vous spécifiez les valeurs suivantes :
**Nom**
Saisissez un nom pour la condition de correspondance de chaîne. Le nom ne peut contenir que des caractères alphanumériques (A-Z, a-z, 0-9) ou les caractères spéciaux suivants : \_-\!"\#`\+\*},./. Vous ne pouvez pas modifier la nom d'une condition après l'avoir créée.
**Type**
Choisissez **String match**.
**Partie de la requête à filtrer**
Choisissez la partie de chaque requête Web que AWS WAF Classic doit inspecter pour trouver la chaîne que vous spécifiez dans **Value to match** :
**En-tête**
Un en-tête de requête spécifié, par exemple, l'en-tête `User-Agent` ou `Referer`. Si vous choisissez **Header**, précisez le nom de l'en-tête dans le champs **Header**.
**Méthode HTTP**
La méthode HTTP, qui indique le type d'opération que la requête demande à l'origine d'effectuer. CloudFront prend en charge les méthodes suivantes : `DELETE`, `GET`, `HEAD`, `OPTIONS`, `PATCH`, `POST` et `PUT`.
**Chaîne de requête**
La partie d'une URL qui s'affiche après un caractère `?`, le cas échéant.
**URI**
Le chemin URI de la demande, qui identifie la ressource, par exemple,`/images/daily-ad.jpg`. Cela n'inclut pas la chaîne de requête ou les composants du fragment de l'URI. Pour plus d'informations, voir [Uniform Resource Identifier (URI) : syntaxe générique](https://tools.ietf.org/html/rfc3986#section-3.3).
À moins qu'une **transformation** ne soit spécifiée, un URI n'est pas normalisé et est inspecté au moment AWS où il est reçu du client dans le cadre de la demande. Une **Transformation** reformate l'URI comme spécifié.
**Corps de texte**
La partie d'une requête qui contient les données supplémentaires que vous souhaitez envoyer à votre serveur web en tant que corps de la requête HTTP, telles que les données d'un formulaire.
Si vous choisissez **Body** pour la valeur d'**une partie de la demande à filtrer**, AWS WAF Classic inspecte uniquement les 8 192 premiers octets (8 Ko). Pour autoriser ou bloquer les demandes dont le corps est supérieur à 8 192 octets, vous pouvez créer une condition de contrainte de taille. (AWS WAF Classic obtient la longueur du corps à partir des en-têtes de requête.) Pour de plus amples informations, veuillez consulter [Utilisation des conditions de contrainte de taille](classic-web-acl-size-conditions.md).
**Paramètre de requête unique (valeur uniquement)**
Tous les paramètres que vous avez définis dans le cadre de la chaîne de requête. Par exemple, si l'URL est « www.xyz.com ? UserName =abc& SalesRegion =seattle », vous pouvez ajouter un filtre au paramètre or. *UserName*SalesRegion**
Si les paramètres dupliqués apparaissent dans la chaîne de requête, les valeurs sont évaluées en tant que « OU ». Autrement dit, n'importe quelle valeur déclenchera une correspondance. Par exemple, dans l'URL « www.xyz.com ? SalesRegion =boston& SalesRegion =seattle », « boston » ou « seattle » dans **Value** to match déclenchera une correspondance.
Si vous choisissez **Single query parameter (value only) (Paramètre de requête unique (valeur uniquement))**, vous spécifierez également un **Query parameter name (Nom du paramètre de requête)**. Il s'agit du paramètre de la chaîne de requête que vous allez inspecter, tel que *UserName*ou *SalesRegion*. La longueur maximale de **Query parameter name (Nom du paramètre de requête)** est de 30 caractères. **Query parameter name (Nom du paramètre de requête)** n'est pas sensible à la casse. Par exemple, si vous spécifiez *UserName*comme **nom du paramètre Query**, celui-ci correspondra à toutes les variantes de *UserName*, telles que *username et *Us ERName**.
**Tous les paramètres de requête (valeurs uniquement)**
Semblable au **paramètre de requête unique (valeur uniquement)**, mais plutôt que d'inspecter la valeur d'un seul paramètre, AWS WAF Classic inspecte la valeur de tous les paramètres de la chaîne de requête pour trouver la **valeur à correspondre**. **Par exemple, si l'URL est « www.xyz.com ? UserName =abc& SalesRegion =seattle » et que vous choisissez **Tous les paramètres de requête (valeurs uniquement)**, AWS WAF Classic déclenchera une correspondance si la valeur de l'un *UserName*ou l'autre *SalesRegion*est spécifiée comme valeur à correspondre.**
**En-tête (uniquement lorsque « Part of the request to filter on » est défini sur « Header »)**
Si vous avez choisi **En-tête** **dans la partie de la demande à filtrer** dans la liste, choisissez un en-tête dans la liste des en-têtes courants ou entrez le nom d'un en-tête que AWS WAF Classic doit inspecter.
**Type de correspondance**
Dans la partie de la demande que AWS WAF Classic doit inspecter, choisissez l'endroit où la chaîne dans **Value to match** doit apparaître pour correspondre à ce filtre :
**Contains**
La chaîne s'affiche n'importe où dans la partie spécifiée de la requête.
**Contient les mots**
La partie spécifiée de la requête web doit inclure **Value to match** et **Value to match** doit uniquement contenir des caractères alphanumériques ou de soulignement (A-Z, a-z, 0-9, ou \_). En outre, **Value to match** doit être un mot, ce qui implique l'une des déclarations suivantes :
+ **Value to match** correspond exactement à la valeur de la partie spécifiée de la requête web, telles que la valeur d'un en-tête.
+ **Value to match** est au début de la partie spécifiée de la requête web et est suivi par un caractère autre qu'un caractère alphanumérique ou de soulignement (\_), par exemple, `BadBot;`.
+ **Value to match** est à la fin de la partie spécifiée de la requête web et est précédé d'un caractère autre qu'un caractère alphanumérique ou de soulignement (\_), par exemple, `;BadBot`.
+ **Value to match** est au milieu de la partie spécifiée de la requête web et est précédé et suivi de caractères autre que des caractères alphanumériques ou de soulignement (\_), par exemple, `-BadBot;`.
**Exactly matches**
La chaîne et la valeur de la partie spécifiée de la requête sont identiques.
**Starts with**
La chaîne s'affiche au début de la partie spécifiée de la requête.
**Termine par**
La chaîne s'affiche à la fin de la partie spécifiée de la requête.
**Transformation**
Une transformation reformate une requête Web avant que AWS WAF Classic ne l'inspecte. Cela élimine une partie du formatage inhabituel utilisé par les attaquants dans les requêtes Web dans le but de contourner AWS WAF Classic.
Vous ne pouvez spécifier qu'un seul type de transformation de texte.
Les transformations peuvent effectuer les opérations suivantes :
**Aucune**
AWS WAF Classic n'effectue aucune transformation de texte sur la requête Web avant de l'inspecter pour détecter la **correspondance de la chaîne dans Value**.
**Convertir en minuscules**
AWS WAF Classic convertit les lettres majuscules (A-Z) en minuscules (a-z).
**Décodage d'HTML**
AWS WAF Classic remplace les caractères codés en HTML par des caractères non codés :
+ Remplace `"` par `&`
+ Remplace ` ` par un espace insécable
+ Remplace `<` par `<`
+ Remplace `>` par `>`
+ Remplace les caractères qui sont représentées au format hexadécimal, `&#xhhhh;`, par les caractères correspondants
+ Remplace les caractères qui sont représentés au format décimal, `&#nnnn;`, par les caractères correspondants
**Normalisation des espaces blancs**
AWS WAF Classic remplace les caractères suivants par un espace (32 décimal) :
+ \\f, saut de page, décimale 12
+ \\t, tabulation, décimale 9
+ \\n, nouvelle ligne, décimale 10
+ \\r, retour chariot, décimale 13
+ \\v, tabulation verticale, décimale 11
+ Espace insécable, décimale 160
En outre, cette option remplace plusieurs espaces par un seul.
**Simplifier la ligne de commande**
Lorsque vous êtes préoccupé par le fait que des pirates puissent injecter une commande de ligne de commande du système d'exploitation et utilisent un formatage inhabituel pour masquer l'ensemble ou une partie de la commande, utilisez cette option pour effectuer les transformations suivantes :
+ Supprimer les caractères suivants : \\ " ' ^
+ Supprimer les espaces avant les caractères suivants : / (
+ Remplacer les caractères suivants par un espace : , ;
+ Remplacer plusieurs espaces par un espace
+ Convertit les lettres majuscules (A-Z) en lettres minuscules (a-z)
**Décodage d'URL**
Décoder une requête encodée par URL.
**La valeur est codée en base64**
Si la valeur de **Value to match** est codée en base64, cochez cette case. Utilisez l'encodage base64 pour spécifier des caractères non-imprimables, tel que des tabulations et des sauts de ligne, que les pirates incluent dans leurs requêtes.
**Value to match**
Spécifiez la valeur que vous souhaitez que AWS WAF Classic recherche dans les requêtes Web. La longueur maximale est de 50 octets. Si vous affectez un encodage en base64 à la valeur, la longueur maximale de 50 octets s'applique à la valeur avant que vous ne l'encodiez.
## Ajout et suppression de filtres dans une condition de correspondance de chaîne
Vous pouvez ajouter des filtres à une condition de correspondance de chaîne ou supprimer des filtres. Pour modifier un filtre, ajoutez un nouveau filtre et supprimez l'ancien.
**Pour ajouter ou supprimer des filtres à une condition de correspondance de chaîne**
1. Connectez-vous à la AWS WAF console AWS Management Console et ouvrez-la à l'adresse [https://console.aws.amazon.com/wafv2/](https://console.aws.amazon.com/wafv2/).
Si le **bouton Passer à la AWS WAF version classique** apparaît dans le volet de navigation, sélectionnez-le.
1. Dans le volet de navigation, sélectionnez **String and regex matching**.
1. Sélectionnez la condition pour laquelle vous souhaitez ajouter ou supprimer des filtres.
1. Pour ajouter des filtres, effectuez les opérations suivantes :
1. Choisissez **Add filter**.
1. Indiquez les paramètres de filtre applicables. Pour de plus amples informations, veuillez consulter [Valeurs que vous spécifiez lorsque vous créez ou modifiez des conditions de correspondance de chaîne](#classic-web-acl-string-conditions-values).
1. Choisissez **Ajouter**.
1. Pour supprimer des filtres, effectuez les opérations suivantes :
1. Sélectionnez le filtre à supprimer.
1. Choisissez **Delete Filter**.
## Suppression de conditions de correspondance de chaîne
Si vous souhaitez supprimer une condition de correspondance de chaîne, vous devez d'abord supprimer tous les filtres de la condition, puis supprimer la condition de toutes les règles qui l'utilisent, comme décrit dans la procédure suivante.
**Pour supprimer une condition de correspondance de chaîne**
1. Connectez-vous à la AWS WAF console AWS Management Console et ouvrez-la à l'adresse [https://console.aws.amazon.com/wafv2/](https://console.aws.amazon.com/wafv2/).
Si le **bouton Passer à la AWS WAF version classique** apparaît dans le volet de navigation, sélectionnez-le.
1. Supprimez la condition de correspondance de chaîne des règles qui l'utilisent :
1. Dans le panneau de navigation, choisissez **Rules**.
1. Choisissez le nom d'une règle qui utilise la condition de correspondance de chaîne que vous souhaitez supprimer.
1. Dans le volet droit, choisissez **Edit rule**.
1. Choisissez le **X** en regard de la condition que vous voulez supprimer.
1. Choisissez **Mettre à jour**.
1. Répétez les étapes pour toutes les autres règles qui utilisent la condition de correspondance de chaîne que vous souhaitez supprimer.
1. Supprimez les filtres de la condition que vous voulez supprimer :
1. Dans le volet de navigation, sélectionnez **String and regex matching**.
1. Choisissez le nom de la condition de correspondance de chaîne que vous souhaitez supprimer.
1. Dans le volet droit, cochez la case en regard de **Filter** pour sélectionner tous les filtres.
1. Choisissez **Delete Filter**.
1. Dans le volet de navigation, sélectionnez **String and regex matching**.
1. Dans le volet **String and regex match conditions**, sélectionnez la condition de correspondance de chaîne que vous voulez supprimer.
1. Choisissez **Delete** pour supprimer la condition sélectionnée.