Comment AWS WAF gère les actions des règles et des groupes de règles - AWS WAF, AWS Firewall ManagerAWS Shield Advanced, et directeur de la sécurité AWS Shield réseau

Présentation d'une nouvelle expérience de console pour AWS WAF

Vous pouvez désormais utiliser l'expérience mise à jour pour accéder aux AWS WAF fonctionnalités n'importe où dans la console. Pour en savoir plus, consultez Utilisation de l'expérience de console mise à jour.

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Comment AWS WAF gère les actions des règles et des groupes de règles

Cette section explique comment AWS WAF utiliser les règles et les groupes de règles pour gérer les actions.

Lorsque vous configurez vos règles et vos groupes de règles, vous choisissez la manière dont vous AWS WAF souhaitez gérer les requêtes Web correspondantes :

  • Allowet Block mettent fin à des actions, Allow et les Block actions arrêtent tout autre traitement du pack de protection ou de l'ACL Web sur la requête Web correspondante. Si une règle d'un pack de protection ou d'une ACL Web trouve une correspondance pour une demande et que l'action de la règle est Allow ouBlock, cette correspondance détermine la disposition finale de la demande Web pour le pack de protection ou l'ACL Web. AWS WAF ne traite aucune autre règle du pack de protection ou de l'ACL Web qui vient après celle correspondante. Cela est vrai pour les règles que vous ajoutez directement au pack de protection ou à l'ACL Web et pour les règles qui se trouvent dans un groupe de règles ajouté. Avec cette Block action, la ressource protégée ne reçoit ni ne traite la demande Web.

  • Countest une action sans fin : lorsqu'une règle comportant une Count action correspond à une demande, AWS WAF compte la demande, puis poursuit le traitement des règles qui suivent dans le pack de protection ou l'ensemble de règles ACL Web.

  • CAPTCHAet il Challenge peut s'agir d'actions non résiliantes ou résilientes : lorsqu'une règle comportant l'une de ces actions correspond à une demande, AWS WAF vérifie le statut de son jeton. Si la demande contient un jeton valide, AWS WAF traite la correspondance comme une Count correspondance, puis poursuit le traitement des règles qui suivent dans le pack de protection ou l'ensemble de règles ACL Web. Si la demande ne contient pas de jeton valide, AWS WAF met fin à l'évaluation et envoie au client un casse-tête CAPTCHA ou un défi de session client en arrière-plan silencieux à résoudre.

Si l'évaluation des règles n'entraîne aucune action de résiliation, AWS WAF applique l'action par défaut du pack de protection ou de l'ACL Web à la demande. Pour plus d'informations, consultez Configuration de l'action par défaut du pack de protection ou de l'ACL Web dans AWS WAF.

Dans votre pack de protection ou votre ACL Web, vous pouvez remplacer les paramètres d'action des règles au sein d'un groupe de règles et vous pouvez annuler l'action renvoyée par un groupe de règles. Pour plus d'informations, consultez Remplacer les actions du groupe de règles dans AWS WAF.

Interaction entre les actions et les paramètres de priorité

Les actions qui AWS WAF s'appliquent à une requête Web sont affectées par les paramètres de priorité numérique des règles du pack de protection ou de l'ACL Web. Supposons, par exemple, que votre pack de protection ou votre ACL Web comporte une règle comportant une Allow action et une priorité numérique de 50 et une autre règle comportant une Count action et une priorité numérique de 100. AWS WAF évalue les règles d'un pack de protection ou d'une ACL Web dans l'ordre de leur priorité, en commençant par le paramètre le plus bas, afin d'évaluer la règle d'autorisation avant la règle de décompte. Une requête Web qui correspond aux deux règles correspondra d'abord à la règle d'autorisation. Comme Allow il s'agit d'une action terminale, elle AWS WAF arrêtera l'évaluation à cette correspondance et n'évaluera pas la demande par rapport à la règle du décompte.

  • Si vous souhaitez uniquement inclure les demandes qui ne correspondent pas à la règle d'autorisation dans les statistiques de vos règles de comptage, les paramètres de priorité des règles fonctionneront.

  • D'autre part, si vous souhaitez que les mesures de comptage soient issues de la règle de comptage, même pour les demandes correspondant à la règle d'autorisation, vous devez attribuer à la règle de comptage un paramètre de priorité numérique inférieur à celui de la règle d'autorisation, afin qu'elle s'exécute en premier.

Pour plus d'informations sur les paramètres de priorité, consultezDéfinition de la priorité des règles.