Mengkonfigurasi perlindungan di AWS WAF - AWS WAF, AWS Firewall ManagerAWS Shield Advanced, dan direktur keamanan AWS Shield jaringan

Memperkenalkan pengalaman konsol baru untuk AWS WAF

Anda sekarang dapat menggunakan pengalaman yang diperbarui untuk mengakses AWS WAF fungsionalitas di mana saja di konsol. Untuk detail selengkapnya, lihat Bekerja dengan pengalaman konsol yang diperbarui.

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Mengkonfigurasi perlindungan di AWS WAF

Halaman ini menjelaskan apa itu paket perlindungan (web ACLs) dan cara kerjanya.

Paket perlindungan (web ACL) memberi Anda kontrol halus atas semua permintaan web HTTP (S) yang ditanggapi oleh sumber daya terlindungi Anda. Anda dapat melindungi Amazon CloudFront, Amazon API Gateway, Application Load Balancer, Amazon Cognito AWS AppSync,,, AWS App Runner AWS Amplify, AWS dan sumber daya Akses Terverifikasi.

Anda dapat menggunakan kriteria seperti berikut ini untuk mengizinkan atau memblokir permintaan:

  • Alamat IP asal permintaan

  • Negara asal permintaan

  • Pencocokan string atau ekspresi reguler (regex) cocok di bagian permintaan

  • Ukuran bagian tertentu dari permintaan

  • Deteksi kode SQL berbahaya atau scripting

Anda juga dapat menguji kombinasi dari kondisi ini. Anda dapat memblokir atau menghitung permintaan web yang tidak hanya memenuhi kondisi yang ditentukan, tetapi juga melebihi jumlah permintaan tertentu dalam satu menit. Anda dapat menggabungkan kondisi menggunakan operator logis. Anda juga dapat menjalankan teka-teki CAPTCHA dan tantangan sesi klien diam terhadap permintaan.

Anda memberikan kriteria pencocokan dan tindakan untuk melakukan kecocokan dalam pernyataan AWS WAF aturan. Anda dapat menentukan pernyataan aturan langsung di dalam paket perlindungan (web ACL) dan dalam grup aturan yang dapat digunakan kembali yang Anda gunakan dalam paket perlindungan (web ACL). Untuk daftar lengkap opsi, lihat Menggunakan pernyataan aturan di AWS WAF danMenggunakan tindakan aturan di AWS WAF.

Saat Anda membuat paket perlindungan (web ACL), Anda menentukan jenis sumber daya yang ingin Anda gunakan. Untuk informasi, lihat Membuat paket perlindungan (web ACL) di AWS WAF. Setelah Anda menentukan paket perlindungan (web ACL), Anda dapat mengaitkannya dengan sumber daya Anda untuk mulai memberikan perlindungan bagi mereka. Untuk informasi selengkapnya, lihat Mengaitkan atau memisahkan perlindungan dengan sumber daya AWS.

catatan

Pada beberapa kesempatan, AWS WAF mungkin mengalami kesalahan internal yang menunda respons terhadap AWS sumber daya terkait tentang apakah akan mengizinkan atau memblokir permintaan. Pada kesempatan tersebut, CloudFront biasanya mengizinkan permintaan atau menyajikan konten, sedangkan layanan Regional biasanya menolak permintaan dan tidak menyajikan konten.

Risiko lalu lintas produksi

Sebelum Anda menerapkan perubahan dalam paket perlindungan (web ACL) untuk lalu lintas produksi, uji dan sesuaikan di lingkungan pementasan atau pengujian hingga Anda merasa nyaman dengan potensi dampak terhadap lalu lintas Anda. Kemudian uji dan sesuaikan aturan Anda yang diperbarui dalam mode hitungan dengan lalu lintas produksi Anda sebelum mengaktifkannya. Untuk panduan, lihat Menguji dan menyetel perlindungan Anda AWS WAF.

catatan

Menggunakan lebih dari 1.500 WCUs dalam paket perlindungan (web ACL) menimbulkan biaya di luar harga paket perlindungan dasar (web ACL). Untuk informasi selengkapnya, lihat Unit kapasitas ACL Web (WCUs) di AWS WAF dan Harga AWS WAF.

Inkonsistensi sementara selama pembaruan

Saat Anda membuat atau mengubah paket perlindungan (web ACL) atau AWS WAF sumber daya lainnya, perubahan membutuhkan sedikit waktu untuk menyebar ke semua area tempat sumber daya disimpan. Waktu propagasi bisa dari beberapa detik hingga beberapa menit.

Berikut ini adalah contoh inkonsistensi sementara yang mungkin Anda perhatikan selama propagasi perubahan:

  • Setelah Anda membuat paket perlindungan (web ACL), jika Anda mencoba mengaitkannya dengan sumber daya, Anda mungkin mendapatkan pengecualian yang menunjukkan bahwa paket perlindungan (web ACL) tidak tersedia.

  • Setelah Anda menambahkan grup aturan ke paket perlindungan (web ACL), aturan grup aturan baru mungkin berlaku di satu area di mana paket perlindungan (web ACL) digunakan dan bukan di area lain.

  • Setelah mengubah setelan tindakan aturan, Anda mungkin melihat tindakan lama di beberapa tempat dan tindakan baru di tempat lain.

  • Setelah Anda menambahkan alamat IP ke set IP yang digunakan dalam aturan pemblokiran, alamat baru mungkin diblokir di satu area sementara masih diizinkan di area lain.

Topik