**Ti presentiamo una nuova esperienza di console per AWS WAF**
Ora puoi utilizzare l'esperienza aggiornata per accedere alle AWS WAF funzionalità da qualsiasi punto della console. Per ulteriori dettagli, consulta [Lavorare con la console](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html).
Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# AWS WAF Classico
**avvertimento**
AWS WAF Classic sta seguendo un processo pianificato. end-of-life Consulta la AWS Health dashboard per le tappe fondamentali e le date specifiche della tua regione.
**Nota**
Questa è la documentazione **AWS WAF classica**. Dovresti usare questa versione solo se hai creato AWS WAF risorse, come regole e web ACLs, AWS WAF prima di novembre 2019 e non le hai ancora migrate alla versione più recente. Per migrare il tuo sito web ACLs, consulta. [Migrazione delle risorse AWS WAF Classic a AWS WAF](waf-migrating-from-classic.md)
**Per la versione più recente di AWS WAF**, vedi[AWS WAF](waf-chapter.md).
AWS WAF Classic è un firewall per applicazioni Web che consente di monitorare le richieste HTTP e HTTPS inoltrate a un'API Amazon API Gateway, Amazon CloudFront o un Application Load Balancer. AWS WAF Classic ti consente anche di controllare l'accesso ai tuoi contenuti. In base a condizioni specificate, ad esempio gli indirizzi IP da cui provengono le richieste o i valori delle stringhe di query, API Gateway CloudFront o Application Load Balancer risponde alle richieste con il contenuto richiesto o con un codice di stato HTTP 403 (Forbidden). È inoltre possibile configurare la restituzione CloudFront di una pagina di errore personalizzata quando una richiesta viene bloccata.
**Topics**
+ [Configurazione della AWS WAF versione classica](classic-setting-up-waf.md)
+ [Come funziona AWS WAF Classic](classic-how-aws-waf-works.md)
+ [AWS WAF Prezzi classici](classic-aws-waf-pricing.md)
+ [Guida introduttiva a AWS WAF Classic](classic-getting-started.md)
+ [Creazione e configurazione di una lista di controllo accessi Web (ACL)](classic-web-acl.md)
+ [Utilizzo dei gruppi di regole AWS WAF classici da utilizzare con AWS Firewall Manager](classic-working-with-rule-groups.md)
+ [Guida introduttiva AWS Firewall Manager all'attivazione delle regole AWS WAF classiche](classic-getting-started-fms.md)
+ [Tutorial: Creazione di una AWS Firewall Manager politica con regole gerarchiche](hierarchical-rules.md)
+ [Registrazione informazioni di traffico ACL Web](classic-logging.md)
+ [Elenco degli indirizzi IP bloccati dalle regole basate sulla frequenza](classic-listing-managed-ips.md)
+ [Come funziona AWS WAF Classic con le CloudFront funzionalità di Amazon](classic-cloudfront-features.md)
+ [Sicurezza nella AWS WAF versione classica](classic-security.md)
+ [AWS WAF Quote classiche](classic-limits.md)
# Configurazione della AWS WAF versione classica
**avvertimento**
AWS WAF Classic sta attraversando un end-of-life processo pianificato. Consulta la AWS Health dashboard per le tappe fondamentali e le date specifiche della tua regione.
**Nota**
Questa è la documentazione **AWS WAF classica**. Dovresti usare questa versione solo se hai creato AWS WAF risorse, come regole e web ACLs, AWS WAF prima di novembre 2019 e non le hai ancora migrate alla versione più recente. Per migrare il tuo sito web ACLs, consulta. [Migrazione delle risorse AWS WAF Classic a AWS WAF](waf-migrating-from-classic.md)
**Per la versione più recente di AWS WAF**, vedi[AWS WAF](waf-chapter.md).
Questo argomento descrive i passaggi preliminari, come la creazione di un account utente, per prepararti all'uso di AWS WAF Classic. Non ti viene addebitato alcun costo per questi. Ti vengono addebitati solo i AWS servizi che utilizzi.
**Nota**
Se sei un nuovo utente AWS WAF, non seguire questi passaggi di configurazione per AWS WAF Classic. Segui invece i passaggi per la versione più recente di AWS WAF, all'indirizzo[Configurazione dell'account per l'utilizzo dei servizi](setting-up-waf.md).
Dopo aver completato questi passaggi, vedi [Guida introduttiva a AWS WAF Classic](classic-getting-started.md) per continuare a usare AWS WAF Classic.
**Nota**
AWS Shield Standard è incluso in AWS WAF Classic e non richiede configurazioni aggiuntive. Per ulteriori informazioni, consulta [Come funzionano AWS Shield e Shield Advanced](ddos-overview.md).
Prima di utilizzare AWS WAF Classic o AWS Shield Advanced per la prima volta, completa i passaggi in questa sezione.
**Topics**
+ [Registrati per un Account AWS](#sign-up-for-aws)
+ [Crea un utente con accesso amministrativo](#create-an-admin)
+ [Download degli strumenti](#classic-setting-up-waf-tools)
## Registrati per un Account AWS
Se non ne hai uno Account AWS, completa i seguenti passaggi per crearne uno.
**Per iscriverti a un Account AWS**
1. Apri la [https://portal.aws.amazon.com/billing/registrazione.](https://portal.aws.amazon.com/billing/signup)
1. Segui le istruzioni online.
Nel corso della procedura di registrazione riceverai una telefonata o un messaggio di testo e ti verrà chiesto di inserire un codice di verifica attraverso la tastiera del telefono.
Quando ti iscrivi a un Account AWS, *Utente root dell'account AWS*viene creato un. L’utente root dispone dell’accesso a tutte le risorse e tutti i Servizi AWS nell’account. Come best practice di sicurezza, assegna l’accesso amministrativo a un utente e utilizza solo l’utente root per eseguire [attività che richiedono l’accesso di un utente root](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks).
AWS ti invia un'email di conferma dopo il completamento della procedura di registrazione. In qualsiasi momento, puoi visualizzare l'attività corrente del tuo account e gestirlo accedendo a [https://aws.amazon.com/](https://aws.amazon.com/)e scegliendo **Il mio account**.
## Crea un utente con accesso amministrativo
Dopo esserti registrato Account AWS, proteggi Utente root dell'account AWS AWS IAM Identity Center, abilita e crea un utente amministrativo in modo da non utilizzare l'utente root per le attività quotidiane.
**Proteggi i tuoi Utente root dell'account AWS**
1. Accedi [Console di gestione AWS](https://console.aws.amazon.com/)come proprietario dell'account scegliendo **Utente root** e inserendo il tuo indirizzo Account AWS email. Nella pagina successiva, inserisci la password.
Per informazioni sull’accesso utilizzando un utente root, consulta la pagina [Accedere come utente root](https://docs.aws.amazon.com/signin/latest/userguide/console-sign-in-tutorials.html#introduction-to-root-user-sign-in-tutorial) nella *Guida per l’utente di Accedi ad AWS *.
1. Abilita l’autenticazione a più fattori (MFA) per l’utente root.
Per istruzioni, consulta [Abilitare un dispositivo MFA virtuale per l'utente Account AWS root (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/enable-virt-mfa-for-root.html) nella Guida per l'*utente IAM*.
**Crea un utente con accesso amministrativo**
1. Abilita il Centro identità IAM.
Per istruzioni, consulta [Abilitazione del AWS IAM Identity Center](https://docs.aws.amazon.com//singlesignon/latest/userguide/get-set-up-for-idc.html) nella *Guida per l’utente di AWS IAM Identity Center *.
1. Nel Centro identità IAM, assegna l’accesso amministrativo a un utente.
Per un tutorial sull'utilizzo di IAM Identity Center directory come fonte di identità, consulta [Configurare l'accesso utente con l'impostazione predefinita IAM Identity Center directory](https://docs.aws.amazon.com//singlesignon/latest/userguide/quick-start-default-idc.html) nella *Guida per l'AWS IAM Identity Center utente*.
**Accesso come utente amministratore**
+ Per accedere come utente del Centro identità IAM, utilizza l’URL di accesso che è stato inviato al tuo indirizzo e-mail quando hai creato l’utente del Centro identità IAM.
Per informazioni sull'accesso utilizzando un utente IAM Identity Center, consulta [AWS Accedere al portale di accesso](https://docs.aws.amazon.com/signin/latest/userguide/iam-id-center-sign-in-tutorial.html) nella *Guida per l'Accedi ad AWS utente*.
**Assegnazione dell’accesso ad altri utenti**
1. Nel Centro identità IAM, crea un set di autorizzazioni conforme alla best practice per l’applicazione di autorizzazioni con il privilegio minimo.
Segui le istruzioni riportate nella pagina [Creazione di un set di autorizzazioni](https://docs.aws.amazon.com//singlesignon/latest/userguide/get-started-create-a-permission-set.html) nella *Guida per l’utente di AWS IAM Identity Center *.
1. Assegna al gruppo prima gli utenti e poi l’accesso con autenticazione unica (Single Sign-On).
Per istruzioni, consulta [Aggiungere gruppi](https://docs.aws.amazon.com//singlesignon/latest/userguide/addgroups.html) nella *Guida per l’utente di AWS IAM Identity Center *.
## Download degli strumenti
Console di gestione AWS Include una console per AWS WAF Classic, ma se desideri accedere a AWS WAF Classic a livello di codice, consulta quanto segue:
+ Se desideri chiamare l'API AWS WAF Classic senza dover gestire dettagli di basso livello come l'assemblaggio di richieste HTTP non elaborate, puoi utilizzare un SDK. AWS AWS SDKs Forniscono funzioni e tipi di dati che incapsulano le funzionalità di Classic e di AWS WAF altri servizi. AWS Per scaricare un AWS SDK, consulta la pagina relativa, che include anche i prerequisiti e le istruzioni di installazione:
+ [Java](https://aws.amazon.com/sdk-for-java/)
+ [JavaScript](https://aws.amazon.com/sdkforbrowser/)
+ [.NET](https://aws.amazon.com/sdk-for-net/)
+ [Node.js](https://aws.amazon.com/sdk-for-node-js/)
+ [PHP](https://aws.amazon.com/sdk-for-php/)
+ [Python](https://github.com/boto/boto)
+ [Ruby](https://aws.amazon.com/sdk-for-ruby/)
Per un elenco completo di AWS SDKs, consulta [Tools for Amazon Web Services](https://aws.amazon.com/tools/).
+ Se utilizzi un linguaggio di programmazione che AWS non fornisce un SDK, l'[AWS WAF API Reference](https://docs.aws.amazon.com/waf/latest/APIReference/) documenta le operazioni supportate da AWS WAF Classic.
+ Il AWS Command Line Interface (AWS CLI) supporta AWS WAF Classic. Ti AWS CLI consente di controllare più AWS servizi dalla riga di comando e di automatizzarli tramite script. Per ulteriori informazioni, consulta [AWS Command Line Interface](https://aws.amazon.com/cli/).
+ AWS Tools for Windows PowerShell supporta la versione classica AWS WAF . Per ulteriori informazioni, consulta la [Documentazione di riferimento per Cmdlet AWS Strumenti per PowerShell](https://aws.amazon.com/documentation/powershell/).
# Come funziona AWS WAF Classic
**avvertimento**
AWS WAF Classic sta attraversando un end-of-life processo pianificato. Consulta la AWS Health dashboard per le tappe fondamentali e le date specifiche della tua regione.
**Nota**
Questa è la documentazione **AWS WAF classica**. Dovresti usare questa versione solo se hai creato AWS WAF risorse, come regole e web ACLs, AWS WAF prima di novembre 2019 e non le hai ancora migrate alla versione più recente. Per migrare il tuo sito web ACLs, consulta. [Migrazione delle risorse AWS WAF Classic a AWS WAF](waf-migrating-from-classic.md)
**Per la versione più recente di AWS WAF**, vedi[AWS WAF](waf-chapter.md).
Utilizzi AWS WAF Classic per controllare il modo in cui API Gateway, Amazon CloudFront o un Application Load Balancer rispondono alle richieste web. Inizi creando condizioni, regole ed elenchi di controllo degli accessi Web (webACLs). Definisci le condizioni, combini le condizioni in regole e combini le regole in un'ACL Web.
**Nota**
Puoi anche usare AWS WAF Classic per proteggere le tue applicazioni ospitate nei contenitori Amazon Elastic Container Service (Amazon ECS). Amazon ECS è un servizio di gestione dei container veloce e altamente scalabile che semplifica l'esecuzione, l'arresto e la gestione dei contenitori Docker su un cluster. Per utilizzare questa opzione, configuri Amazon ECS per utilizzare un Application Load Balancer con funzionalità AWS WAF Classic per instradare e HTTP/HTTPS proteggere il traffico (livello 7) tra le attività del tuo servizio. Per ulteriori informazioni, consulta l'argomento [Service Load Balancing](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/service-load-balancing.html) nella *Amazon Elastic Container Service Developer Guide*.
**Condizioni**
Le condizioni definiscono le caratteristiche di base che vuoi che AWS WAF Classic tenga in considerazione nelle richieste web:
+ Gli script che potrebbero essere dannosi. Alcuni malintenzionati incorporano script che possono sfruttare le vulnerabilità nelle applicazioni Web. Questa operazione è nota come *Cross-site scripting*.
+ Gli indirizzi IP o gli intervalli di indirizzi di origine delle richieste.
+ Il paese o la posizione geografica di origine delle richieste.
+ La lunghezza delle parti specificate della richiesta, ad esempio la stringa di query.
+ Il codice SQL che potrebbe essere dannoso. I malintenzionati provano a estrarre i dati dal tuo database incorporando codice SQL dannoso in una richiesta Web. Questa operazione è nota come *SQL injection*.
+ Le stringhe presenti nella richiesta, ad esempio, i valori nell'intestazione `User-Agent` o le stringhe di testo visualizzate nella stringa di query. È inoltre possibile usare espressioni regolari (regex) per specificare queste stringhe.
Alcune condizioni richiedono più valori. Ad esempio, è possibile specificare fino a 10.000 indirizzi IP o intervalli di indirizzi IP in una condizione IP.
**Regole**
Combini le condizioni in regole per indirizzare con precisione le richieste che desideri consentire, bloccare o contare. AWS WAF Classic offre due tipi di regole:
Regola normale
Le regole normali usano solo le condizioni per indirizzare richieste specifiche. Ad esempio, in base alle richieste recenti che hai ricevuto da un malintenzionato, potresti creare una regola che includa le seguenti condizioni:
+ Le richieste provengono da 192.0.2.44.
+ Contengono il valore `BadBot` nell'intestazione `User-Agent`.
+ Sembrano includere codice di tipo SQL nella stringa di query.
Quando una regola include più condizioni, come in questo esempio, AWS WAF Classic cerca le richieste che soddisfano tutte le condizioni, ovvero le condizioni `AND` insieme.
Aggiungere almeno una condizione per un regola normale. Una regola normale senza condizioni non può corrispondere ad alcuna richiesta, pertanto l'operazione della regola (consenso, conteggio o blocco) non viene mai attivata.
Regola basata sulla frequenza
Le regole basate sulla frequenza sono come le regole normali con un limite di frequenza aggiunto. Una regola basata sulla frequenza conta le richieste che arrivano da indirizzi IP che soddisfano le condizioni della regola. Se le richieste provenienti da un indirizzo IP superano il limite di frequenza in un periodo di cinque minuti, la regola può attivare un'operazione. L'attivazione dell'azione può richiedere uno o due minuti.
Le condizioni sono facoltative per le regole basate sulla frequenza. Se non aggiungi alcuna condizione in una regola basata sulla frequenza, il limite di frequenza si applica a tutti gli indirizzi IP. Se combini le condizioni con il limite di frequenza, il limite di frequenza si applica a indirizzi IP che soddisfano le condizioni.
Ad esempio, in base alle richieste recenti che hai ricevuto da un malintenzionato, potresti creare una regola basata sulla frequenza che includa le seguenti condizioni:
+ Le richieste provengono da 192.0.2.44.
+ Contengono il valore `BadBot` nell'intestazione `User-Agent`.
In questa regola basata sulla frequenza, definisci anche un limite di velocità. In questo esempio, supponiamo di creare un limite di frequenza di 1.000. Le richieste che soddisfano entrambe le condizioni precedenti e superano le 1.000 richieste per cinque minuti attivano l'operazione della regola (blocco o conteggio), definita nell'ACL Web.
Le richieste che non soddisfano entrambe le condizioni non vengono conteggiate ai fini del limite di frequenza e non sono influenzate da questa regola.
Come secondo esempio, supponiamo che desideri limitare le richieste a una determinata pagina nel sito Web. Per farlo, è possibile aggiungere la seguente condizione di corrispondenza stringa a una regola basata sulla frequenza:
+ Il valore **Part of the request to filter on (Parte della richiesta sulla quale filtrare)** è `URI`.
+ Il valore **Match Type (Tipo di corrispondenza)** è `Starts with`.
+ Il valore **Value to match (Valore per la corrispondenza)** è `login`.
Inoltre, è necessario specificare un `RateLimit` di 1.000.
Tramite l'aggiunta di questa regola basata sulla frequenza all'ACL Web, è possibile limitare le richieste alla pagina di accesso senza influenzare il resto del sito.
**Web ACLs**
Dopo aver combinato le condizioni in regole, le regole vengono combinate in un'ACL Web. Qui è possibile definire un'azione per ogni regola (consentire, bloccare o contare) e un'azione predefinita:
**Un'operazione per ogni regola**
Quando una richiesta Web soddisfa tutte le condizioni di una regola, AWS WAF Classic può bloccare la richiesta o consentire l'inoltro della richiesta all'API Gateway API, alla CloudFront distribuzione o a un Application Load Balancer. Specificate l'azione che desiderate che AWS WAF Classic esegua per ogni regola.
AWS WAF Classic confronta una richiesta con le regole di un ACL Web nell'ordine in cui sono elencate le regole. AWS WAF Classic esegue quindi l'azione associata alla prima regola a cui corrisponde la richiesta. Ad esempio, se una richiesta Web corrisponde a una regola che consente le richieste e un'altra regola che blocca le richieste, AWS WAF Classic consentirà o bloccherà la richiesta a seconda della regola elencata per prima.
Se desideri testare una nuova regola prima di iniziare a utilizzarla, puoi anche configurare AWS WAF Classic per contare le richieste che soddisfano tutte le condizioni della regola. Come per le regole che consentono o bloccano le richieste, una regola che conta le richieste è influenzata dalla sua posizione nell'elenco delle regole nell'ACL Web. Ad esempio, se una richiesta Web corrisponde a una regola che consente le richieste e un'altra regola che conteggia le richieste e se la regola che consente le richieste è elencata per prima, questa richiesta non viene conteggiata.
**Operazione predefinita**
L'azione predefinita determina se AWS WAF Classic consente o blocca una richiesta che non soddisfa tutte le condizioni di nessuna delle regole dell'ACL Web. Ad esempio, supponi di creare un'ACL Web e di aggiungere solo la regola che hai definito prima:
+ Le richieste provengono da 192.0.2.44.
+ Contengono il valore `BadBot` nell'intestazione `User-Agent`.
+ Sembrano includere codice di tipo SQL dannoso nella stringa di query.
Se una richiesta non soddisfa tutte e tre le condizioni della regola e se l'azione predefinita è`ALLOW`, AWS WAF Classic inoltra la richiesta ad API Gateway CloudFront o a un Application Load Balancer e il servizio risponde con l'oggetto richiesto.
Se aggiungi due o più regole a un ACL web, AWS WAF Classic esegue l'azione predefinita solo se una richiesta non soddisfa tutte le condizioni di nessuna delle regole. Ad esempio, supponi di aggiungere una seconda regola che contenga una condizione:
+ Le richieste che contengono il valore `BIGBadBot` nell'intestazione `User-Agent`.
AWS WAF Classic esegue l'azione predefinita solo quando una richiesta non soddisfa tutte e tre le condizioni della prima regola e non soddisfa l'unica condizione della seconda regola.
In alcune occasioni, AWS WAF potrebbe verificarsi un errore interno che ritarda la risposta ad Amazon API Gateway, Amazon CloudFront o un Application Load Balancer sull'opportunità di consentire o bloccare una richiesta. In tali occasioni CloudFront generalmente consente la richiesta o fornisce il contenuto. API Gateway e Application Load Balancer in genere rifiutano la richiesta e non distribuiscono i contenuti.
# AWS WAF Prezzi classici
**avvertimento**
AWS WAF Classic sta attraversando un end-of-life processo pianificato. Consulta la AWS Health dashboard per le tappe fondamentali e le date specifiche della tua regione.
**Nota**
Questa è la documentazione **AWS WAF classica**. Dovresti usare questa versione solo se hai creato AWS WAF risorse, come regole e web ACLs, AWS WAF prima di novembre 2019 e non le hai ancora migrate alla versione più recente. Per migrare il tuo sito web ACLs, consulta. [Migrazione delle risorse AWS WAF Classic a AWS WAF](waf-migrating-from-classic.md)
**Per la versione più recente di AWS WAF**, vedi[AWS WAF](waf-chapter.md).
Con AWS WAF Classic, paghi solo per il Web ACLs e le regole che crei e per il numero di richieste HTTP esaminate da AWS WAF Classic. Per ulteriori informazioni, consulta la sezione [Prezzi AWS WAF Classic](https://aws.amazon.com/waf/pricing/).
# Guida introduttiva a AWS WAF Classic
**avvertimento**
AWS WAF Classic sta attraversando un end-of-life processo pianificato. Consulta la AWS Health dashboard per le tappe fondamentali e le date specifiche della tua regione.
**Nota**
Questa è la documentazione **AWS WAF classica**. Dovresti usare questa versione solo se hai creato AWS WAF risorse, come regole e web ACLs, AWS WAF prima di novembre 2019 e non le hai ancora migrate alla versione più recente. Per migrare il tuo sito web ACLs, consulta. [Migrazione delle risorse AWS WAF Classic a AWS WAF](waf-migrating-from-classic.md)
**Per la versione più recente di AWS WAF**, vedi[AWS WAF](waf-chapter.md).
Questo tutorial mostra come utilizzare AWS WAF Classic per eseguire le seguenti attività:
+ Configura AWS WAF Classic.
+ Crea un elenco di controllo degli accessi Web (Web ACL) utilizzando la console AWS WAF Classic e specifica le condizioni che desideri utilizzare per filtrare le richieste Web. Ad esempio, è possibile specificare gli indirizzi IP da cui provengono le richieste e i valori nella richiesta che vengono utilizzati solo da aggressori.
+ Aggiungere le condizioni a una regola. Il regolamento consente di indicare quali richieste Web bloccare e quali consentire. Una richiesta Web deve soddisfare tutte le condizioni di una regola prima che AWS WAF Classic blocchi o consenta le richieste in base alle condizioni specificate.
+ Aggiungere il regolamento al proprio ACL Web. A questo punto, è necessario specificare se si desidera bloccare o consentire le richieste Web in base alle condizioni aggiunte per ogni regola.
+ Specificare un'azione predefinita, bloccarla o consentirla. Questa è l'azione che AWS WAF Classic esegue quando una richiesta web non corrisponde a nessuna delle tue regole.
+ Scegli la CloudFront distribuzione Amazon per cui desideri che AWS WAF Classic esamini le richieste web. Questo tutorial illustra solo i passaggi per CloudFront, ma il processo per Application Load Balancer e Amazon API Gateway è APIs essenzialmente lo stesso. AWS WAF Classic for CloudFront è disponibile per tutti Regioni AWS. AWS WAF La versione classica da utilizzare con API Gateway o Application Load Balancer è disponibile nelle regioni elencate negli endpoint del [AWS servizio](https://docs.aws.amazon.com/general/latest/gr/rande.html).
**Nota**
AWS in genere ti addebita meno di 0,25 USD al giorno per le risorse che crei durante questo tutorial. Una volta completato il tutorial, ti consigliamo di eliminare le risorse per evitare di incorrere in spese non necessarie.
**Topics**
+ [Passaggio 1: configura Classic AWS WAF](#classic-getting-started-aws-account)
+ [Fase 2: creare un'ACL Web](#classic-getting-started-wizard-create-web-acl)
+ [Fase 3: creare una condizione di corrispondenza IP](#classic-getting-started-wizard-create-ip-condition)
+ [Fase 4: creare una condizione di corrispondenza geografica](#classic-getting-started-wizard-create-geo-condition)
+ [Fase 5: creare una condizione di corrispondenza stringa](#classic-getting-started-wizard-create-string-condition)
+ [Fase 5A: creare una condizione di espressione regolare (facoltativo)](#classic-getting-started-wizard-create-regex-condition)
+ [Fase 6: creare una condizione di corrispondenza SQL injection](#classic-getting-started-wizard-create-sql-condition)
+ [Fase 7: (facoltativo) creare condizioni aggiuntive](#classic-getting-started-wizard-create-optional-conditions)
+ [Fase 8: creare una regola e aggiunta delle condizioni](#classic-getting-started-wizard-create-rule)
+ [Fase 9: aggiungere la regola all'ACL Web](#classic-getting-started-wizard-add-rule)
+ [Fase 10: eliminare le risorse](#classic-getting-started-wizard-clean-up)
## Passaggio 1: configura Classic AWS WAF
Se non hai già seguito la procedura di configurazione generale riportata in precedenza[Configurazione della AWS WAF versione classica](classic-setting-up-waf.md), fallo ora.
## Fase 2: creare un'ACL Web
La console AWS WAF Classic guida l'utente nel processo di configurazione di AWS WAF Classic per bloccare o consentire le richieste Web in base a condizioni specificate, ad esempio gli indirizzi IP da cui provengono le richieste o i valori nelle richieste. In questa fase verrà creata un'ACL Web.
**Come creare una lista di controllo degli accessi (ACL) web**
1. Accedi a Console di gestione AWS e apri la AWS WAF console all'indirizzo [https://console.aws.amazon.com/wafv2/](https://console.aws.amazon.com/wafv2/).
Se vedi **Passa alla AWS WAF versione classica** nel riquadro di navigazione, selezionalo.
1. Se è la prima volta che usi la AWS WAF versione classica, scegli **Vai alla AWS WAF versione classica**, quindi scegli **Configura Web ACL.**
Se hai già utilizzato la AWS WAF versione classica, scegli **Web ACLs** nel pannello di navigazione, quindi scegli **Crea ACL web**.
1. Nella pagina **Name web ACL (Nomina l'ACL Web)**, inserire un nome per **Web ACL name (Nome ACL Web)**.
**Nota**
Non è possibile modificare il nome dopo aver creato l'ACL Web.
1. Per il **nome della CloudWatch metrica**, inserisci un nome. Il nome può contenere solo caratteri alfanumerici (A - Z, a - z, 0 - 9). Non può contenere spazi.
**Nota**
Non è possibile modificare il nome dopo aver creato l'ACL Web.
1. In ** Region (Regione)**, scegliere una Regione. Se assocerai questo ACL web a una CloudFront distribuzione, scegli **Global () CloudFront**.
1. **Per la **AWS risorsa da associare**, scegliete la risorsa che desiderate associare al vostro ACL web, quindi scegliete Avanti.**
## Fase 3: creare una condizione di corrispondenza IP
Una condizione di corrispondenza IP specifica gli indirizzi IP o gli intervalli dell'indirizzo IP da cui ha origine la richiesta. In questa fase verrà creata una condizione di corrispondenza IP. In un secondo momento, sarà necessario specificare se si desidera consentire o bloccare le richieste provenienti da indirizzi IP specificati.
**Nota**
Per ulteriori informazioni sulle condizioni di corrispondenza IP, consulta [Utilizzo di condizioni di corrispondenza IP](classic-web-acl-ip-conditions.md).
**Per creare una condizione di corrispondenza IP**
1. Nella pagina **Create conditions (Crea condizioni)**, per **IP match conditions (Condizioni di corrispondenza IP)**, scegliere **Create condition (Crea condizione)**.
1. Nella finestra di dialogo **Create IP match condition (Crea condizione di corrispondenza IP)**, per **Name (Nome)**, immettere un nome. Il nome può contenere solo caratteri alfanumerici (A - Z, a - z, 0 - 9) o i seguenti caratteri speciali: \$1-\$1"\$1`\$1\$1\$1,./ .
1. Per **Address (Indirizzo)**, immettere **192.0.2.0/24**. Questo intervallo dell'indirizzo IP specificato nella notazione CIDR include gli indirizzi IP da 192.0.2.0 a 192.0.2.255. (L'intervallo dell'indirizzo IP 192.0.2.0/24 è solo un esempio, perciò nessuna richiesta Web avrà origine da questi indirizzi IP).
AWS WAF La versione classica supporta gli intervalli di IPv4 indirizzi: /8 e qualsiasi intervallo compreso tra /16 e /32. AWS WAF La versione classica supporta gli intervalli di IPv6 indirizzi: /24, /32, /48, /56, /64 e /128. Per specificare un solo indirizzo IP, ad esempio 192.0.2.44, immettere **192.0.2.44/32**. Altri intervalli non sono supportati.
Per ulteriori informazioni sulla notazione CIDR, consulta [Supernetting](https://en.wikipedia.org/wiki/Classless_Inter-Domain_Routing) su Wikipedia.
1. Scegli **Create** (Crea).
## Fase 4: creare una condizione di corrispondenza geografica
Una condizione di corrispondenza geografica specifica il paese o i paesi da cui hanno origine le richieste. In questa fase verrà creata una condizione di corrispondenza geografica. In un secondo momento, sarà necessario specificare se si desidera consentire o bloccare le richieste provenienti da paesi specificati.
**Nota**
Per ulteriori informazioni sulle condizioni di corrispondenza geografica, consulta [Utilizzo di condizioni di corrispondenza geografica](classic-web-acl-geo-conditions.md).
**Per creare una condizione di corrispondenza geografica**
1. Nella pagina **Create conditions (Crea condizioni)**, per **Geo match conditions (Condizioni di corrispondenza geografica)**, scegliere **Create condition (Crea condizione)**.
1. Nella finestra di dialogo **Create geo match condition (Crea condizione di corrispondenza geografica)**, per **Name (Nome)**, immettere un nome. Il nome può contenere solo caratteri alfanumerici (A - Z, a - z, 0 - 9) o i seguenti caratteri speciali: \$1-\$1"\$1`\$1\$1\$1,./ .
1. Scegliere un **Location type (Tipo di luogo)** e un paese. Attualmente, **Location type (Tipo di posizione)** può essere solo **Country (Paese)**.
1. Scegliere **Add location (Aggiungi luogo)**.
1. Scegli **Create** (Crea).
## Fase 5: creare una condizione di corrispondenza stringa
Una condizione di corrispondenza delle stringhe identifica le stringhe che si desidera che AWS WAF Classic cerchi in una richiesta, ad esempio un valore specificato in un'intestazione o in una stringa di query. Di solito, una stringa è composta da caratteri ASCII stampabili, ma è possibile specificare qualsiasi carattere esadecimale da 0x00 a 0xFF (decimale da 0 a 255). In questa fase verrà creata una condizione di corrispondenza stringa. In un secondo momento, sarà necessario specificare se si desidera consentire o bloccare le richieste che contengono le stringhe specificate.
**Nota**
Per ulteriori informazioni sulle condizioni di corrispondenza stringa, consulta [Utilizzo di condizioni di corrispondenza per stringa](classic-web-acl-string-conditions.md).
**Per creare una condizione di corrispondenza stringa**
1. Nella pagina **Create conditions (Crea condizioni)**, per **String and regex match conditions (Condizioni di corrispondenza e regex stringa)**, scegliere **Create condition (Crea condizione)**.
1. Nella finestra di dialogo **Create string match condition (Crea condizione di corrispondenza stringa)**, immettere i seguenti valori:
**Name**
Inserire un nome. Il nome può contenere solo caratteri alfanumerici (A - Z, a - z, 0 - 9) o i seguenti caratteri speciali: \$1-\$1"\$1`\$1\$1\$1,./ .
**Tipo**
Scegliere **String match (Corrispondenza stringa)**.
**Parte della richiesta su cui applicare un filtro**
Scegliete la parte della richiesta Web che desiderate che AWS WAF Classic esamini per una stringa specificata.
Per questo esempio, scegliere **Header (Intestazione)**.
Se scegliete **Body** come valore di **Parte della richiesta su cui filtrare**, AWS WAF Classic ispeziona solo i primi 8192 byte (8 KB) perché CloudFront inoltra solo i primi 8192 byte per l'ispezione. Per consentire o bloccare le richieste il cui corpo è più lungo di 8192 byte, puoi creare una condizione di vincolo di dimensione. (AWS WAF Classic ottiene la lunghezza del corpo dalle intestazioni della richiesta.) Per ulteriori informazioni, consulta [Utilizzo di condizioni per i vincoli di dimensioni](classic-web-acl-size-conditions.md).
**Intestazione (obbligatoria se la "Parte della richiesta su cui applicare un filtro" è "Intestazione")**
Poiché hai scelto **Intestazione** come **parte della richiesta su cui filtrare**, devi specificare quale intestazione vuoi che AWS WAF Classic esamini. Immettere **User-Agent**. (Questo valore prevede la distinzione tra lettere maiuscole e minuscole).
**Tipo di corrispondenza**
Scegliere la posizione in cui deve comparire la stringa specificata nell'intestazione di **User-Agent (Utente-Agente)**, ad esempio all'inizio, alla fine o in qualsiasi parte della stringa.
Per questo esempio, scegliete **Exactly matches**, il che indica che AWS WAF Classic esamina le richieste Web alla ricerca di un valore di intestazione identico al valore specificato.
**Trasformazione**
Nel tentativo di aggirare la AWS WAF versione classica, gli aggressori utilizzano una formattazione insolita nelle richieste Web, ad esempio aggiungendo spazi bianchi o codificando l'URL in parte o nella totalità della richiesta. Le trasformazioni convertono la richiesta Web in un formato più standard rimuovendo spazi, decodificando l'URL della richiesta oppure eseguendo altre operazioni in grado di eliminare gran parte delle formattazioni insolite, utilizzate comunemente dagli aggressori.
È possibile specificare solo un unico tipo di trasformazione del testo.
Per questo esempio, scegliere **None (Nessuna)**.
**Il valore è codificato con base64**
Quando il valore inserito in **Value to match (Valore per la corrispondenza)** è già codificato con base64, selezionare questa casella di controllo.
Per questo esempio, non selezionare la casella di controllo.
**Valore per la corrispondenza**
Specificate il valore che desiderate che AWS WAF Classic cerchi nella parte delle richieste Web che avete indicato in **Parte** della richiesta su cui filtrare.
Per questo esempio, inserisci **BadBot**. AWS WAF Classic esaminerà il valore nell'`User-Agent`intestazione delle richieste Web. **BadBot**
La lunghezza massima di **Value to match (Valore per la corrispondenza)** è di 50 caratteri. Se si desidera specificare un valore con codifica base64, è possibile fornire fino a 50 caratteri prima della codifica.
1. Se desideri che AWS WAF Classic controlli le richieste Web alla ricerca di più valori, ad esempio un'`User-Agent`intestazione che contiene `BadBot` e una stringa di query che contiene`BadParameter`, hai due scelte:
+ Se si desidera consentire o bloccare le richieste Web solo quando contengono entrambi i valori (`AND`), è necessario creare una condizione di corrispondenza stringa per ogni valore.
+ Se si desidera consentire o bloccare le richieste Web solo quando contengono uno o entrambi i valori (`OR`), è necessario aggiungere entrambi i valori sulla stessa condizione di corrispondenza stringa.
Per questo esempio, scegliere **Create (Crea)**.
## Fase 5A: creare una condizione di espressione regolare (facoltativo)
Una condizione di espressione regolare è un tipo di condizione di corrispondenza delle stringhe e simile in quanto identifica le stringhe che AWS WAF Classic deve cercare in una richiesta, ad esempio un valore specificato in un'intestazione o in una stringa di query. La differenza principale è che si utilizza un'espressione regolare (regex) per specificare il modello di stringa che si desidera che AWS WAF Classic cerchi. In questa fase verrà creata una condizione di corrispondenza regex. In un secondo momento, sarà necessario specificare se si desidera consentire o bloccare le richieste che contengono le stringhe specificate.
**Nota**
Per ulteriori informazioni sulle condizioni di corrispondenza regex, consulta [Utilizzo di condizioni di corrispondenza per regex](classic-web-acl-regex-conditions.md).
**Per creare una condizione di corrispondenza regex**
1. Nella pagina **Create conditions (Crea condizioni)**, per **String and regex match conditions (Condizioni di corrispondenza e regex stringa)**, scegliere **Create condition (Crea condizione)**.
1. Nella finestra di dialogo **Create string match condition (Crea condizione di corrispondenza stringa)**, immettere i seguenti valori:
**Name**
Inserire un nome. Il nome può contenere solo caratteri alfanumerici (A - Z, a - z, 0 - 9) o i seguenti caratteri speciali: \$1-\$1"\$1`\$1\$1\$1,./ .
**Tipo**
Scegliere **Regex match (Corrispondenza regex)**.
**Parte della richiesta su cui applicare un filtro**
Scegliete la parte della richiesta Web che desiderate che AWS WAF Classic esamini per una stringa specificata.
Per questo esempio, scegliere **Body (Corpo)**.
Se scegliete **Body** come valore di **Parte della richiesta su cui filtrare**, AWS WAF Classic ispeziona solo i primi 8192 byte (8 KB) perché CloudFront inoltra solo i primi 8192 byte per l'ispezione. Per consentire o bloccare le richieste il cui corpo è più lungo di 8192 byte, puoi creare una condizione di vincolo di dimensione. (AWS WAF Classic ottiene la lunghezza del corpo dalle intestazioni della richiesta.) Per ulteriori informazioni, consulta [Utilizzo di condizioni per i vincoli di dimensioni](classic-web-acl-size-conditions.md).
**Trasformazione**
Nel tentativo di aggirare AWS WAF Classic, gli aggressori utilizzano una formattazione insolita nelle richieste web, ad esempio aggiungendo spazi bianchi o codificando gli URL in parte o nella totalità della richiesta. Le trasformazioni convertono la richiesta Web in un formato più standard rimuovendo spazi, decodificando l'URL della richiesta oppure eseguendo altre operazioni in grado di eliminare gran parte delle formattazioni insolite, utilizzate comunemente dagli aggressori.
È possibile specificare solo un unico tipo di trasformazione del testo.
Per questo esempio, scegliere **None (Nessuna)**.
**Modelli regex che soddisfano la richiesta**
Scegliere **Create regex pattern set (Crea set del modello regex)**.
**Nuovo nome del set del modello**
Immettete un nome, quindi specificate lo schema regex che desiderate che Classic cerchi. AWS WAF
Immettete quindi l'espressione regolare **I [a@] mAb [a@]** DRequest. AWS WAF Classic esaminerà l'`User-Agent`intestazione delle richieste web per i valori:
+ **Sono una richiesta ABad**
+ **IamAB@dRequest**
+ **ABadRichiesta I @m**
+ **I@mAB@dRequest**
1. Scegliere **Create pattern set and add filter (Crea set del modello e aggiungi filtro)**.
1. Scegli **Create** (Crea).
## Fase 6: creare una condizione di corrispondenza SQL injection
Una condizione di SQL injection match identifica la parte delle richieste Web, ad esempio un'intestazione o una stringa di query, che si desidera che AWS WAF Classic esamini per rilevare la presenza di codice SQL dannoso. Gli aggressori utilizzano query SQL per estrarre i dati dal database. In questa fase verrà creata una condizione di corrispondenza SQL injection. In un secondo momento, sarà necessario specificare se si desidera consentire o bloccare le richieste che sembrano contenere codice SQL dannoso.
**Nota**
Per ulteriori informazioni sulle condizioni di corrispondenza stringa, consulta [Utilizzo di condizioni di corrispondenza SQL injection](classic-web-acl-sql-conditions.md).
**Per creare condizione di corrispondenza SQL injection**
1. Nella pagina **Create conditions (Crea condizioni)**, per **SQL injection conditions (Condizioni di corrispondenza SQL injection)**, scegliere **Create condition (Crea condizione)**.
1. Nella finestra di dialogo **Create SQL injection match condition (Crea condizione di corrispondenza SQL injection)**, immettere i seguenti valori:
**Name**
Inserire un nome.
**Parte della richiesta su cui applicare un filtro**
Scegliete la parte delle richieste Web che AWS WAF Classic deve ispezionare per rilevare la presenza di codice SQL dannoso.
Per questo esempio, scegliere **Query string (Stringa di query)**.
Se scegli **Body** come valore di **Parte della richiesta su cui filtrare**, AWS WAF Classic ispeziona solo i primi 8192 byte (8 KB) perché CloudFront inoltra solo i primi 8192 byte per l'ispezione. Per consentire o bloccare le richieste il cui corpo è più lungo di 8192 byte, puoi creare una condizione di vincolo di dimensione. (AWS WAF Classic ottiene la lunghezza del corpo dalle intestazioni della richiesta.) Per ulteriori informazioni, consulta [Utilizzo di condizioni per i vincoli di dimensioni](classic-web-acl-size-conditions.md).
**Trasformazione**
Per questo esempio, scegliere **URL decode (decodifica URL)**.
Gli aggressori utilizzano una formattazione insolita, come la codifica degli URL, nel tentativo di aggirare la versione classica. AWS WAF L'opzione di **decodifica dell'URL** elimina parte di tale formattazione nella richiesta web prima che Classic esamini la richiesta. AWS WAF
È possibile specificare solo un unico tipo di trasformazione del testo.
1. Scegli **Create** (Crea).
1. Scegli **Next (Successivo)**.
## Fase 7: (facoltativo) creare condizioni aggiuntive
AWS WAF Classic include altre condizioni, tra cui le seguenti:
+ **Condizioni relative ai vincoli di dimensione**: identifica la parte delle richieste Web, ad esempio un'intestazione o una stringa di query, di cui si desidera che AWS WAF Classic controlli la lunghezza. Per ulteriori informazioni, consulta [Utilizzo di condizioni per i vincoli di dimensioni](classic-web-acl-size-conditions.md).
+ **Le condizioni di corrispondenza degli script tra siti**: identifica la parte delle richieste Web, ad esempio un'intestazione o una stringa di query, che desideri esaminare per individuare eventuali script dannosi. AWS WAF Per ulteriori informazioni, consulta [Utilizzo di condizioni di corrispondenza Cross-site scripting](classic-web-acl-xss-conditions.md).
Se lo desideri, puoi creare tali condizioni ora o passare a [Fase 8: creare una regola e aggiunta delle condizioni](#classic-getting-started-wizard-create-rule).
## Fase 8: creare una regola e aggiunta delle condizioni
Crei una regola per specificare le condizioni che vuoi che AWS WAF Classic cerchi nelle richieste web. Se aggiungi più di una condizione a una regola, una richiesta Web deve soddisfare tutte le condizioni della regola affinché AWS WAF Classic consenta o blocchi le richieste basate su quella regola.
**Nota**
Per ulteriori informazioni sulle regole, consulta [Utilizzo delle regole](classic-web-acl-rules.md).
**Per creare una regola e aggiungere condizioni**
1. Nella pagina **Create rules (crea regolamento)**, scegliere **Create rule (Crea regola)**.
1. Nella finestra di dialogo **Create rule (Crea regola)**, immettere i seguenti valori:
**Name**
Inserire un nome.
**CloudWatch nome della metrica**
Inserisci un nome per la CloudWatch metrica che AWS WAF Classic creerà e assocerà alla regola. Il nome può contenere solo caratteri alfanumerici (A - Z, a - z, 0 - 9). Non può contenere spazi.
**Tipo di regola**
Scegliere **Regola regolare** o **regola basata sulla frequenza**. Il regolamento basato sulla frequenza è identico agli altri regolamenti, ma prende in considerazione anche quante richieste arrivano dall'indirizzo IP in un periodo di cinque minuti. Per ulteriori informazioni sui tipi di regole, consulta [Come funziona AWS WAF Classic](classic-how-aws-waf-works.md). Per questo esempio, scegliere `Regular rule`.
**Limite frequenza**
Per una regola basata sulla frequenza, immetti il numero massimo di richieste da consentire in un periodo di cinque minuti da un indirizzo IP che soddisfa le condizioni della regola.
1. Per la prima condizione da aggiungere alla regola, specificare le impostazioni seguenti:
+ Scegli se desideri che AWS WAF Classic consenta o blocchi le richieste in base al fatto che una richiesta web corrisponda o meno alle impostazioni della condizione.
Per questo esempio, scegliere **does (consenti)**.
+ Scegliere il tipo di condizione da aggiungere alla regola: una condizione set di corrispondenza IP, una condizione set di corrispondenza stringa o una condizione set di corrispondenza SQL injection.
Per questo esempio, scegliere **originate from IP addresses in (origina da indirizzi IP in)**.
+ Scegliere la condizione da aggiungere alla regola.
Per questo esempio, scegliere la condizione di corrispondenza IP creata nell'attività precedente.
1. Scegliere **Aggiungi condizione**.
1. Aggiungere la condizione di corrispondenza geografica creata in precedenza. Specifica i seguenti valori:
+ **When a request does (Quando una richiesta la rispetta)**
+ **originate from a geographic location in (provengono da una posizione geografica in)**
+ Scegliere la condizione di corrispondenza geografica.
1. Seleziona **Add another condition (Aggiungi un'altra condizione)**.
1. Aggiungere la condizione di corrispondenza stringa creata in precedenza. Specifica i seguenti valori:
+ **When a request does (Quando una richiesta la rispetta)**
+ **match at least one of the filters in the string match condition (soddisfa almeno uno dei filtri nella condizione di corrispondenza stringa)**
+ Scegliere la condizione di corrispondenza stringa.
1. Scegliere **Aggiungi condizione**.
1. Aggiungere la condizione di corrispondenza SQL injection creata in precedenza. Specifica i seguenti valori:
+ **When a request does (Quando una richiesta la rispetta)**
+ **match at least one of the filters in the SQL injection match condition (soddisfa almeno uno dei filtri nella condizione di corrispondenza SQL injection)**
+ Scegliere la condizione di corrispondenza SQL injection.
1. Scegliere **Aggiungi condizione**.
1. Aggiungere la condizione di vincolo di dimensione creata in precedenza. Specifica i seguenti valori:
+ **When a request does (Quando una richiesta la rispetta)**
+ **match at least one of the filters in the size constraint condition (soddisfa almeno uno dei filtri nella condizione di vincolo di dimensione)**
+ Scegliere la condizione di vincolo di dimensione,
1. Se è stata creata un'altra condizione, ad esempio una condizione regex, aggiungerla come illustrato in precedenza.
1. Scegli **Create** (Crea).
1. Per **Default action (Operazione predefinita)**, scegliere **Allow all requests that don't match any rules (Abilita tutte le richieste che non soddisfano nessun regolamento)**.
1. Scegliere **Review and create (Rivedi e crea)**.
## Fase 9: aggiungere la regola all'ACL Web
Quando si aggiunge la regola a un'ACL Web, è necessario specificare le impostazioni seguenti:
+ L'azione che vuoi che AWS WAF Classic esegua sulle richieste web che soddisfano tutte le condizioni della regola: consentire, bloccare o contare le richieste.
+ L'operazione predefinita per l'ACL Web. Questa è l'azione che vuoi che AWS WAF Classic esegua sulle richieste web che *non* soddisfano tutte le condizioni della regola: consentire o bloccare le richieste.
AWS WAF Classic inizia a bloccare le richieste CloudFront Web che soddisfano tutte le seguenti condizioni (e tutte le altre che potresti aver aggiunto):
+ Il valore dell'intestazione di `User-Agent` è `BadBot`
+ (Se è stata creata e aggiunta una condizione regex) Il valore `Body` è costituito da una delle quattro stringhe che soddisfano il modello `I[a@]mAB[a@]dRequest`
+ Le richieste provenienti da indirizzi IP nell'intervallo 192.0.2.0 - 192.0.2.255
+ Le richieste provenienti dal paese selezionato nella condizione di corrispondenza geografica
+ Le richieste che sembrano includere codice SQL dannoso nella stringa di query.
AWS WAF Classic consente di rispondere CloudFront a tutte le richieste che non soddisfano tutte e tre queste condizioni.
## Fase 10: eliminare le risorse
Il tutorial è stato completato con successo. Per evitare che sul tuo account vengano addebitati costi aggiuntivi per la AWS WAF versione Classic, devi ripulire gli oggetti AWS WAF Classic che hai creato. In alternativa, è possibile modificare la configurazione affinché soddisfi le richieste Web da consentire, bloccare e contare.
**Nota**
AWS in genere ti addebita meno di 0,25 USD al giorno per le risorse che crei durante questo tutorial. Al termine, ti consigliamo di eliminare le risorse per evitare di incorrere in spese non necessarie.
**Per eliminare gli oggetti per i quali Classic addebita un AWS WAF costo**
1. Dissocia il tuo ACL web dalla tua CloudFront distribuzione:
1. Accedi a Console di gestione AWS e apri la AWS WAF console all'indirizzo. [https://console.aws.amazon.com/wafv2/](https://console.aws.amazon.com/wafv2/)
Se vedi **Passa alla AWS WAF versione classica** nel riquadro di navigazione, selezionalo.
1. Scegli il nome dell'ACL web che desideri eliminare. Si apre una pagina con i dettagli dell'ACL Web nel riquadro a destra.
1. Nel riquadro di destra, nella scheda **Regole**, vai alla sezione **AWS Risorse che utilizzano questa sezione ACL web**. Per la CloudFront distribuzione a cui hai associato l'ACL web, scegli la **x** nella colonna **Tipo**.
1. Rimuovere le condizioni dalla regola:
1. Nel riquadro di navigazione, scegli **Regole**.
1. Scegliere la regola creata durante il tutorial.
1. Scegliere **Edit rule (Modifica regola)**.
1. Scegliere la **x** a destra dell'intestazione di ogni condizione.
1. Scegliere **Aggiorna**.
1. Rimuovere la regola dall'ACL Web ed eliminare le ACL Web:
1. Nel riquadro di navigazione, scegli **Web ACLs**.
1. Scegli il nome dell'ACL web che hai creato durante il tutorial. Si apre una pagina con i dettagli dell'ACL Web nel riquadro a destra.
1. Nella scheda **Rules (Regolamento)**, scegliere **Edit web ACL (Modifica ACL Web)**.
1. Scegliere la **x** a destra dell'intestazione della regola.
1. Scegliere **Actions (Operazioni)**, quindi scegliere **Delete web ACL (Elimina ACL Web)**.
1. Elimina la regola:
1. Nel riquadro di navigazione, scegli **Regole**.
1. Scegliere la regola creata durante il tutorial.
1. Scegli **Elimina**.
1. Nella finestra di dialogo **Delete (Elimina)**, scegliere di nuovo **Delete (Elimina)** per confermare.
AWS WAF Classic non prevede alcun addebito per le condizioni, ma se desideri completare la pulizia, esegui la procedura seguente per rimuovere i filtri dalle condizioni ed eliminare le condizioni.
**Per eliminare i filtri e le condizioni**
1. Eliminare l'intervallo di indirizzi IP nella condizione di corrispondenza IP ed eliminare la condizione:
1. Nel pannello di navigazione della console AWS WAF Classic, scegli **Indirizzi IP**.
1. Scegliere la condizione di corrispondenza IP creata durante il tutorial.
1. Selezionare la casella di controllo aggiunta per l'intervallo di indirizzi IP.
1. Scegliere **Delete IP address or range (Elimina indirizzo IP o intervallo)**.
1. Nel riquadro **IP match conditions (Condizioni di corrispondenza IP)** scegliere **Delete (Elimina)**.
1. Nella finestra di dialogo **Delete (Elimina)**, scegliere di nuovo **Delete (Elimina)** per confermare.
1. Eliminare il filtro nella condizione di corrispondenza SQL injection ed eliminare la condizione:
1. Nel riquadro di navigazione scegliere **SQL injection**.
1. Scegliere la condizione di corrispondenza SQL injection creata durante il tutorial.
1. Selezionare la casella di controllo aggiunta per il filtro.
1. Scegli **Delete filter (Elimina filtro)**.
1. Nel riquadro **SQL injection conditions (Condizioni di corrispondenza SQL injection)** scegliere **Delete (Elimina)**.
1. Nella finestra di dialogo **Delete (Elimina)**, scegliere di nuovo **Delete (Elimina)** per confermare.
1. Eliminare il filtro nella condizione di corrispondenza stringa ed eliminare la condizione:
1. Nel riquadro di navigazione, scegliere **String and regex matching (Stringa e regex corrispondenti)**.
1. Scegliere la condizione di corrispondenza stringa creata durante il tutorial.
1. Selezionare la casella di controllo aggiunta per il filtro.
1. Scegli **Delete filter (Elimina filtro)**.
1. Nel riquadro **String match conditions (Condizioni di corrispondenza stringa)** scegliere **Delete (Elimina)**.
1. Nella finestra di dialogo **Delete (Elimina)**, scegliere di nuovo **Delete (Elimina)** per confermare.
1. Se presente, eliminare il filtro nella condizione di corrispondenza regex ed eliminare la condizione:
1. Nel riquadro di navigazione, scegliere **String and regex matching (Stringa e regex corrispondenti)**.
1. Scegliere la condizione di corrispondenza regex creata durante il tutorial.
1. Selezionare la casella di controllo aggiunta per il filtro.
1. Scegli **Delete filter (Elimina filtro)**.
1. Nel riquadro **Regex match conditions (Condizioni di corrispondenza regex)** scegliere **Delete (Elimina)**.
1. Nella finestra di dialogo **Delete (Elimina)**, scegliere di nuovo **Delete (Elimina)** per confermare.
1. Eliminare il filtro nella condizione di vincolo di dimensione ed eliminare la condizione:
1. Nel riquadro di navigazione, scegliere **Size constraints (Vincoli di dimensione)**.
1. Scegliere la condizione di vincolo di dimensione creata durante il tutorial.
1. Selezionare la casella di controllo aggiunta per il filtro.
1. Scegli **Delete filter (Elimina filtro)**.
1. Nel riquadro **Size constraint conditions (Condizioni di vincolo di dimensione)** scegliere **Delete (Elimina)**.
1. Nella finestra di dialogo **Delete (Elimina)**, scegliere di nuovo **Delete (Elimina)** per confermare.
# Creazione e configurazione di una lista di controllo accessi Web (ACL)
**avvertimento**
AWS WAF Classic sta attraversando un end-of-life processo pianificato. Consulta la AWS Health dashboard per le tappe fondamentali e le date specifiche della tua regione.
**Nota**
Questa è la documentazione **AWS WAF classica**. Dovresti usare questa versione solo se hai creato AWS WAF risorse, come regole e web ACLs, AWS WAF prima di novembre 2019 e non le hai ancora migrate alla versione più recente. Per migrare il tuo sito web ACLs, consulta. [Migrazione delle risorse AWS WAF Classic a AWS WAF](waf-migrating-from-classic.md)
**Per la versione più recente di AWS WAF**, vedi[AWS WAF](waf-chapter.md).
Un elenco di controllo degli accessi Web (Web ACL) ti offre un controllo dettagliato sulle richieste Web a cui rispondono l'API Amazon API Gateway, la CloudFront distribuzione Amazon o l'Application Load Balancer. È possibile consentire o bloccare i seguenti tipi di richieste:
+ Richieste che hanno origine da un intervallo di indirizzi IP o un indirizzo IP
+ Richieste che hanno origine da un paese specifico o da paesi specifici
+ Richieste che contengono una stringa specificata o corrispondono a un modello di espressione regolare (regex) in una particolare parte di richieste
+ Richieste che superano una lunghezza specificata
+ Richieste che sembrano contenere codice SQL dannoso (noto come SQL injection)
+ Richieste che sembrano contenere script dannosi (noto come Cross-site scripting)
È possibile anche testare qualsiasi combinazione di queste condizioni oppure bloccare o contare le richieste Web che non solo soddisfano i criteri specificati, ma che inoltre superano un determinato numero di richieste in un periodo di 5 minuti.
Per scegliere le richieste a cui desideri consentire l'accesso ai contenuti o che desideri bloccare, esegui le seguenti attività:
1. Scegli l'operazione predefinita, consenso o blocco, per le richieste Web che non corrispondono a nessuna delle condizioni specificate. Per ulteriori informazioni, consulta [Decisione dell'operazione predefinita per un'ACL Web](classic-web-acl-default-action.md).
1. Specifica le condizioni in base alle quali desideri consentire o bloccare le richieste:
+ Per consentire o bloccare le richieste in base al fatto che le richieste sembrano contenere script dannosi, crea condizioni di corrispondenza Cross-site scripting. Per ulteriori informazioni, consulta [Utilizzo di condizioni di corrispondenza Cross-site scripting](classic-web-acl-xss-conditions.md).
+ Per consentire o bloccare le richieste in base a gli indirizzi IP da cui hanno origine, crea condizioni di corrispondenza IP. Per ulteriori informazioni, consulta [Utilizzo di condizioni di corrispondenza IP](classic-web-acl-ip-conditions.md).
+ Per consentire o bloccare le richieste in base al paese da cui hanno origine, crea condizioni di corrispondenza geografica. Per ulteriori informazioni, consulta [Utilizzo di condizioni di corrispondenza geografica](classic-web-acl-geo-conditions.md).
+ Per consentire o bloccare le richieste in base al fatto che le richieste superino una lunghezza specificata, crea condizioni per i vincoli di dimensioni. Per ulteriori informazioni, consulta [Utilizzo di condizioni per i vincoli di dimensioni](classic-web-acl-size-conditions.md).
+ Per consentire o bloccare le richieste in base al fatto che le richieste sembrano contenere codice SQL dannoso, crea condizioni di corrispondenza SQL injection. Per ulteriori informazioni, consulta [Utilizzo di condizioni di corrispondenza SQL injection](classic-web-acl-sql-conditions.md).
+ Per consentire o bloccare le richieste in base alle stringhe visualizzate nelle richieste, crea condizioni di corrispondenza stringa. Per ulteriori informazioni, consulta [Utilizzo di condizioni di corrispondenza per stringa](classic-web-acl-string-conditions.md).
+ Per consentire o bloccare le richieste in base al modello regex visualizzato nelle richieste, crea condizioni di corrispondenza per regex. Per ulteriori informazioni, consulta [Utilizzo di condizioni di corrispondenza per regex](classic-web-acl-regex-conditions.md).
1. Aggiungi le condizioni a una o più regole. Se aggiungi più di una condizione alla stessa regola, le richieste web devono soddisfare tutte le condizioni affinché AWS WAF Classic consenta o blocchi le richieste in base alla regola. Per ulteriori informazioni, consulta [Utilizzo delle regole](classic-web-acl-rules.md). Facoltativamente, puoi utilizzare una regola basata sulla frequenza anziché una regola normale per limitare il numero di richieste provenienti da qualsiasi indirizzo IP che soddisfa le condizioni.
1. Aggiungi le regole a un'ACL Web. Per ogni regola, specifica se desideri che AWS WAF Classic consenta o blocchi le richieste in base alle condizioni che hai aggiunto alla regola. Se aggiungi più di una regola a un ACL web, AWS WAF Classic valuta le regole nell'ordine in cui sono elencate nell'ACL web. Per ulteriori informazioni, consulta [Lavorare con il web ACLs](classic-web-acl-working-with.md).
Quando aggiungi una nuova regola o aggiorni le regole esistenti, può essere necessario fino a un minuto prima che tali modifiche vengano visualizzate e siano attive sul Web ACLs e sulle risorse.
**Topics**
+ [Utilizzo delle condizioni](classic-web-acl-create-condition.md)
+ [Utilizzo delle regole](classic-web-acl-rules.md)
+ [Lavorare con il web ACLs](classic-web-acl-working-with.md)
# Utilizzo delle condizioni
**avvertimento**
AWS WAF Classic sta attraversando un end-of-life processo pianificato. Consulta la AWS Health dashboard per le tappe fondamentali e le date specifiche della tua regione.
**Nota**
Questa è la documentazione **AWS WAF classica**. Dovresti usare questa versione solo se hai creato AWS WAF risorse, come regole e web ACLs, AWS WAF prima di novembre 2019 e non le hai ancora migrate alla versione più recente. Per migrare il tuo sito web ACLs, consulta. [Migrazione delle risorse AWS WAF Classic a AWS WAF](waf-migrating-from-classic.md)
**Per la versione più recente di AWS WAF**, vedi[AWS WAF](waf-chapter.md).
Le condizioni specificano quando desideri consentire o bloccare le richieste.
+ Per consentire o bloccare le richieste in base al fatto che le richieste sembrano contenere script dannosi, crea condizioni di corrispondenza Cross-site scripting. Per ulteriori informazioni, consulta [Utilizzo di condizioni di corrispondenza Cross-site scripting](classic-web-acl-xss-conditions.md).
+ Per consentire o bloccare le richieste in base a gli indirizzi IP da cui hanno origine, crea condizioni di corrispondenza IP. Per ulteriori informazioni, consulta [Utilizzo di condizioni di corrispondenza IP](classic-web-acl-ip-conditions.md).
+ Per consentire o bloccare le richieste in base al paese da cui hanno origine, crea condizioni di corrispondenza geografica. Per ulteriori informazioni, consulta [Utilizzo di condizioni di corrispondenza geografica](classic-web-acl-geo-conditions.md).
+ Per consentire o bloccare le richieste in base al fatto che le richieste superino una lunghezza specificata, crea condizioni per i vincoli di dimensioni. Per ulteriori informazioni, consulta [Utilizzo di condizioni per i vincoli di dimensioni](classic-web-acl-size-conditions.md).
+ Per consentire o bloccare le richieste in base al fatto che le richieste sembrano contenere codice SQL dannoso, crea condizioni di corrispondenza SQL injection. Per ulteriori informazioni, consulta [Utilizzo di condizioni di corrispondenza SQL injection](classic-web-acl-sql-conditions.md).
+ Per consentire o bloccare le richieste in base alle stringhe visualizzate nelle richieste, crea condizioni di corrispondenza stringa. Per ulteriori informazioni, consulta [Utilizzo di condizioni di corrispondenza per stringa](classic-web-acl-string-conditions.md).
+ Per consentire o bloccare le richieste in base al modello regex visualizzato nelle richieste, crea condizioni di corrispondenza per regex. Per ulteriori informazioni, consulta [Utilizzo di condizioni di corrispondenza per regex](classic-web-acl-regex-conditions.md).
**Topics**
+ [Utilizzo di condizioni di corrispondenza Cross-site scripting](classic-web-acl-xss-conditions.md)
+ [Utilizzo di condizioni di corrispondenza IP](classic-web-acl-ip-conditions.md)
+ [Utilizzo di condizioni di corrispondenza geografica](classic-web-acl-geo-conditions.md)
+ [Utilizzo di condizioni per i vincoli di dimensioni](classic-web-acl-size-conditions.md)
+ [Utilizzo di condizioni di corrispondenza SQL injection](classic-web-acl-sql-conditions.md)
+ [Utilizzo di condizioni di corrispondenza per stringa](classic-web-acl-string-conditions.md)
+ [Utilizzo di condizioni di corrispondenza per regex](classic-web-acl-regex-conditions.md)
# Utilizzo di condizioni di corrispondenza Cross-site scripting
**avvertimento**
AWS WAF Classic sta attraversando un end-of-life processo pianificato. Consulta la AWS Health dashboard per le tappe fondamentali e le date specifiche della tua regione.
**Nota**
Questa è la documentazione **AWS WAF classica**. Dovresti usare questa versione solo se hai creato AWS WAF risorse, come regole e web ACLs, AWS WAF prima di novembre 2019 e non le hai ancora migrate alla versione più recente. Per migrare il tuo sito web ACLs, consulta. [Migrazione delle risorse AWS WAF Classic a AWS WAF](waf-migrating-from-classic.md)
**Per la versione più recente di AWS WAF**, vedi[AWS WAF](waf-chapter.md).
A volte gli aggressori inseriscono script nelle richieste Web nel tentativo di sfruttare le vulnerabilità delle applicazioni Web. È possibile creare una o più condizioni di corrispondenza tra gli script tra siti per identificare le parti delle richieste Web, come l'URI o la stringa di query, che si desidera che AWS WAF Classic analizzi per individuare eventuali script dannosi. In un secondo momento, quando crei un'ACL Web, specifichi se desideri consentire o bloccare le richieste che sembrano contenere script dannosi.
**Topics**
+ [Creazione di condizioni di corrispondenza Cross-site scripting](#classic-web-acl-xss-conditions-creating)
+ [Valori da specificare durante la creazione o la modifica di condizioni di corrispondenza Cross-site scripting](#classic-web-acl-xss-conditions-values)
+ [Aggiunta ed eliminazione di filtri in una condizione di corrispondenza Cross-site scripting](#classic-web-acl-xss-conditions-editing)
+ [Eliminazione di condizioni di corrispondenza Cross-site scripting](#classic-web-acl-xss-conditions-deleting)
## Creazione di condizioni di corrispondenza Cross-site scripting
Quando crei condizioni di corrispondenza Cross-site scripting, specifichi i filtri. I filtri indicano la parte di richieste Web che AWS WAF Classic deve ispezionare per rilevare la presenza di script dannosi, come l'URI o la stringa di query. È possibile aggiungere più di un filtro a una condizione di corrispondenza Cross-site scripting oppure è possibile creare una condizione separata per ogni filtro. Ecco come ogni configurazione influisce sul comportamento di AWS WAF Classic:
+ **Più di un filtro per condizione di corrispondenza tra siti di scripting (consigliato)**: quando aggiungi una condizione di corrispondenza tra siti scripting che contiene più filtri a una regola e aggiungi la regola a un ACL Web, una richiesta Web deve corrispondere solo a uno dei filtri nella condizione Cross-Scripting Match per AWS WAF Classic per consentire o bloccare la richiesta in base a tale condizione.
Ad esempio, supponiamo di creare una condizione di corrispondenza Cross-site scripting e che la condizione contenga due filtri. Un filtro indica a AWS WAF Classic di ispezionare l'URI alla ricerca di script dannosi e l'altro indica a AWS WAF Classic di ispezionare la stringa di query. AWS WAF *Classic consente o blocca le richieste se sembrano contenere script dannosi nell'URI *o nella stringa* di query.*
+ **Un filtro per condizione di corrispondenza dello scripting tra siti**: quando si aggiungono condizioni di corrispondenza separate per lo scripting cross-site scripting a una regola e si aggiunge la regola a un ACL Web, le richieste Web devono soddisfare tutte le condizioni affinché AWS WAF Classic consenta o blocchi le richieste in base alle condizioni.
Supponiamo di creare due condizione e ogni condizione contenga uno dei due filtri dell'esempio precedente. Quando aggiungi entrambe le condizioni alla stessa regola e aggiungi la regola a un ACL Web, AWS WAF Classic consente o blocca le richieste solo quando sia l'URI che la stringa di query sembrano contenere script dannosi.
**Nota**
Quando aggiungi una condizione di compatibilità tra siti di scripting a una regola, puoi anche configurare AWS WAF Classic per consentire o bloccare le richieste Web che *non* sembrano contenere script dannosi.
**Per creare una condizione di corrispondenza Cross-site scripting**
1. Accedi a Console di gestione AWS e apri la console all' AWS WAF indirizzo. [https://console.aws.amazon.com/wafv2/](https://console.aws.amazon.com/wafv2/)
Se vedi **Passa alla AWS WAF versione classica** nel riquadro di navigazione, selezionalo.
1. Nel riquadro di navigazione, scegliere **Cross-site scripting**.
1. Scegliere **Create condition (Crea condizione)**.
1. Specificare le impostazioni di filtro applicabili. Per ulteriori informazioni, consulta [Valori da specificare durante la creazione o la modifica di condizioni di corrispondenza Cross-site scripting](#classic-web-acl-xss-conditions-values).
1. Scegliere **Add another filter (Aggiungi un altro filtro)**.
1. Se si desidera aggiungere un altro filtro, ripetere le fasi 4 e 5.
1. Dopo aver aggiunto i filtri, selezionare **Create (Crea)**.
## Valori da specificare durante la creazione o la modifica di condizioni di corrispondenza Cross-site scripting
Quando crei o aggiorni una condizione di corrispondenza Cross-site scripting, specifichi i valori seguenti:
**Name**
Il nome della condizione di corrispondenza Cross-site scripting.
Il nome può contenere solo caratteri A - Z, a - z, 0 - 9 e i caratteri speciali: \$1-\$1"\$1`\$1\$1\$1,./ . Non è possibile modificare il nome di una condizione dopo averla creata.
**Parte della richiesta su cui applicare un filtro**
Scegli la parte di ogni richiesta web che vuoi che AWS WAF Classic esamini per individuare eventuali script dannosi:
**Header**
Un'intestazione della richiesta specificata, ad esempio, l'intestazione `User-Agent` o `Referer`. Se scegli **Header (Intestazione)**, specifica il nome dell'intestazione nel campo **Header (Intestazione)**.
**Metodo HTTP**
Il metodo HTTP, che indica il tipo di operazione che la richiesta chiede all'origine di eseguire. CloudFront supporta i seguenti metodi: `DELETE`, `GET`, `HEAD`, `OPTIONS`, `PATCH`, `POST` e `PUT`.
**Stringa di query**
La parte di un URL che viene visualizzata dopo un carattere `?`, se presente.
Per le condizioni di corrispondenza Cross-site scripting, si consiglia di scegliere **All query parameters (values only) (Tutti i parametri di query (solo valori))** invece di **Query string (Stringa di query)** per **Part of the request to filter on (Parte della richiesta su cui filtrare)**.
**URI**
Il percorso URI della richiesta, che identifica la risorsa, ad esempio,. `/images/daily-ad.jpg` Ciò non include la stringa di query o i componenti del frammento dell'URI. Per informazioni, vedete [Uniform Resource Identifier (URI): sintassi generica](https://tools.ietf.org/html/rfc3986#section-3.3).
A meno che non venga specificata una **trasformazione**, un URI non viene normalizzato e viene ispezionato non appena lo AWS riceve dal client come parte della richiesta. Un valore in **Transformation (Trasformazione)** riformatterà l'URI come specificato.
**Body**
La parte di una richiesta che contiene i dati aggiuntivi da inviare al server Web come corpo della richiesta HTTP, come i dati provenienti da un modulo.
Se scegliete **Body** come valore di **Parte della richiesta su cui filtrare**, AWS WAF Classic ispeziona solo i primi 8192 byte (8 KB). Per consentire o bloccare le richieste il cui corpo è più lungo di 8192 byte, puoi creare una condizione di vincolo di dimensione. (AWS WAF Classic ottiene la lunghezza del corpo dalle intestazioni della richiesta.) Per ulteriori informazioni, consulta [Utilizzo di condizioni per i vincoli di dimensioni](classic-web-acl-size-conditions.md).
**Parametro di query singola (solo valore)**
Qualsiasi parametro che hai definito come parte della stringa di query. Ad esempio, se l'URL è «www.xyz.com? UserName =abc& SalesRegion =seattle» puoi aggiungere un filtro al parametro or. *UserName*SalesRegion**
Se scegli **Single query parameter (value only) (Parametro di query singola (solo valore))**, sarà necessario anche specificare un valore in **Query parameter name (Nome di parametro query)**. Questo è il parametro nella stringa di query che esaminerai, ad esempio o. *UserName*SalesRegion** La lunghezza massima per **Query parameter name (Nome di parametro query)** è 30 caratteri. **Query parameter name (Nome di parametro query)** non opera distinzione tra maiuscole e minuscole. Ad esempio, se si specifica *UserName*come **nome del parametro Query**, questo corrisponderà a tutte le varianti di *UserName*, ad esempio *username e *Us ERName**.
**Tutti i parametri di query (solo valori)**
Analogamente al **parametro Single Query (solo valore)**, ma anziché esaminare i valori di un singolo parametro, AWS WAF Classic esamina tutti i valori dei parametri all'interno della stringa di query alla ricerca di possibili script dannosi. Ad esempio, se l'URL è «www.xyz.com? UserName =abc& SalesRegion =seattle» e scegli **Tutti i parametri di query (solo valori)**, AWS WAF Classic attiverà una corrispondenza se il valore di o contiene possibili script dannosi. *UserName*SalesRegion**
**Header**
Se hai scelto **Intestazione** per **parte della richiesta su cui filtrare**, scegli un'intestazione dall'elenco delle intestazioni comuni o inserisci il nome di un'intestazione che desideri che AWS WAF Classic controlli per individuare eventuali script dannosi.
**Trasformazione**
Una trasformazione riformatta una richiesta web prima che Classic la esamini. AWS WAF Ciò elimina parte della formattazione insolita utilizzata dagli aggressori nelle richieste Web nel tentativo di aggirare la versione classica. AWS WAF
È possibile specificare solo un unico tipo di trasformazione del testo.
Questo è in grado di eseguire le operazioni descritte di seguito:
**Nessuno**
AWS WAF **Classic non esegue alcuna trasformazione di testo sulla richiesta Web prima di controllarla per verificare che la stringa in Value corrisponda.**
**Conversione in minuscolo**
AWS WAF La versione classica converte le lettere maiuscole (A-Z) in minuscole (a-z).
**Decodifica HTML**
AWS WAF Classic sostituisce i caratteri con codifica HTML con caratteri non codificati:
+ Sostituisce `"` con `&`
+ Sostituisce ` ` con uno spazio unificatore
+ Sostituisce `<` con `<`
+ Sostituisce `>` con `>`
+ Sostituisce i caratteri rappresentati in formato esadecimale, `&#xhhhh;`, con i caratteri corrispondenti
+ Sostituisce i caratteri rappresentati in formato decimale, `&#nnnn;`, con i caratteri corrispondenti
**Normalizza lo spazio vuoto**
AWS WAF Classic sostituisce i seguenti caratteri con uno spazio (decimale 32):
+ \$1f, alimentazione modulo, decimale 12
+ \$1t, tabulazione, decimale 9
+ \$1n, nuova riga, decimale 10
+ \$1r, ritorno a capo, decimale 13
+ \$1v, tabulazione verticale, decimale 11
+ spazio unificatore, decimale 160
Inoltre, questa opzione sostituisce più spazi con uno spazio.
**Semplificazione della riga di comando**
Per le richieste che contengono comandi della riga di comando del sistema operativo, utilizza questa opzione per eseguire le seguenti trasformazioni:
+ Elimina i seguenti caratteri: \$1 " ' ^
+ Eliminare gli spazi prima dei seguenti caratteri: / (
+ Sostituire i seguenti caratteri con uno spazio: , ;
+ Sostituire più spazi con uno spazio
+ Convertire le lettere maiuscole (A-Z) in lettere minuscole (a-z)
**Decodifica URL**
Decodifica una richiesta con codifica URL.
## Aggiunta ed eliminazione di filtri in una condizione di corrispondenza Cross-site scripting
È possibile aggiungere a una condizione di corrispondenza Cross-site scripting o eliminare filtri. Per modificare un filtro, aggiungine uno nuovo ed elimina il precedente.
**Per aggiungere o eliminare filtri in una condizione di corrispondenza Cross-site scripting**
1. Accedi a Console di gestione AWS e apri la console all' AWS WAF indirizzo. [https://console.aws.amazon.com/wafv2/](https://console.aws.amazon.com/wafv2/)
Se vedi **Passa alla AWS WAF versione classica** nel riquadro di navigazione, selezionalo.
1. Nel riquadro di navigazione, scegliere **Cross-site scripting**.
1. Scegliere la condizione a aggiungere o da cui eliminare i filtri.
1. Per aggiungere filtri, procedere nel seguente modo:
1. Scegliere **Add filter (Aggiungi filtro)**.
1. Specificare le impostazioni di filtro applicabili. Per ulteriori informazioni, consulta [Valori da specificare durante la creazione o la modifica di condizioni di corrispondenza Cross-site scripting](#classic-web-acl-xss-conditions-values).
1. Scegliere **Aggiungi**.
1. Per eliminare filtri, procedere nel seguente modo:
1. Selezionare il filtro da eliminare.
1. Scegli **Delete filter (Elimina filtro)**.
## Eliminazione di condizioni di corrispondenza Cross-site scripting
Se desideri eliminare una condizione di corrispondenza Cross-site scripting, è necessario prima eliminare tutti i filtri nella condizione e rimuovere la condizione da tutte le regole che la utilizzano, come descritto nella seguente procedura.
**Per eliminare una condizione di corrispondenza Cross-site scripting**
1. Accedi a Console di gestione AWS e apri la AWS WAF console all'indirizzo [https://console.aws.amazon.com/wafv2/](https://console.aws.amazon.com/wafv2/).
Se vedi **Passa alla AWS WAF versione classica** nel riquadro di navigazione, selezionalo.
1. Nel riquadro di navigazione, scegliere **Cross-site scripting**.
1. Nel riquadro **Cross-site scripting match conditions (Condizioni di corrispondenza Cross-site scripting)**, scegliere la condizione di corrispondenza Cross-site scripting da eliminare.
1. Nel riquadro a destra, scegliere la scheda **Associated rules (Regole associate)**.
Se l'elenco di regole che utilizza questa condizione di corrispondenza Cross-site scripting è vuoto, passare alla fase 6. Se l'elenco contiene regole, prendere nota delle regole e continuare con la fase 5.
1. Per rimuovere la condizione di corrispondenza Cross-site scripting dalle regole che la utilizzano, procedere nel seguente modo:
1. Nel riquadro di navigazione, scegli **Regole**.
1. Scegliere il nome di una regola che utilizza la condizione di corrispondenza Cross-site scripting da eliminare.
1. Nel riquadro a destra, selezionare la condizione di corrispondenza Cross-site scripting che si desidera rimuovere dalla regola e scegliere **Remove selected condition (Rimuovi condizione selezionata)**.
1. Ripetere le fasi b e c per tutte le regole rimanenti che utilizzano la condizione di corrispondenza Cross-site scripting da eliminare.
1. Nel riquadro di navigazione, scegliere **Cross-site scripting**.
1. Nel riquadro **Cross-site scripting match conditions (Condizioni di corrispondenza Cross-site scripting)**, scegliere la condizione di corrispondenza Cross-site scripting da eliminare.
1. Scegliere **Delete (Elimina)** per eliminare la condizione selezionata.
# Utilizzo di condizioni di corrispondenza IP
**avvertimento**
AWS WAF Classic sta attraversando un end-of-life processo pianificato. Consulta la AWS Health dashboard per le tappe e le date specifiche della tua regione.
**Nota**
Questa è la documentazione **AWS WAF classica**. Dovresti usare questa versione solo se hai creato AWS WAF risorse, come regole e web ACLs, AWS WAF prima di novembre 2019 e non le hai ancora migrate alla versione più recente. Per migrare il tuo sito web ACLs, consulta. [Migrazione delle risorse AWS WAF Classic a AWS WAF](waf-migrating-from-classic.md)
**Per la versione più recente di AWS WAF**, vedi[AWS WAF](waf-chapter.md).
Se desideri consentire o bloccare le richieste Web in base a gli indirizzi IP da cui hanno origine le richieste, crea condizioni di corrispondenza IP. Una condizione di corrispondenza IP elenca fino a 10.000 indirizzi IP o intervalli dell'indirizzo IP da cui hanno origine le richieste. In un secondo momento, quando crei un'ACL Web, specifichi se desideri consentire o bloccare le richieste da questi indirizzi IP.
**Topics**
+ [Creazione di una condizione di corrispondenza IP](#classic-web-acl-ip-conditions-creating)
+ [Modifica delle condizioni di corrispondenza IP](#classic-web-acl-ip-conditions-editing)
+ [Eliminazione delle condizioni di corrispondenza IP](#classic-web-acl-ip-conditions-deleting)
## Creazione di una condizione di corrispondenza IP
Se desideri consentire alcune richieste Web e bloccarne altre in base agli indirizzi IP da cui hanno origine le richieste, crea una condizione di corrispondenza IP per gli indirizzi IP da consentire e un'altra condizione di corrispondenza IP per gli indirizzi IP da bloccare.
**Nota**
Quando aggiungi una condizione di corrispondenza IP a una regola, puoi anche configurare AWS WAF Classic per consentire o bloccare le richieste Web che *non* provengono dagli indirizzi IP specificati nella condizione.
**Per creare una condizione di corrispondenza IP**
1. Accedi a Console di gestione AWS e apri la AWS WAF console all'indirizzo [https://console.aws.amazon.com/wafv2/](https://console.aws.amazon.com/wafv2/).
Se vedi **Passa alla AWS WAF versione classica** nel riquadro di navigazione, selezionalo.
1. Nel riquadro di navigazione, scegliere **IP addresses (Indirizzi IP)**.
1. Scegliere **Create condition (Crea condizione)**.
1. Immettere un nome nel campo **Name (Nome)** .
Il nome può contenere solo caratteri alfanumerici (A - Z, a - z, 0 - 9) o i seguenti caratteri speciali: \$1-\$1"\$1`\$1\$1\$1,./ . Non è possibile modificare il nome di una condizione dopo averla creata.
1. Selezionare la versione IP corretta e specificare un indirizzo IP o un intervallo di indirizzi IP usando la notazione CIDR. Ecco alcuni esempi:
+ **Per specificare l' IPv4 indirizzo 192.0.2.44, digitare 192.0.2.44/32.**
+ **Per specificare l'indirizzo 0:0:0:0:0:ffff:c 000:22 c, digitare 0:0:0:0:ffff:c IPv6 000:22 c/128.**
+ **Per specificare l'intervallo di indirizzi da 192.0.2.0 a IPv4 192.0.2.255, digitare 192.0.2.0/24.**
+ **Per specificare l'intervallo di IPv6 indirizzi da 2620:0:2 d 0:200:0:0:0:0 a 2620:0:2 d 0:200:ffff:ffff:ffff:ffff:ffff, immettere 2620:0:2 d 0:200: :/64.**
AWS WAF Classic IPv4 supporta gli intervalli di indirizzi: /8 e qualsiasi intervallo compreso tra /16 e /32. AWS WAF La versione classica supporta gli intervalli di IPv6 indirizzi: /24, /32, /48, /56, /64 e /128. Per ulteriori informazioni sulla notazione CIDR, consulta la voce [Classless Inter-Domain Routing](https://en.wikipedia.org/wiki/Classless_Inter-Domain_Routing) su Wikipedia.
1. Scegliere **Add another IP address or range (Aggiungi un altro intervallo o indirizzo IP)**.
1. Se si desidera aggiungere un altro intervallo o un altro indirizzo IP, ripetere le fasi 5 e 6.
1. Dopo aver aggiunto i valori, scegliere **Create IP match condition (Crea condizione di corrispondenza IP)**.
## Modifica delle condizioni di corrispondenza IP
È possibile aggiungere un intervallo di indirizzi IP a una condizione di corrispondenza IP o eliminare un intervallo. Per modificare un intervallo, aggiungine uno nuovo ed elimina il precedente.
**Per modificare una condizione di corrispondenza IP**
1. Accedi a e apri la console all'indirizzo. Console di gestione AWS AWS WAF [https://console.aws.amazon.com/wafv2/](https://console.aws.amazon.com/wafv2/)
Se vedi **Passa alla AWS WAF versione classica** nel riquadro di navigazione, selezionalo.
1. Nel riquadro di navigazione, scegliere **IP addresses (Indirizzi IP)**.
1. Nel riquadro **IP match conditions (condizioni di corrispondenza IP)** scegliere la condizione di corrispondenza IP che si desidera modificare.
1. Per aggiungere un intervallo di indirizzi IP:
1. Nel riquadro di destra, scegliere **Add IP address or range (Aggiungi intervallo o indirizzo IP)**.
1. Selezionare la versione IP corretta e immettere un intervallo di indirizzi IP usando la notazione CIDR. Ecco alcuni esempi:
+ **Per specificare l' IPv4 indirizzo 192.0.2.44, inserisci 192.0.2.44/32.**
+ **Per specificare l'indirizzo 0:0:0:0:0:ffff:c 000:22 c, immettere 0:0:0:0:ffff:c IPv6 000:22 c/128.**
+ **Per specificare l'intervallo di indirizzi da 192.0.2.0 a IPv4 192.0.2.255, immettere 192.0.2.0/24.**
+ **Per specificare l'intervallo di IPv6 indirizzi da 2620:0:2 d 0:200:0:0:0:0 a 2620:0:2 d 0:200:ffff:ffff:ffff:ffff:ffff, immettere 2620:0:2 d 0:200: :/64.**
AWS WAF Classic IPv4 supporta gli intervalli di indirizzi: /8 e qualsiasi intervallo compreso tra /16 e /32. AWS WAF La versione classica supporta gli intervalli di IPv6 indirizzi: /24, /32, /48, /56, /64 e /128. Per ulteriori informazioni sulla notazione CIDR, consulta la voce [Classless Inter-Domain Routing](https://en.wikipedia.org/wiki/Classless_Inter-Domain_Routing) su Wikipedia.
1. Per aggiungere ulteriori indirizzi IP, scegliere **Add another IP address (Aggiungi un altro indirizzo IP)** e immettere il valore.
1. Scegliere **Aggiungi**.
1. Per eliminare un intervallo o un indirizzo IP:
1. Nel riquadro a destra, selezionare i valori da eliminare.
1. Scegliere **Delete IP address or range (Elimina indirizzo IP o intervallo)**.
## Eliminazione delle condizioni di corrispondenza IP
Se desideri eliminare una condizione di corrispondenza IP, è necessario prima eliminare tutti gli intervalli e gli indirizzi IP nella condizione e rimuovere la condizione da tutte le regole che la utilizzano, come descritto nella seguente procedura.
**Per eliminare una condizione di corrispondenza IP**
1. Accedi a e apri la console all'indirizzo. Console di gestione AWS AWS WAF [https://console.aws.amazon.com/wafv2/](https://console.aws.amazon.com/wafv2/)
Se vedi **Passa alla AWS WAF versione classica** nel riquadro di navigazione, selezionalo.
1. Nel riquadro di navigazione, scegliere **IP addresses (Indirizzi IP)**.
1. Nel riquadro **IP match conditions (Condizioni di corrispondenza IP)**, scegliere la condizione di corrispondenza IP da eliminare.
1. Nel riquadro a destra, scegliere la scheda **Rules (Regolamento)**.
Se l'elenco di regole che utilizza questa condizione di corrispondenza IP è vuoto, passare alla fase 6. Se l'elenco contiene regole, prendere nota delle regole e continuare con la fase 5.
1. Per rimuovere la condizione di corrispondenza IP dalle regole che la utilizzano, procedere nel seguente modo:
1. Nel riquadro di navigazione, scegli **Regole**.
1. Scegliere il nome di una regola che utilizza la condizione di corrispondenza IP da eliminare.
1. Nel riquadro a destra, selezionare la condizione di corrispondenza IP che si desidera rimuovere dalla regola e scegliere **Remove selected condition (Rimuovi condizione selezionata)**.
1. Ripetere le fasi b e c per tutte le regole rimanenti che utilizzano la condizione di corrispondenza IP da eliminare.
1. Nel riquadro di navigazione, scegliere **IP match conditions (Condizioni di corrispondenza IP)**.
1. Nel riquadro **IP match conditions (Condizioni di corrispondenza IP)**, scegliere la condizione di corrispondenza IP da eliminare.
1. Scegliere **Delete (Elimina)** per eliminare la condizione selezionata.
# Utilizzo di condizioni di corrispondenza geografica
**avvertimento**
AWS WAF Classic sta attraversando un end-of-life processo pianificato. Consulta la AWS Health dashboard per le tappe fondamentali e le date specifiche della tua regione.
**Nota**
Questa è la documentazione **AWS WAF classica**. Dovresti usare questa versione solo se hai creato AWS WAF risorse, come regole e web ACLs, AWS WAF prima di novembre 2019 e non le hai ancora migrate alla versione più recente. Per migrare il tuo sito web ACLs, consulta. [Migrazione delle risorse AWS WAF Classic a AWS WAF](waf-migrating-from-classic.md)
**Per la versione più recente di AWS WAF**, vedi[AWS WAF](waf-chapter.md).
Se desideri consentire o bloccare le richieste Web in base al paese da cui hanno origine le richieste, crea condizioni di corrispondenza geografica. Una condizione di corrispondenza geografica elenca i paesi da cui hanno origine le richieste. In un secondo momento, quando crei un'ACL Web, specifichi se desideri consentire o bloccare le richieste da questi paesi.
Puoi utilizzare le condizioni di geo match con altre condizioni o regole AWS WAF classiche per creare filtri sofisticati. Ad esempio, se desideri bloccare determinati paesi, ma consentire comunque indirizzi IP specifici da quel paese, è possibile creare una regola contenente una condizione di corrispondenza geografica e una condizione di corrispondenza IP. Configura la regola per bloccare le richieste che hanno origine da quel paese e non corrispondono agli indirizzi IP approvati. Un altro esempio, se desideri assegnare la priorità alle risorse per gli utenti in un determinato paese, è possibile includere una condizione di corrispondenza geografica in due diverse regole basate sulla frequenza. Imposta un limite di frequenza più elevato per gli utenti nel paese preferito e imposta un limite di frequenza inferiore per tutti gli altri utenti.
**Nota**
Se utilizzi la funzione di restrizione CloudFront geografica per impedire a un paese di accedere ai tuoi contenuti, qualsiasi richiesta proveniente da quel paese viene bloccata e non viene inoltrata a Classic. AWS WAF Pertanto, se desideri consentire o bloccare le richieste in base alla geografia e ad altre condizioni della AWS WAF versione classica, *non* dovresti utilizzare la funzione di restrizione geografica. CloudFront Invece, dovresti usare una condizione di geo AWS WAF match classica.
**Topics**
+ [Creazione di una condizione di corrispondenza geografica](#classic-web-acl-geo-conditions-creating)
+ [Modifica delle condizioni di corrispondenza geografica](#classic-web-acl-geo-conditions-editing)
+ [Eliminazione delle condizioni di corrispondenza geografica](#classic-web-acl-geo-conditions-deleting)
## Creazione di una condizione di corrispondenza geografica
Se desideri consentire alcune richieste Web e bloccarne altre in base ai paesi da cui hanno origine le richieste, crea una condizione di corrispondenza geografica per i paesi da consentire e un'altra condizione di corrispondenza geografica per i paesi da bloccare.
**Nota**
Quando aggiungi una condizione di corrispondenza geografica a una regola, puoi anche configurare AWS WAF Classic per consentire o bloccare le richieste Web che *non* provengono dal paese specificato nella condizione.
**Per creare una condizione di corrispondenza geografica**
1. Accedi a Console di gestione AWS e apri la AWS WAF console all'indirizzo [https://console.aws.amazon.com/wafv2/](https://console.aws.amazon.com/wafv2/).
Se vedi **Passa alla AWS WAF versione classica** nel riquadro di navigazione, selezionalo.
1. Nel riquadro di navigazione, scegliere **Geo match (Corrispondenza geografica)**.
1. Scegliere **Create condition (Crea condizione)**.
1. Immettere un nome nel campo **Name (Nome)** .
Il nome può contenere solo caratteri alfanumerici (A - Z, a - z, 0 - 9) o i seguenti caratteri speciali: \$1-\$1"\$1`\$1\$1\$1,./ . Non è possibile modificare il nome di una condizione dopo averla creata.
1. Scegliere una **Region (Regione)**.
1. Scegliere un **Location type (Tipo di luogo)** e un paese. **Location type (Tipo di posizione)** può essere attualmente solo **Country (Paese)**.
1. Scegliere **Add location (Aggiungi luogo)**.
1. Scegli **Create** (Crea).
## Modifica delle condizioni di corrispondenza geografica
È possibile aggiungere paesi o eliminare paesi dalla condizione di corrispondenza geografica.
**Per modificare una condizione di corrispondenza geografica**
1. Accedi a Console di gestione AWS e apri la AWS WAF console all'indirizzo [https://console.aws.amazon.com/wafv2/](https://console.aws.amazon.com/wafv2/).
Se vedi **Passa alla AWS WAF versione classica** nel riquadro di navigazione, selezionalo.
1. Nel riquadro di navigazione, scegliere **Geo match (Corrispondenza geografica)**.
1. Nel riquadro **Geo match conditions (Condizioni di corrispondenza geografica)**, scegliere la condizione di corrispondenza geografica da modificare.
1. Per aggiungere un paese:
1. Nel riquadro a destra, scegliere **Add filter (Aggiungi filtro)**.
1. Scegliere un **Location type (Tipo di luogo)** e un paese. **Location type (Tipo di posizione)** può essere attualmente solo **Country (Paese)**.
1. Scegliere **Aggiungi**.
1. Per eliminare un paese:
1. Nel riquadro a destra, selezionare i valori da eliminare.
1. Scegli **Delete filter (Elimina filtro)**.
## Eliminazione delle condizioni di corrispondenza geografica
Se desideri eliminare una condizione di corrispondenza geografica, è necessario prima rimuovere tutti i paesi nella condizione e rimuovere la condizione da tutte le regole che la utilizzano, come descritto nella seguente procedura.
**Per eliminare una condizione di corrispondenza geografica**
1. Accedi a Console di gestione AWS e apri la AWS WAF console all'indirizzo [https://console.aws.amazon.com/wafv2/](https://console.aws.amazon.com/wafv2/).
Se vedi **Passa alla AWS WAF versione classica** nel riquadro di navigazione, selezionalo.
1. Rimuovere la condizione di corrispondenza geografica dalle regole che la utilizzano:
1. Nel riquadro di navigazione, scegli **Regole**.
1. Scegliere il nome di una regola che utilizza la condizione di corrispondenza geografica da eliminare.
1. Nel riquadro a destra, selezionare **Edit rule (Modifica regola)**.
1. Scegliere la **X** accanto alla condizione da eliminare.
1. Scegliere **Aggiorna**.
1. Ripetere per tutte le regole rimanenti che utilizzano la condizione di corrispondenza geografica da eliminare.
1. Rimuovere i filtri dalla condizione da eliminare:
1. Nel riquadro di navigazione, scegliere **Geo match (Corrispondenza geografica)**.
1. Scegli il nome della condizione di corrispondenza geografica da eliminare.
1. Nel riquadro a destra, scegliere la casella di controllo accanto a **Filter (Filtro)** per selezionare tutti i filtri.
1. Scegliere **Delete filter (Elimina filtro)**.
1. Nel riquadro di navigazione, scegliere **Geo match (Corrispondenza geografica)**.
1. Nel riquadro **Geo match conditions (Condizioni di corrispondenza geografica)**, scegliere la condizione di corrispondenza geografica da eliminare.
1. Scegliere **Delete (Elimina)** per eliminare la condizione selezionata.
# Utilizzo di condizioni per i vincoli di dimensioni
**avvertimento**
AWS WAF Classic sta attraversando un end-of-life processo pianificato. Consulta la AWS Health dashboard per le tappe e le date specifiche della tua regione.
**Nota**
Questa è la documentazione **AWS WAF classica**. Dovresti usare questa versione solo se hai creato AWS WAF risorse, come regole e web ACLs, AWS WAF prima di novembre 2019 e non le hai ancora migrate alla versione più recente. Per migrare il tuo sito web ACLs, consulta. [Migrazione delle risorse AWS WAF Classic a AWS WAF](waf-migrating-from-classic.md)
**Per la versione più recente di AWS WAF**, vedi[AWS WAF](waf-chapter.md).
Se desideri consentire o bloccare le richieste Web in base alla lunghezza delle parti specificate della richiesta, crea una o più condizioni per i vincoli di dimensioni. Una condizione di vincolo di dimensione identifica la parte di richieste Web che si desidera che AWS WAF Classic esamini, il numero di byte che deve cercare AWS WAF Classic e un operatore, ad esempio maggiore di (>) o minore di (<). Ad esempio, è possibile utilizzare una condizione per i vincoli di dimensioni per cercare stringhe di query con più di 100 byte. In un secondo momento, quando crei un'ACL Web, specifichi se desideri consentire o bloccare le richieste in base a quelle impostazioni.
Tieni presente che se configuri AWS WAF Classic per ispezionare il corpo della richiesta, ad esempio cercando nel corpo una stringa specificata, AWS WAF Classic ispeziona solo i primi 8192 byte (8 KB). Se il corpo della richiesta per le richieste Web non supera mai 8.192 byte, è possibile creare una condizione per i vincoli di dimensioni e bloccare le richieste con un corpo di richiesta maggiore di 8.192 byte.
**Topics**
+ [Creazione di condizioni per i vincoli di dimensioni](#classic-web-acl-size-conditions-creating)
+ [Valori da specificare durante la creazione o la modifica di condizioni per i vincoli di dimensioni](#classic-web-acl-size-conditions-values)
+ [Aggiunta ed eliminazione di filtri in una condizione per i vincoli di dimensioni](#classic-web-acl-size-conditions-editing)
+ [Eliminazione di condizioni per i vincoli di dimensioni](#classic-web-acl-size-conditions-deleting)
## Creazione di condizioni per i vincoli di dimensioni
Quando si creano condizioni di vincolo di dimensione, si specificano filtri che identificano la parte delle richieste Web di cui si desidera AWS WAF che Classic valuti la lunghezza. È possibile aggiungere più di un filtro a una condizione per i vincoli di dimensioni oppure è possibile creare una condizione separata per ogni filtro. Ecco come ogni configurazione influisce sul comportamento di AWS WAF Classic:
+ **Un filtro per condizione di vincolo di dimensione**: quando aggiungi condizioni di vincolo di dimensione separate a una regola e aggiungi la regola a un ACL Web, le richieste Web devono soddisfare tutte le condizioni affinché AWS WAF Classic consenta o blocchi le richieste in base alle condizioni.
Ad esempio, supponiamo che crei due condizioni. Una corrisponde alle richieste Web per le quali le stringhe di query sono maggiori di 100 byte. L'altra corrisponde alle richieste Web per le quali il corpo della richiesta è maggiore di 1.024 byte. Quando aggiungi entrambe le condizioni alla stessa regola e aggiungi la regola a un ACL web, AWS WAF Classic consente o blocca le richieste solo quando entrambe le condizioni sono vere.
+ **Più di un filtro per condizione di vincolo di dimensione**: quando aggiungi una condizione di vincolo di dimensione che contiene più filtri a una regola e aggiungi la regola a un ACL Web, una richiesta Web deve corrispondere solo a uno dei filtri nella condizione di vincolo di dimensione per AWS WAF Classic per consentire o bloccare la richiesta in base a tale condizione.
Supponiamo di creare una condizione anziché due e che l'unica condizione contenga gli stessi due filtri dell'esempio precedente. AWS WAF La versione classica consente o blocca le richieste se la stringa di query è superiore a 100 byte o il corpo della richiesta è maggiore di 1024 byte.
**Nota**
Quando aggiungi una condizione di vincolo di dimensione a una regola, puoi anche configurare AWS WAF Classic per consentire o bloccare le richieste Web che *non* corrispondono ai valori della condizione.
**Per creare una condizione per i vincoli di dimensioni**
1. Accedi a Console di gestione AWS e apri la AWS WAF console all'indirizzo. [https://console.aws.amazon.com/wafv2/](https://console.aws.amazon.com/wafv2/)
Se vedi **Passa alla AWS WAF versione classica** nel riquadro di navigazione, selezionalo.
1. Nel riquadro di navigazione, scegliere **Size constraints (Vincoli di dimensione)**.
1. Scegliere **Create condition (Crea condizione)**.
1. Specificare le impostazioni di filtro applicabili. Per ulteriori informazioni, consulta [Valori da specificare durante la creazione o la modifica di condizioni per i vincoli di dimensioni](#classic-web-acl-size-conditions-values).
1. Scegliere **Add another filter (Aggiungi un altro filtro)**.
1. Se si desidera aggiungere un altro filtro, ripetere le fasi 4 e 5.
1. Dopo aver aggiunto i filtri, scegliere **Create size constraint condition (Crea condizione per i vincoli di dimensioni)**.
## Valori da specificare durante la creazione o la modifica di condizioni per i vincoli di dimensioni
Quando crei o aggiorni una condizione per i vincoli di dimensioni, specifichi i valori seguenti:
**Name**
Immetti un nome per la condizione per i vincoli di dimensioni.
Il nome può contenere solo caratteri alfanumerici (A - Z, a - z, 0 - 9) o i seguenti caratteri speciali: \$1-\$1"\$1`\$1\$1\$1,./. Non è possibile modificare il nome di una condizione dopo averla creata.
**Parte della richiesta su cui applicare un filtro**
Scegli la parte di ogni richiesta web per la quale desideri che AWS WAF Classic valuti la lunghezza:
**Header**
Un'intestazione della richiesta specificata, ad esempio, l'intestazione `User-Agent` o `Referer`. Se scegli **Header (Intestazione)**, specifica il nome dell'intestazione nel campo **Header (Intestazione)**.
**Metodo HTTP**
Il metodo HTTP, che indica il tipo di operazione che la richiesta chiede all'origine di eseguire. CloudFront supporta i seguenti metodi: `DELETE`, `GET`, `HEAD`, `OPTIONS`, `PATCH`, `POST` e `PUT`.
**Stringa di query**
La parte di un URL che viene visualizzata dopo un carattere `?`, se presente.
**URI**
Il percorso URI della richiesta, che identifica la risorsa, `/images/daily-ad.jpg` ad esempio. Ciò non include la stringa di query o i componenti del frammento dell'URI. Per informazioni, vedete [Uniform Resource Identifier (URI): sintassi generica](https://tools.ietf.org/html/rfc3986#section-3.3).
A meno che non venga specificata una **trasformazione**, un URI non viene normalizzato e viene ispezionato non appena lo AWS riceve dal client come parte della richiesta. Un valore in **Transformation (Trasformazione)** riformatterà l'URI come specificato.
**Body**
La parte di una richiesta che contiene i dati aggiuntivi da inviare al server Web come corpo della richiesta HTTP, come i dati provenienti da un modulo.
**Parametro di query singola (solo valore)**
Qualsiasi parametro che hai definito come parte della stringa di query. Ad esempio, se l'URL è «www.xyz.com? UserName =abc& SalesRegion =seattle» puoi aggiungere un filtro al parametro or. *UserName*SalesRegion**
Se scegli **Single query parameter (value only) (Parametro di query singola (solo valore))**, sarà necessario anche specificare un valore in **Query parameter name (Nome di parametro query)**. Questo è il parametro nella stringa di query che esaminerai, ad esempio. *UserName* La lunghezza massima per **Query parameter name (Nome di parametro query)** è 30 caratteri. **Query parameter name (Nome di parametro query)** non opera distinzione tra maiuscole e minuscole. Ad esempio, se si specifica *UserName*come **nome del parametro Query**, questo corrisponderà a tutte le varianti di *UserName*, ad esempio *username e *Us ERName**.
**Tutti i parametri di query (solo valori)**
Analogamente al **parametro Single query (solo valore)**, ma anziché controllare il valore di un singolo parametro, AWS WAF Classic esamina i valori di tutti i parametri all'interno della stringa di query per verificare il vincolo di dimensione. Ad esempio, se l'URL è «www.xyz.com? UserName =abc& SalesRegion =seattle» e scegli **Tutti i parametri di query (solo valori)**, AWS WAF Classic attiverà una corrispondenza con il valore se uno dei due o supera la dimensione specificata. *UserName*SalesRegion**
**Intestazione (solo quando la "Part of the request to filter on (Parte della richiesta sulla quale filtrare)" è "Header (Intestazione)")**
Se hai scelto **Intestazione** per **parte della richiesta su cui filtrare**, scegli un'intestazione dall'elenco delle intestazioni comuni o digita il nome di un'intestazione di cui desideri che Classic valuti la lunghezza. AWS WAF
**Operatore di confronto**
**Scegliete come desiderate che AWS WAF Classic valuti la lunghezza della stringa di query nelle richieste Web rispetto al valore specificato per Dimensione.**
Ad esempio, se scegliete **È maggiore di** per **l'operatore di confronto** e digitate **100** per **Dimensione**, AWS WAF Classic valuta le richieste Web per una stringa di query più lunga di 100 byte.
**Dimensione**
Immettete la lunghezza, in byte, che AWS WAF Classic deve controllare nelle stringhe di query.
Se scegli **URI** per il valore di **Part of the request to filter on (Parte della richiesta sulla quale filtrare)**, **/** nell'URI conta come un carattere. Ad esempio, il percorso URI `/logo.jpg` è lungo nove caratteri.
**Trasformazione**
Una trasformazione riformatta una richiesta Web prima che AWS WAF Classic valuti la lunghezza della parte specificata della richiesta. Ciò elimina parte della formattazione insolita utilizzata dagli aggressori nelle richieste Web nel tentativo di aggirare la versione classica. AWS WAF
Se scegli **Body** for **Part della richiesta su cui filtrare**, non puoi configurare AWS WAF Classic per eseguire una trasformazione perché solo i primi 8192 byte vengono inoltrati per l'ispezione. **Tuttavia, puoi comunque filtrare il traffico in base alla dimensione del corpo della richiesta HTTP e specificare una trasformazione di Nessuno.** (AWS WAF Classic ottiene la lunghezza del corpo dalle intestazioni della richiesta.)
È possibile specificare solo un unico tipo di trasformazione del testo.
Questo è in grado di eseguire le operazioni descritte di seguito:
**Nessuno**
AWS WAF Classic non esegue alcuna trasformazione di testo sulla richiesta Web prima di verificarne la lunghezza.
**Conversione in minuscolo**
AWS WAF Classic converte le lettere maiuscole (A-Z) in minuscole (a-z).
**Decodifica HTML**
AWS WAF Classic sostituisce i caratteri con codifica HTML con caratteri non codificati:
+ Sostituisce `"` con `&`
+ Sostituisce ` ` con uno spazio unificatore
+ Sostituisce `<` con `<`
+ Sostituisce `>` con `>`
+ Sostituisce i caratteri rappresentati in formato esadecimale, `&#xhhhh;`, con i caratteri corrispondenti
+ Sostituisce i caratteri rappresentati in formato decimale, `&#nnnn;`, con i caratteri corrispondenti
**Normalizza lo spazio vuoto**
AWS WAF Classic sostituisce i seguenti caratteri con uno spazio (decimale 32):
+ \$1f, alimentazione modulo, decimale 12
+ \$1t, tabulazione, decimale 9
+ \$1n, nuova riga, decimale 10
+ \$1r, ritorno a capo, decimale 13
+ \$1v, tabulazione verticale, decimale 11
+ spazio unificatore, decimale 160
Inoltre, questa opzione sostituisce più spazi con uno spazio.
**Semplificazione della riga di comando**
Per le richieste che contengono comandi della riga di comando del sistema operativo, utilizza questa opzione per eseguire le seguenti trasformazioni:
+ Elimina i seguenti caratteri: \$1 " ' ^
+ Eliminare gli spazi prima dei seguenti caratteri: / (
+ Sostituire i seguenti caratteri con uno spazio: , ;
+ Sostituire più spazi con uno spazio
+ Convertire le lettere maiuscole (A-Z) in lettere minuscole (a-z)
**Decodifica URL**
Decodifica una richiesta con codifica URL.
## Aggiunta ed eliminazione di filtri in una condizione per i vincoli di dimensioni
È possibile aggiungere a una condizione per i vincoli di dimensioni o eliminare filtri. Per modificare un filtro, aggiungine uno nuovo ed elimina il precedente.
**Per aggiungere o eliminare filtri in una condizione per i vincoli di dimensioni**
1. Accedi a Console di gestione AWS e apri la console all' AWS WAF indirizzo. [https://console.aws.amazon.com/wafv2/](https://console.aws.amazon.com/wafv2/)
Se vedi **Passa alla AWS WAF versione classica** nel riquadro di navigazione, selezionalo.
1. Nel riquadro di navigazione, scegliere **Size constraints (Vincoli di dimensione)**.
1. Scegliere la condizione a aggiungere o da cui eliminare i filtri.
1. Per aggiungere filtri, procedere nel seguente modo:
1. Scegliere **Add filter (Aggiungi filtro)**.
1. Specificare le impostazioni di filtro applicabili. Per ulteriori informazioni, consulta [Valori da specificare durante la creazione o la modifica di condizioni per i vincoli di dimensioni](#classic-web-acl-size-conditions-values).
1. Scegliere **Aggiungi**.
1. Per eliminare filtri, procedere nel seguente modo:
1. Selezionare il filtro da eliminare.
1. Scegli **Delete filter (Elimina filtro)**.
## Eliminazione di condizioni per i vincoli di dimensioni
Se desideri eliminare una condizione per i vincoli di dimensioni, è necessario prima eliminare tutti i filtri nella condizione e rimuovere la condizione da tutte le regole che la utilizzano, come descritto nella seguente procedura.
**Per eliminare una condizione per i vincoli di dimensioni**
1. Accedi a Console di gestione AWS e apri la AWS WAF console all'indirizzo [https://console.aws.amazon.com/wafv2/](https://console.aws.amazon.com/wafv2/).
Se vedi **Passa alla AWS WAF versione classica** nel riquadro di navigazione, selezionalo.
1. Nel riquadro di navigazione, scegliere **Size constraints (Vincoli di dimensione)**.
1. Nel riquadro **Size constraint conditions (Condizioni per i vincoli di dimensioni)**, scegliere la condizione per i vincoli di dimensioni da eliminare.
1. Nel riquadro a destra, scegliere la scheda **Associated rules (Regole associate)**.
Se l'elenco di regole che utilizza questa condizione per i vincoli di dimensioni è vuoto, passare alla fase 6. Se l'elenco contiene regole, prendere nota delle regole e continuare con la fase 5.
1. Per rimuovere la condizione per i vincoli di dimensioni dalle regole che la utilizzano, procedere nel seguente modo:
1. Nel riquadro di navigazione, scegli **Regole**.
1. Scegliere il nome di una regola che utilizza la condizione per i vincoli di dimensioni da eliminare.
1. Nel riquadro a destra, selezionare la condizione per i vincoli di dimensioni che si desidera rimuovere dalla regola e scegliere **Remove selected condition (Rimuovi condizione selezionata)**.
1. Ripetere le fasi b e c per tutte le regole rimanenti che utilizzano la condizione per i vincoli di dimensioni da eliminare.
1. Nel riquadro di navigazione, scegliere **Size constraints (Vincoli di dimensione)**.
1. Nel riquadro **Size constraint conditions (Condizioni per i vincoli di dimensioni)**, scegliere la condizione per i vincoli di dimensioni da eliminare.
1. Scegliere **Delete (Elimina)** per eliminare la condizione selezionata.
# Utilizzo di condizioni di corrispondenza SQL injection
**avvertimento**
AWS WAF Classic sta attraversando un end-of-life processo pianificato. Consulta la AWS Health dashboard per le tappe e le date specifiche della tua regione.
**Nota**
Questa è la documentazione **AWS WAF classica**. Dovresti usare questa versione solo se hai creato AWS WAF risorse, come regole e web ACLs, AWS WAF prima di novembre 2019 e non le hai ancora migrate alla versione più recente. Per migrare il tuo sito web ACLs, consulta. [Migrazione delle risorse AWS WAF Classic a AWS WAF](waf-migrating-from-classic.md)
**Per la versione più recente di AWS WAF**, vedi[AWS WAF](waf-chapter.md).
A volte gli aggressori inseriscono codice SQL dannoso nelle richieste Web nel tentativo di estrarre dati dal database. Per consentire o bloccare le richieste Web che sembrano contenere codice SQL dannoso, crea una o più condizioni di corrispondenza SQL injection. Una condizione di SQL injection match identifica la parte delle richieste Web, ad esempio il percorso URI o la stringa di query, che AWS WAF Classic deve esaminare. In un secondo momento, quando crei un'ACL Web, specifichi se desideri consentire o bloccare le richieste che sembrano contenere codice SQL dannoso.
**Topics**
+ [Creazione di condizioni di corrispondenza SQL injection](#classic-web-acl-sql-conditions-creating)
+ [Valori da specificare durante la creazione o la modifica di condizioni di corrispondenza SQL injection](#classic-web-acl-sql-conditions-values)
+ [Aggiunta ed eliminazione di filtri in una condizione di corrispondenza SQL injection](#classic-web-acl-sql-conditions-editing)
+ [Eliminazione di condizioni di corrispondenza SQL injection](#classic-web-acl-sql-conditions-deleting)
## Creazione di condizioni di corrispondenza SQL injection
Quando si creano condizioni di corrispondenza di SQL injection, si specificano i filtri, che indicano la parte di richieste Web che AWS WAF Classic deve ispezionare per rilevare la presenza di codice SQL dannoso, ad esempio l'URI o la stringa di query. È possibile aggiungere più di un filtro a una condizione di corrispondenza SQL injection oppure è possibile creare una condizione separata per ogni filtro. Ecco come ogni configurazione influisce sul comportamento di AWS WAF Classic:
+ **Più di un filtro per condizione di corrispondenza SQL Injection (consigliato)**: quando si aggiunge una condizione di SQL injection match contenente più filtri a una regola e si aggiunge la regola a un ACL Web, è sufficiente che una richiesta Web corrisponda a uno dei filtri nella condizione di SQL injection match per AWS WAF Classic per consentire o bloccare la richiesta in base a tale condizione.
Ad esempio, supponiamo di creare una condizione di corrispondenza SQL injection e che la condizione contenga due filtri. Un filtro indica a AWS WAF Classic di ispezionare l'URI alla ricerca di codice SQL dannoso e l'altro indica a AWS WAF Classic di ispezionare la stringa di query. AWS WAF Classic consente o blocca le richieste se sembrano contenere codice SQL dannoso nell'URI **o** nella stringa di query.
+ **Un filtro per condizione di corrispondenza SQL Injection**: quando si aggiungono condizioni di SQL injection match separate a una regola e si aggiunge la regola a un ACL Web, le richieste Web devono soddisfare tutte le condizioni affinché AWS WAF Classic consenta o blocchi le richieste in base alle condizioni.
Supponiamo di creare due condizione e ogni condizione contenga uno dei due filtri dell'esempio precedente. Quando si aggiungono entrambe le condizioni alla stessa regola e si aggiunge la regola a un ACL Web, AWS WAF Classic consente o blocca le richieste solo quando sia l'URI che la stringa di query sembrano contenere codice SQL dannoso.
**Nota**
Quando aggiungi una condizione di SQL injection match a una regola, puoi anche configurare AWS WAF Classic per consentire o bloccare le richieste Web che *non* sembrano contenere codice SQL dannoso.
**Per creare condizione di corrispondenza SQL injection**
1. Accedi a Console di gestione AWS e apri la AWS WAF console all'indirizzo [https://console.aws.amazon.com/wafv2/](https://console.aws.amazon.com/wafv2/).
Se vedi **Passa alla AWS WAF versione classica** nel riquadro di navigazione, selezionalo.
1. Nel riquadro di navigazione scegliere **SQL injection**.
1. Scegliere **Create condition (Crea condizione)**.
1. Specificare le impostazioni di filtro applicabili. Per ulteriori informazioni, consulta [Valori da specificare durante la creazione o la modifica di condizioni di corrispondenza SQL injection](#classic-web-acl-sql-conditions-values).
1. Scegliere **Add another filter (Aggiungi un altro filtro)**.
1. Se si desidera aggiungere un altro filtro, ripetere le fasi 4 e 5.
1. Dopo aver aggiunto i filtri, selezionare **Create (Crea)**.
## Valori da specificare durante la creazione o la modifica di condizioni di corrispondenza SQL injection
Quando crei o aggiorni una condizione di corrispondenza SQL injection specifichi i valori seguenti:
**Name**
Il nome della condizione di corrispondenza SQL injection.
Il nome può contenere solo caratteri alfanumerici (A - Z, a - z, 0 - 9) o i seguenti caratteri speciali: \$1-\$1"\$1`\$1\$1\$1,./. Non è possibile modificare il nome di una condizione dopo averla creata.
**Parte della richiesta su cui applicare un filtro**
Scegli la parte di ogni richiesta web che vuoi che AWS WAF Classic esamini alla ricerca di codice SQL dannoso:
**Header**
Un'intestazione della richiesta specificata, ad esempio, l'intestazione `User-Agent` o `Referer`. Se scegli **Header (Intestazione)**, specifica il nome dell'intestazione nel campo **Header (Intestazione)**.
**Metodo HTTP**
Il metodo HTTP, che indica il tipo di operazione che la richiesta chiede all'origine di eseguire. CloudFront supporta i seguenti metodi: `DELETE`, `GET`, `HEAD`, `OPTIONS`, `PATCH`, `POST` e `PUT`.
**Stringa di query**
La parte di un URL che viene visualizzata dopo un carattere `?`, se presente.
Per le condizioni di corrispondenza SQL injection, si consiglia di scegliere **All query parameters (values only) (Tutti i parametri di query (solo valori))** anziché **Query string (Stringa di query)** per **Part of the request to filter on (Parte della richiesta su cui filtrare)**.
**URI**
Il percorso URI della richiesta, che identifica la risorsa, ad esempio,. `/images/daily-ad.jpg` Ciò non include la stringa di query o i componenti del frammento dell'URI. Per informazioni, vedete [Uniform Resource Identifier (URI): sintassi generica](https://tools.ietf.org/html/rfc3986#section-3.3).
A meno che non venga specificata una **trasformazione**, un URI non viene normalizzato e viene ispezionato non appena lo AWS riceve dal client come parte della richiesta. Un valore in **Transformation (Trasformazione)** riformatterà l'URI come specificato.
**Body**
La parte di una richiesta che contiene i dati aggiuntivi da inviare al server Web come corpo della richiesta HTTP, come i dati provenienti da un modulo.
Se scegliete **Body** come valore di **Parte della richiesta su cui filtrare**, AWS WAF Classic ispeziona solo i primi 8192 byte (8 KB). Per consentire o bloccare le richieste il cui corpo è più lungo di 8192 byte, puoi creare una condizione di vincolo di dimensione. (AWS WAF Classic ottiene la lunghezza del corpo dalle intestazioni della richiesta.) Per ulteriori informazioni, consulta [Utilizzo di condizioni per i vincoli di dimensioni](classic-web-acl-size-conditions.md).
**Parametro di query singola (solo valore)**
Qualsiasi parametro che hai definito come parte della stringa di query. Ad esempio, se l'URL è «www.xyz.com? UserName =abc& SalesRegion =seattle» puoi aggiungere un filtro al parametro or. *UserName*SalesRegion**
Se scegli **Single query parameter (value only) (Parametro di query singola (solo valore))**, sarà necessario anche specificare un valore in **Query parameter name (Nome di parametro query)**. Questo è il parametro nella stringa di query che esaminerai, ad esempio o. *UserName*SalesRegion** La lunghezza massima per **Query parameter name (Nome di parametro query)** è 30 caratteri. **Query parameter name (Nome di parametro query)** non opera distinzione tra maiuscole e minuscole. Ad esempio, se si specifica *UserName*come **nome del parametro Query**, questo corrisponderà a tutte le varianti di *UserName*, ad esempio *username e *Us ERName**.
**Tutti i parametri di query (solo valori)**
Analogamente al **parametro Single query (solo valore)**, ma anziché esaminare il valore di un singolo parametro, AWS WAF Classic esamina il valore di tutti i parametri all'interno della stringa di query per individuare eventuali codici SQL dannosi. Ad esempio, se l'URL è «www.xyz.com? UserName =abc& SalesRegion =seattle» e scegli **Tutti i parametri di query (solo valori)**, AWS WAF Classic attiverà una corrispondenza se il valore di uno dei due o contiene un possibile codice SQL dannoso. *UserName*SalesRegion**
**Header**
Se hai scelto **Intestazione** per **parte della richiesta su cui filtrare**, scegli un'intestazione dall'elenco delle intestazioni comuni o inserisci il nome di un'intestazione che desideri che AWS WAF Classic controlli per rilevare la presenza di codice SQL dannoso.
**Trasformazione**
Una trasformazione riformatta una richiesta Web prima che Classic esamini la richiesta. AWS WAF Ciò elimina parte della formattazione insolita utilizzata dagli aggressori nelle richieste Web nel tentativo di aggirare la versione classica. AWS WAF
È possibile specificare solo un unico tipo di trasformazione del testo.
Questo è in grado di eseguire le operazioni descritte di seguito:
**Nessuno**
AWS WAF **Classic non esegue alcuna trasformazione di testo sulla richiesta Web prima di controllarla per verificare che la stringa in Value corrisponda.**
**Conversione in minuscolo**
AWS WAF La versione classica converte le lettere maiuscole (A-Z) in minuscole (a-z).
**Decodifica HTML**
AWS WAF Classic sostituisce i caratteri con codifica HTML con caratteri non codificati:
+ Sostituisce `"` con `&`
+ Sostituisce ` ` con uno spazio unificatore
+ Sostituisce `<` con `<`
+ Sostituisce `>` con `>`
+ Sostituisce i caratteri rappresentati in formato esadecimale, `&#xhhhh;`, con i caratteri corrispondenti
+ Sostituisce i caratteri rappresentati in formato decimale, `&#nnnn;`, con i caratteri corrispondenti
**Normalizza lo spazio vuoto**
AWS WAF Classic sostituisce i seguenti caratteri con uno spazio (decimale 32):
+ \$1f, alimentazione modulo, decimale 12
+ \$1t, tabulazione, decimale 9
+ \$1n, nuova riga, decimale 10
+ \$1r, ritorno a capo, decimale 13
+ \$1v, tabulazione verticale, decimale 11
+ spazio unificatore, decimale 160
Inoltre, questa opzione sostituisce più spazi con uno spazio.
**Semplificazione della riga di comando**
Per le richieste che contengono comandi della riga di comando del sistema operativo, utilizza questa opzione per eseguire le seguenti trasformazioni:
+ Elimina i seguenti caratteri: \$1 " ' ^
+ Eliminare gli spazi prima dei seguenti caratteri: / (
+ Sostituire i seguenti caratteri con uno spazio: , ;
+ Sostituire più spazi con uno spazio
+ Convertire le lettere maiuscole (A-Z) in lettere minuscole (a-z)
**Decodifica URL**
Decodifica una richiesta con codifica URL.
## Aggiunta ed eliminazione di filtri in una condizione di corrispondenza SQL injection
È possibile aggiungere una condizione di corrispondenza SQL injection o eliminare filtri. Per modificare un filtro, aggiungine uno nuovo ed elimina il precedente.
**Per aggiungere o eliminare filtri in una condizione di corrispondenza SQL injection**
1. Accedi a Console di gestione AWS e apri la console all' AWS WAF indirizzo. [https://console.aws.amazon.com/wafv2/](https://console.aws.amazon.com/wafv2/)
Se vedi **Passa alla AWS WAF versione classica** nel riquadro di navigazione, selezionalo.
1. Nel riquadro di navigazione scegliere **SQL injection**.
1. Scegliere la condizione a aggiungere o da cui eliminare i filtri.
1. Per aggiungere filtri, procedere nel seguente modo:
1. Scegliere **Add filter (Aggiungi filtro)**.
1. Specificare le impostazioni di filtro applicabili. Per ulteriori informazioni, consulta [Valori da specificare durante la creazione o la modifica di condizioni di corrispondenza SQL injection](#classic-web-acl-sql-conditions-values).
1. Scegliere **Aggiungi**.
1. Per eliminare filtri, procedere nel seguente modo:
1. Selezionare il filtro da eliminare.
1. Scegli **Delete filter (Elimina filtro)**.
## Eliminazione di condizioni di corrispondenza SQL injection
Se desideri eliminare una condizione di corrispondenza SQL injection, è necessario prima eliminare tutti i filtri nella condizione e rimuovere la condizione da tutte le regole che la utilizzano, come descritto nella seguente procedura.
**Per eliminare una condizione di corrispondenza SQL injection**
1. Accedi a Console di gestione AWS e apri la AWS WAF console all'indirizzo [https://console.aws.amazon.com/wafv2/](https://console.aws.amazon.com/wafv2/).
Se vedi **Passa alla AWS WAF versione classica** nel riquadro di navigazione, selezionalo.
1. Nel riquadro di navigazione scegliere **SQL injection**.
1. Nel riquadro **SQL injection match conditions (Condizioni di corrispondenza SQL injection)**, scegliere la condizione di corrispondenza SQL injection da eliminare.
1. Nel riquadro a destra, scegliere la scheda **Associated rules (Regole associate)**.
Se l'elenco di regole che utilizza questa condizione di corrispondenza SQL injection è vuoto, passare alla fase 6. Se l'elenco contiene regole, prendere nota delle regole e continuare con la fase 5.
1. Per rimuovere la condizione di corrispondenza SQL injection dalle regole che la utilizzano, procedere nel seguente modo:
1. Nel riquadro di navigazione, scegli **Regole**.
1. Scegliere il nome di una regola che utilizza la condizione di corrispondenza SQL injection da eliminare.
1. Nel riquadro a destra, selezionare la condizione di corrispondenza SQL injection che si desidera rimuovere dalla regola e scegliere **Remove selected condition (Rimuovi condizione selezionata)**.
1. Ripetere le fasi b e c per tutte le regole rimanenti che utilizzano la condizione di corrispondenza SQL injection da eliminare.
1. Nel riquadro di navigazione scegliere **SQL injection**.
1. Nel riquadro **SQL injection match conditions (Condizioni di corrispondenza SQL injection)**, scegliere la condizione di corrispondenza SQL injection da eliminare.
1. Scegliere **Delete (Elimina)** per eliminare la condizione selezionata.
# Utilizzo di condizioni di corrispondenza per stringa
**avvertimento**
AWS WAF Classic sta attraversando un end-of-life processo pianificato. Consulta la AWS Health dashboard per le tappe fondamentali e le date specifiche della tua regione.
**Nota**
Questa è la documentazione **AWS WAF classica**. Dovresti usare questa versione solo se hai creato AWS WAF risorse, come regole e web ACLs, AWS WAF prima di novembre 2019 e non le hai ancora migrate alla versione più recente. Per migrare il tuo sito web ACLs, consulta. [Migrazione delle risorse AWS WAF Classic a AWS WAF](waf-migrating-from-classic.md)
**Per la versione più recente di AWS WAF**, vedi[AWS WAF](waf-chapter.md).
Se desideri consentire o bloccare le richieste Web in base alle stringe visualizzate nelle richieste, crea condizioni di corrispondenza geografica. Una condizione di corrispondenza delle stringhe identifica la stringa da cercare e la parte di richieste Web, ad esempio un'intestazione specificata o la stringa di query, che AWS WAF Classic deve esaminare per individuare la stringa. In un secondo momento, quando crei un'ACL Web, specifichi se desideri consentire o bloccare le richieste che contengono la stringa.
**Topics**
+ [Creazione di una condizione di corrispondenza per stringa](#classic-web-acl-string-conditions-creating)
+ [Valori da specificare durante la creazione o la modifica di condizioni di corrispondenza per stringa](#classic-web-acl-string-conditions-values)
+ [Aggiunta ed eliminazione di filtri in una condizione di corrispondenza per stringa](#classic-web-acl-string-conditions-editing)
+ [Eliminazione delle condizioni di corrispondenza stringa](#classic-web-acl-string-conditions-deleting)
## Creazione di una condizione di corrispondenza per stringa
Quando si creano condizioni di corrispondenza tra stringhe, si specificano filtri che identificano la stringa da cercare e la parte di richieste Web che si desidera che AWS WAF Classic analizzi per quella stringa, ad esempio l'URI o la stringa di query. È possibile aggiungere più di un filtro a una condizione di corrispondenza stringa oppure è possibile creare una condizione di corrispondenza stringa separata per ogni filtro. Ecco come ogni configurazione influisce sul comportamento di AWS WAF Classic:
+ **Un filtro per condizione di corrispondenza della stringa**: quando aggiungi condizioni di corrispondenza delle stringhe separate a una regola e aggiungi la regola a un ACL Web, le richieste Web devono soddisfare tutte le condizioni affinché AWS WAF Classic consenta o blocchi le richieste in base alle condizioni.
Ad esempio, supponiamo che crei due condizioni. Una corrisponde alle richieste Web che contengono il valore `BadBot` nell'intestazione `User-Agent`. L'altra corrisponde alle richieste Web che contengono il valore `BadParameter` nelle stringhe di query. Quando aggiungi entrambe le condizioni alla stessa regola e aggiungi la regola a un ACL web, AWS WAF Classic consente o blocca le richieste solo quando contengono entrambi i valori.
+ **Più di un filtro per condizione di corrispondenza delle stringhe**: quando aggiungi una condizione di corrispondenza delle stringhe che contiene più filtri a una regola e aggiungi la regola a un ACL Web, una richiesta Web deve soddisfare solo uno dei filtri nella condizione di corrispondenza delle stringhe per AWS WAF Classic per consentire o bloccare la richiesta in base a un'unica condizione.
Supponiamo di creare una condizione anziché due e che l'unica condizione contenga gli stessi due filtri dell'esempio precedente. AWS WAF *La versione classica consente o blocca le richieste se sono contenute `BadBot` nell'`User-Agent`intestazione *o `BadParameter` nella stringa* di query.*
**Nota**
Quando aggiungi una condizione di corrispondenza delle stringhe a una regola, puoi anche configurare AWS WAF Classic per consentire o bloccare le richieste Web che *non* corrispondono ai valori della condizione.
**Per creare una condizione di corrispondenza stringa**
1. Accedi a Console di gestione AWS e apri la AWS WAF console all'indirizzo [https://console.aws.amazon.com/wafv2/](https://console.aws.amazon.com/wafv2/).
Se vedi **Passa alla AWS WAF versione classica** nel riquadro di navigazione, selezionalo.
1. Nel riquadro di navigazione, scegliere **String and regex matching (Stringa e regex corrispondenti)**.
1. Scegliere **Create condition (Crea condizione)**.
1. Specificare le impostazioni di filtro applicabili. Per ulteriori informazioni, consulta [Valori da specificare durante la creazione o la modifica di condizioni di corrispondenza per stringa](#classic-web-acl-string-conditions-values).
1. Scegliere **Add filter (Aggiungi filtro)**.
1. Se si desidera aggiungere un altro filtro, ripetere le fasi 4 e 5.
1. Dopo aver aggiunto i filtri, selezionare **Create (Crea)**.
## Valori da specificare durante la creazione o la modifica di condizioni di corrispondenza per stringa
Quando crei o aggiorni una condizione di corrispondenza stringa specifichi i valori seguenti:
**Name**
Immetti un nome per la condizione di corrispondenza stringa. Il nome può contenere solo caratteri alfanumerici (A - Z, a - z, 0 - 9) o i seguenti caratteri speciali: \$1-\$1"\$1`\$1\$1\$1,./. Non è possibile modificare il nome di una condizione dopo averla creata.
**Tipo**
Scegliere **String match (Corrispondenza stringa)**.
**Parte della richiesta su cui applicare un filtro**
Scegli la parte di ogni richiesta web a cui desideri che AWS WAF Classic controlli per verificare se la stringa specificata in **Value corrisponda**:
**Header**
Un'intestazione della richiesta specificata, ad esempio, l'intestazione `User-Agent` o `Referer`. Se scegli **Header (Intestazione)**, specifica il nome dell'intestazione nel campo **Header (Intestazione)**.
**Metodo HTTP**
Il metodo HTTP, che indica il tipo di operazione che la richiesta chiede all'origine di eseguire. CloudFront supporta i seguenti metodi: `DELETE`, `GET`, `HEAD`, `OPTIONS`, `PATCH`, `POST` e `PUT`.
**Stringa di query**
La parte di un URL che viene visualizzata dopo un carattere `?`, se presente.
**URI**
Il percorso URI della richiesta, che identifica la risorsa, ad esempio,. `/images/daily-ad.jpg` Ciò non include la stringa di query o i componenti del frammento dell'URI. Per informazioni, vedete [Uniform Resource Identifier (URI): sintassi generica](https://tools.ietf.org/html/rfc3986#section-3.3).
A meno che non venga specificata una **trasformazione**, un URI non viene normalizzato e viene ispezionato non appena lo AWS riceve dal client come parte della richiesta. Un valore in **Transformation (Trasformazione)** riformatterà l'URI come specificato.
**Body**
La parte di una richiesta che contiene i dati aggiuntivi da inviare al server Web come corpo della richiesta HTTP, come i dati provenienti da un modulo.
Se scegliete **Body** come valore di **Parte della richiesta su cui filtrare**, AWS WAF Classic ispeziona solo i primi 8192 byte (8 KB). Per consentire o bloccare le richieste il cui corpo è più lungo di 8192 byte, puoi creare una condizione di vincolo di dimensione. (AWS WAF Classic ottiene la lunghezza del corpo dalle intestazioni della richiesta.) Per ulteriori informazioni, consulta [Utilizzo di condizioni per i vincoli di dimensioni](classic-web-acl-size-conditions.md).
**Parametro di query singola (solo valore)**
Qualsiasi parametro che hai definito come parte della stringa di query. Ad esempio, se l'URL è «www.xyz.com? UserName =abc& SalesRegion =seattle» puoi aggiungere un filtro al parametro or. *UserName*SalesRegion**
Se nella stringa di query vengono visualizzati parametri duplicati, i valori vengono valutati come "OR" (O). Cioè, entrambi i valori attiveranno una corrispondenza. **Ad esempio, nell'URL «www.xyz.com? SalesRegion =boston& SalesRegion =seattle», «boston» o «seattle» in Value to match attiveranno una corrispondenza.**
Se scegli **Single query parameter (value only) (Parametro di query singola (solo valore))**, sarà necessario anche specificare un valore in **Query parameter name (Nome di parametro query)**. Questo è il parametro nella stringa di query che esaminerai, ad esempio o. *UserName*SalesRegion** La lunghezza massima per **Query parameter name (Nome di parametro query)** è 30 caratteri. **Query parameter name (Nome di parametro query)** non opera distinzione tra maiuscole e minuscole. Ad esempio, se si specifica *UserName*come **nome del parametro Query**, questo corrisponderà a tutte le varianti di *UserName*, ad esempio *username e *Us ERName**.
**Tutti i parametri di query (solo valori)**
Analogamente al **parametro Single query (solo valore)**, ma anziché controllare il valore di un singolo parametro, AWS WAF Classic esamina il valore di tutti i parametri all'interno della stringa di query per individuare il **valore da abbinare**. **Ad esempio, se l'URL è «www.xyz.com? UserName =abc& SalesRegion =seattle» e scegli **Tutti i parametri di query (solo valori)**, AWS WAF Classic attiverà una corrispondenza se il valore di uno dei due è specificato come Valore da abbinare. *UserName*SalesRegion****
**Intestazione (solo quando la "Part of the request to filter on (Parte della richiesta sulla quale filtrare)" è "Header (Intestazione)")**
Se hai scelto **Intestazione** dalla **parte della richiesta per filtrare** l'elenco, scegli un'intestazione dall'elenco delle intestazioni comuni o inserisci il nome di un'intestazione che desideri che AWS WAF Classic controlli.
**Tipo di corrispondenza**
All'interno della parte della richiesta che vuoi che AWS WAF Classic esamini, scegli dove deve apparire la stringa in **Value to match per corrispondere a questo filtro**:
**Contiene**
La stringa viene visualizzata ovunque nella parte specificata della richiesta.
**Contiene parola**
La parte specificata della richiesta Web deve includere **Value to match (Valore per la corrispondenza)** e **Value to match (Valore per la corrispondenza)** deve contenere solo caratteri alfanumerici o caratteri di sottolineatura (A-Z, a-z, 0-9 o \$1). Inoltre, **Value to match (Valore per la corrispondenza)** deve essere una parola, il che significa una delle seguenti opzioni:
+ **Value to match (Valore per la corrispondenza)** corrisponde esattamente al valore della parte specificata della richiesta Web, come il valore di un'intestazione.
+ **Value to match (Valore per la corrispondenza)** si trova all'inizio della parte specificata della richiesta Web ed è seguito da un carattere diverso da un carattere alfanumerico o un carattere di sottolineatura (\$1), ad esempio, `BadBot;`.
+ **Value to match (Valore per la corrispondenza)** si trova alla fine della parte specificata della richiesta Web ed è preceduto da un carattere diverso da un carattere alfanumerico o un carattere di sottolineatura (\$1), ad esempio, `;BadBot`.
+ **Value to match (Valore per la corrispondenza)** si trova al centro della parte specificata della richiesta Web ed è preceduto e seguito da caratteri diversi da caratteri alfanumerici o caratteri di sottolineatura (\$1), ad esempio, `-BadBot;`.
**Corrispondenza esatta**
La stringa e il valore della parte specificata della richiesta sono identici.
**Inizia con**
La stringa viene visualizzata all'inizio della parte specificata della richiesta.
**Ends with**
La stringa viene visualizzata alla fine della parte specificata della richiesta.
**Trasformazione**
Una trasformazione riformatta una richiesta web prima che AWS WAF Classic esamini la richiesta. Ciò elimina parte della formattazione insolita utilizzata dagli aggressori nelle richieste Web nel tentativo di aggirare la versione classica. AWS WAF
È possibile specificare solo un unico tipo di trasformazione del testo.
Questo è in grado di eseguire le operazioni descritte di seguito:
**Nessuno**
AWS WAF **Classic non esegue alcuna trasformazione di testo sulla richiesta Web prima di controllarla per verificare che la stringa in Value corrisponda.**
**Conversione in minuscolo**
AWS WAF La versione classica converte le lettere maiuscole (A-Z) in minuscole (a-z).
**Decodifica HTML**
AWS WAF Classic sostituisce i caratteri con codifica HTML con caratteri non codificati:
+ Sostituisce `"` con `&`
+ Sostituisce ` ` con uno spazio unificatore
+ Sostituisce `<` con `<`
+ Sostituisce `>` con `>`
+ Sostituisce i caratteri rappresentati in formato esadecimale, `&#xhhhh;`, con i caratteri corrispondenti
+ Sostituisce i caratteri rappresentati in formato decimale, `&#nnnn;`, con i caratteri corrispondenti
**Normalizza lo spazio vuoto**
AWS WAF Classic sostituisce i seguenti caratteri con uno spazio (decimale 32):
+ \$1f, alimentazione modulo, decimale 12
+ \$1t, tabulazione, decimale 9
+ \$1n, nuova riga, decimale 10
+ \$1r, ritorno a capo, decimale 13
+ \$1v, tabulazione verticale, decimale 11
+ spazio unificatore, decimale 160
Inoltre, questa opzione sostituisce più spazi con uno spazio.
**Semplificazione della riga di comando**
Se sei preoccupato che gli aggressori stiano inserendo un comando da riga di comando del sistema operativo e stiano utilizzando una formattazione insolita per mascherare alcuni o tutti i comandi, utilizza questa opzione per eseguire le seguenti trasformazioni:
+ Elimina i seguenti caratteri: \$1 " ' ^
+ Eliminare gli spazi prima dei seguenti caratteri: / (
+ Sostituire i seguenti caratteri con uno spazio: , ;
+ Sostituire più spazi con uno spazio
+ Convertire le lettere maiuscole (A-Z) in lettere minuscole (a-z)
**Decodifica URL**
Decodifica una richiesta con codifica URL.
**Il valore è codificato con base64**
Se il valore in **Value to match (Valore per la corrispondenza)** è codificato con base64, seleziona questa casella di controllo. Utilizza la codifica base64 per specificare i caratteri non stampabili, come le tabulazioni e gli avanzamenti riga, che gli aggressori includono nelle loro richieste.
**Valore per la corrispondenza**
Specificate il valore che desiderate che AWS WAF Classic cerchi nelle richieste web. La lunghezza massima è 50 byte. Se effettui la codifica base64 del valore, la lunghezza massima di 50 byte si applica al valore prima di codificarlo.
## Aggiunta ed eliminazione di filtri in una condizione di corrispondenza per stringa
È possibile aggiungere a una condizione di corrispondenza per stringa o eliminare filtri. Per modificare un filtro, aggiungine uno nuovo ed elimina il precedente.
**Per aggiungere o eliminare filtri in una condizione di corrispondenza stringa**
1. Accedi a Console di gestione AWS e apri la AWS WAF console all'indirizzo [https://console.aws.amazon.com/wafv2/](https://console.aws.amazon.com/wafv2/).
Se vedi **Passa alla AWS WAF versione classica** nel riquadro di navigazione, selezionalo.
1. Nel riquadro di navigazione, scegliere **String and regex matching (Stringa e regex corrispondenti)**.
1. Scegliere la condizione a aggiungere o da cui eliminare i filtri.
1. Per aggiungere filtri, procedere nel seguente modo:
1. Scegliere **Add filter (Aggiungi filtro)**.
1. Specificare le impostazioni di filtro applicabili. Per ulteriori informazioni, consulta [Valori da specificare durante la creazione o la modifica di condizioni di corrispondenza per stringa](#classic-web-acl-string-conditions-values).
1. Scegliere **Aggiungi**.
1. Per eliminare filtri, procedere nel seguente modo:
1. Selezionare il filtro da eliminare.
1. Scegliere **Delete filter (Elimina filtro)**.
## Eliminazione delle condizioni di corrispondenza stringa
Se desideri eliminare una condizione di corrispondenza stringa, è necessario prima eliminare tutti i filtri nella condizione e rimuovere la condizione da tutte le regole che la utilizzano, come descritto nella seguente procedura.
**Per eliminare una condizione di corrispondenza stringa**
1. Accedi a Console di gestione AWS e apri la AWS WAF console all'indirizzo [https://console.aws.amazon.com/wafv2/](https://console.aws.amazon.com/wafv2/).
Se vedi **Passa alla AWS WAF versione classica** nel riquadro di navigazione, selezionalo.
1. Rimuovere la condizione di corrispondenza stringa dalle regole che la utilizzano:
1. Nel riquadro di navigazione, scegli **Regole**.
1. Scegliere il nome di una regola che utilizza la condizione di corrispondenza stringa da eliminare.
1. Nel riquadro a destra, selezionare **Edit rule (Modifica regola)**.
1. Scegliere la **X** accanto alla condizione da eliminare.
1. Scegliere **Aggiorna**.
1. Ripetere per tutte le regole rimanenti che utilizzano la condizione di corrispondenza stringa da eliminare.
1. Rimuovere i filtri dalla condizione da eliminare:
1. Nel riquadro di navigazione, scegliere **String and regex matching (Stringa e regex corrispondenti)**.
1. Scegliere il nome della condizione di corrispondenza stringa da eliminare.
1. Nel riquadro a destra, scegliere la casella di controllo accanto a **Filter (Filtro)** per selezionare tutti i filtri.
1. Scegliere **Delete filter (Elimina filtro)**.
1. Nel riquadro di navigazione, scegliere **String and regex matching (Stringa e regex corrispondenti)**.
1. Nel riquadro **String and regex match conditions (Condizioni di corrispondenza stringa e per regex)**, scegliere la condizione di corrispondenza stringa da eliminare.
1. Scegliere **Delete (Elimina)** per eliminare la condizione selezionata.
# Utilizzo di condizioni di corrispondenza per regex
**avvertimento**
AWS WAF Classic sta attraversando un end-of-life processo pianificato. Consulta la AWS Health dashboard per le tappe fondamentali e le date specifiche della tua regione.
**Nota**
Questa è la documentazione **AWS WAF classica**. Dovresti usare questa versione solo se hai creato AWS WAF risorse, come regole e web ACLs, AWS WAF prima di novembre 2019 e non le hai ancora migrate alla versione più recente. Per migrare il tuo sito web ACLs, consulta. [Migrazione delle risorse AWS WAF Classic a AWS WAF](waf-migrating-from-classic.md)
**Per la versione più recente di AWS WAF**, vedi[AWS WAF](waf-chapter.md).
Se desideri consentire o bloccare le richieste Web in base alle stringe che corrispondono a un modello di espressione regolare (regex) visualizzato nelle richieste, crea condizioni di corrispondenza per regex. Una condizione di corrispondenza regex è un tipo di condizione di corrispondenza tra stringhe che identifica il pattern da cercare e la parte delle richieste Web, ad esempio un'intestazione specificata o la stringa di query, che AWS WAF Classic deve esaminare per individuare il pattern. In un secondo momento, quando crei un'ACL Web, specifichi se desideri consentire o bloccare le richieste che contengono il modello.
**Topics**
+ [Creazione di una condizione di corrispondenza per regex](#classic-web-acl-regex-conditions-creating)
+ [Valori che specifichi quando crei o modifichi le condizioni di RegEx corrispondenza](#classic-web-acl-regex-conditions-values)
+ [Modifica di una condizione di corrispondenza per regex](#classic-web-acl-regex-conditions-editing)
## Creazione di una condizione di corrispondenza per regex
Quando si creano condizioni di corrispondenza per regex, specifichi set del modello che identificano la stringa (utilizzando un'espressione regolare) che desideri cercare. Questi set di pattern vengono quindi aggiunti ai filtri che specificano la parte di richieste Web che si desidera che AWS WAF Classic analizzi per quel set di modelli, ad esempio l'URI o la stringa di query.
È possibile aggiungere più espressioni regolari a un singolo set del modello. In questo caso, tali espressioni sono combinate con un *OR (O)*. Cioè, una richiesta Web corrisponderà al set del modello se la parte appropriata della richiesta corrisponde a una qualsiasi delle espressioni elencate.
Quando aggiungi una condizione di corrispondenza regex a una regola, puoi anche configurare AWS WAF Classic per consentire o bloccare le richieste Web che *non* corrispondono ai valori della condizione.
AWS WAF Classic supporta la maggior parte delle [espressioni regolari compatibili con Perl (PCRE) standard](http://www.pcre.org/). Tuttavia, non sono supportate le seguenti:
+ Backreference e sottoespressioni di acquisizione
+ Asserzioni arbitrarie a larghezza nulla
+ Riferimenti di subroutine e modelli ricorsivi
+ Modelli condizionali
+ Verbi di controllo di backtracking
+ La direttiva\$1C a byte singolo
+ La direttiva \$1R di corrispondenza nuova riga
+ L'inizio \$1K della direttiva di reimpostazione della corrispondenza
+ Callout e codice incorporato
+ Raggruppamento atomico e quantificatori possessivi
**Per creare una condizione di corrispondenza regex**
1. Accedi a Console di gestione AWS e apri la AWS WAF console all'indirizzo. [https://console.aws.amazon.com/wafv2/](https://console.aws.amazon.com/wafv2/)
Se vedi **Passa alla AWS WAF versione classica** nel riquadro di navigazione, selezionalo.
1. Nel riquadro di navigazione, scegliere **String and regex matching (Stringa e regex corrispondenti)**.
1. Scegliere **Create condition (Crea condizione)**.
1. Specificare le impostazioni di filtro applicabili. Per ulteriori informazioni, consulta [Valori che specifichi quando crei o modifichi le condizioni di RegEx corrispondenza](#classic-web-acl-regex-conditions-values).
1. Scegliere **Create pattern set and add filter (Crea set del modello e aggiungi filtro)** (se è stato creato un nuovo set del modello) o **Add filter (Aggiungi filtro)** se è stato utilizzato un set del modello esistente.
1. Scegli **Create** (Crea).
## Valori che specifichi quando crei o modifichi le condizioni di RegEx corrispondenza
Quando crei o aggiorni una condizione di corrispondenza per regex specifichi i valori seguenti:
**Name**
Immetti un nome per la condizione di corrispondenza per regex. Il nome può contenere solo caratteri alfanumerici (A - Z, a - z, 0 - 9) o i seguenti caratteri speciali: \$1-\$1"\$1`\$1\$1\$1,./. Non è possibile modificare il nome di una condizione dopo averla creata.
**Tipo**
Scegliere **Regex match (Corrispondenza regex)**.
**Parte della richiesta su cui applicare un filtro**
Scegliete la parte di ogni richiesta web a cui desiderate che AWS WAF Classic esamini per verificare la **corrispondenza del modello specificato in Valore**:
**Header**
Un'intestazione della richiesta specificata, ad esempio, l'intestazione `User-Agent` o `Referer`. Se scegli **Header (Intestazione)**, specifica il nome dell'intestazione nel campo **Header (Intestazione)**.
**Metodo HTTP**
Il metodo HTTP, che indica il tipo di operazione che la richiesta chiede all'origine di eseguire. CloudFront supporta i seguenti metodi: `DELETE`, `GET`, `HEAD`, `OPTIONS`, `PATCH`, `POST` e `PUT`.
**Stringa di query**
La parte di un URL che viene visualizzata dopo un carattere `?`, se presente.
**URI**
Il percorso URI della richiesta, che identifica la risorsa, ad esempio,. `/images/daily-ad.jpg` Ciò non include la stringa di query o i componenti del frammento dell'URI. Per informazioni, vedete [Uniform Resource Identifier (URI): sintassi generica](https://tools.ietf.org/html/rfc3986#section-3.3).
A meno che non venga specificata una **trasformazione**, un URI non viene normalizzato e viene ispezionato non appena lo AWS riceve dal client come parte della richiesta. Un valore in **Transformation (Trasformazione)** riformatterà l'URI come specificato.
**Body**
La parte di una richiesta che contiene i dati aggiuntivi da inviare al server Web come corpo della richiesta HTTP, come i dati provenienti da un modulo.
Se scegliete **Body** come valore di **Parte della richiesta su cui filtrare**, AWS WAF Classic ispeziona solo i primi 8192 byte (8 KB). Per consentire o bloccare le richieste il cui corpo è più lungo di 8192 byte, puoi creare una condizione di vincolo di dimensione. (AWS WAF Classic ottiene la lunghezza del corpo dalle intestazioni della richiesta.) Per ulteriori informazioni, consulta [Utilizzo di condizioni per i vincoli di dimensioni](classic-web-acl-size-conditions.md).
**Parametro di query singola (solo valore)**
Qualsiasi parametro che hai definito come parte della stringa di query. Ad esempio, se l'URL è «www.xyz.com? UserName =abc& SalesRegion =seattle» puoi aggiungere un filtro al parametro or. *UserName*SalesRegion**
Se nella stringa di query vengono visualizzati parametri duplicati, i valori vengono valutati come "OR" (O). Cioè, entrambi i valori attiveranno una corrispondenza. **Ad esempio, nell'URL «www.xyz.com? SalesRegion =boston& SalesRegion =seattle», un pattern che corrisponde a «boston» o «seattle» in Value to match attiverà una corrispondenza.**
Se scegli **Single query parameter (value only) (Parametro di query singola (solo valore))**, sarà necessario anche specificare un valore in **Query parameter name (Nome di parametro query)**. Questo è il parametro nella stringa di query che esaminerai, ad esempio o. *UserName*SalesRegion** La lunghezza massima per **Query parameter name (Nome di parametro query)** è 30 caratteri. **Query parameter name (Nome di parametro query)** non opera distinzione tra maiuscole e minuscole. Ad esempio, se si specifica *UserName*come **nome del parametro Query**, questo corrisponderà a tutte le varianti di *UserName*, ad esempio *username e *Us ERName**.
**Tutti i parametri di query (solo valori)**
Analogamente al **parametro Single query (solo valore)**, ma anziché controllare il valore di un singolo parametro, AWS WAF Classic esamina il valore di tutti i parametri all'interno della stringa di query per individuare il modello specificato in **Value to match**. Ad esempio, nell'URL «www.xyz.com? UserName =abc& SalesRegion =seattle», un pattern in **Value to match che corrisponde al valore** in o attiverà una corrispondenza. *UserName*SalesRegion**
**Intestazione (solo quando la "Part of the request to filter on (Parte della richiesta sulla quale filtrare)" è "Header (Intestazione)")**
Se hai scelto **Intestazione** dalla **parte della richiesta per filtrare l'**elenco, scegli un'intestazione dall'elenco delle intestazioni comuni o inserisci il nome di un'intestazione che desideri che Classic controlli. AWS WAF
**Trasformazione**
Una trasformazione riformatta una richiesta web prima che Classic esamini la richiesta. AWS WAF Ciò elimina parte della formattazione insolita utilizzata dagli aggressori nelle richieste Web nel tentativo di aggirare la versione classica. AWS WAF
È possibile specificare solo un unico tipo di trasformazione del testo.
Questo è in grado di eseguire le operazioni descritte di seguito:
**Nessuno**
AWS WAF **Classic non esegue alcuna trasformazione di testo sulla richiesta Web prima di controllarla per verificare che la stringa in Value corrisponda.**
**Conversione in minuscolo**
AWS WAF La versione classica converte le lettere maiuscole (A-Z) in minuscole (a-z).
**Decodifica HTML**
AWS WAF Classic sostituisce i caratteri con codifica HTML con caratteri non codificati:
+ Sostituisce `"` con `&`
+ Sostituisce ` ` con uno spazio unificatore
+ Sostituisce `<` con `<`
+ Sostituisce `>` con `>`
+ Sostituisce i caratteri rappresentati in formato esadecimale, `&#xhhhh;`, con i caratteri corrispondenti
+ Sostituisce i caratteri rappresentati in formato decimale, `&#nnnn;`, con i caratteri corrispondenti
**Normalizza lo spazio vuoto**
AWS WAF Classic sostituisce i seguenti caratteri con uno spazio (decimale 32):
+ \$1f, alimentazione modulo, decimale 12
+ \$1t, tabulazione, decimale 9
+ \$1n, nuova riga, decimale 10
+ \$1r, ritorno a capo, decimale 13
+ \$1v, tabulazione verticale, decimale 11
+ spazio unificatore, decimale 160
Inoltre, questa opzione sostituisce più spazi con uno spazio.
**Semplificazione della riga di comando**
Se sei preoccupato che gli aggressori stiano inserendo un comando da riga di comando del sistema operativo e stiano utilizzando una formattazione insolita per mascherare alcuni o tutti i comandi, utilizza questa opzione per eseguire le seguenti trasformazioni:
+ Elimina i seguenti caratteri: \$1 " ' ^
+ Eliminare gli spazi prima dei seguenti caratteri: / (
+ Sostituire i seguenti caratteri con uno spazio: , ;
+ Sostituire più spazi con uno spazio
+ Convertire le lettere maiuscole (A-Z) in lettere minuscole (a-z)
**Decodifica URL**
Decodifica una richiesta con codifica URL.
**Modello regex che corrisponde alla richiesta**
È possibile scegliere un set del modello esistente o crearne uno nuovo. Se ne crei uno nuovo, specifica quanto segue:
Nuovo nome del set del modello
Immettete un nome, quindi specificate lo schema regex che desiderate che AWS WAF Classic cerchi.
Se aggiungi più espressioni regolari a un set del modello, tali espressioni sono combinate con un *OR (O)*. Cioè, una richiesta Web corrisponderà al set del modello se la parte appropriata della richiesta corrisponde a una qualsiasi delle espressioni elencate.
La lunghezza massima di **Value to match (Valore per la corrispondenza)** è di 70 caratteri.
## Modifica di una condizione di corrispondenza per regex
È possibile apportare le seguenti modifiche a una condizione di corrispondenza per regex esistente:
+ Eliminare un modello da un set del modello esistente
+ Aggiungere un modello a un set del modello esistente
+ Eliminare un filtro in una condizione di corrispondenza per regex esistente
+ Aggiungi un filtro a una condizione di corrispondenza regex esistente (puoi avere solo un filtro in una condizione di corrispondenza regex. Pertanto, per aggiungere un filtro, è necessario prima eliminare il filtro esistente.)
+ Eliminare una condizione di corrispondenza per regex esistente
**Nota**
Non è possibile aggiungere o eliminare un set del modello da un filtro esistente. È necessario modificare il set del modello o eliminare il filtro e creare un nuovo filtro con un nuovo set del modello.
**Per eliminare un modello da un set del modello esistente**
1. Accedi a Console di gestione AWS e apri la AWS WAF console all'indirizzo [https://console.aws.amazon.com/wafv2/](https://console.aws.amazon.com/wafv2/).
Se vedi **Passa alla AWS WAF versione classica** nel riquadro di navigazione, selezionalo.
1. Nel riquadro di navigazione, scegliere **String and regex matching (Stringa e regex corrispondenti)**.
1. Scegliere **View regex pattern sets (Visualizza set del modello regex)**.
1. Scegliere il nome del set del modello da modificare.
1. Scegli **Modifica**.
1. Scegliere la **X** accanto al modello da eliminare.
1. Scegli **Save** (Salva).
**Per aggiungere un modello a un set del modello esistente**
1. Accedi a Console di gestione AWS e apri la AWS WAF console all'indirizzo [https://console.aws.amazon.com/wafv2/](https://console.aws.amazon.com/wafv2/).
Se vedi **Passa alla AWS WAF versione classica** nel riquadro di navigazione, selezionalo.
1. Nel riquadro di navigazione, scegliere **String and regex matching (Stringa e regex corrispondenti)**.
1. Scegliere **View regex pattern sets (Visualizza set del modello regex)**.
1. Scegliere il nome del set del modello da modificare.
1. Scegli **Modifica**.
1. Immettere un nuovo modello regex.
1. Scegliere il **\$1** accanto al nuovo modello.
1. Scegli **Save** (Salva).
**Per eliminare un filtro da una condizione di corrispondenza per regex esistente**
1. Accedi a Console di gestione AWS e apri la AWS WAF console all'indirizzo [https://console.aws.amazon.com/wafv2/](https://console.aws.amazon.com/wafv2/).
Se vedi **Passa alla AWS WAF versione classica** nel riquadro di navigazione, selezionalo.
1. Nel riquadro di navigazione, scegliere **String and regex matching (Stringa e regex corrispondenti)**.
1. Scegliere il nome della condizione con il filtro da eliminare.
1. Scegliere la casella accanto al filtro da eliminare.
1. Scegli **Delete filter (Elimina filtro)**.
**Per eliminare una condizione di corrispondenza per regex**
1. Accedi a Console di gestione AWS e apri la AWS WAF console all'indirizzo [https://console.aws.amazon.com/wafv2/](https://console.aws.amazon.com/wafv2/).
Se vedi **Passa alla AWS WAF versione classica** nel riquadro di navigazione, selezionalo.
1. Eliminare il filtro dalla condizione regex. Per istruzioni su come eseguire questa operazione, consulta [Per eliminare un filtro da una condizione di corrispondenza per regex esistente](#classic-web-acl-regex-conditions-editing-procedure-delete-filter).
1. Rimuovere la condizione di corrispondenza per regex dalle regole che la utilizzano:
1. Nel riquadro di navigazione, scegli **Regole**.
1. Scegliere il nome di una regola che utilizza la condizione di corrispondenza per regex da eliminare.
1. Nel riquadro a destra, selezionare **Edit rule (Modifica regola)**.
1. Scegliere la **X** accanto alla condizione da eliminare.
1. Scegliere **Aggiorna**.
1. Ripetere per tutte le regole rimanenti che utilizzano la condizione di corrispondenza per regex da eliminare.
1. Nel riquadro di navigazione, scegliere **String and regex matching (Stringa e regex corrispondenti)**.
1. Selezionare il pulsante accanto alla condizione da eliminare.
1. Scegli **Elimina**.
**Per aggiungere o modificare un filtro in una condizione di corrispondenza per regex esistente**
È possibile disporre di un solo filtro in una condizione corrispondenza per regex. Se si desidera aggiungere o modificare il filtro, è necessario prima eliminare il filtro esistente.
1. Accedi a Console di gestione AWS e apri la AWS WAF console all'indirizzo [https://console.aws.amazon.com/wafv2/](https://console.aws.amazon.com/wafv2/).
Se vedi **Passa alla AWS WAF versione classica** nel riquadro di navigazione, selezionalo.
1. Eliminare il filtro dalla condizione regex da modificare. Per istruzioni su come eseguire questa operazione, consulta [Per eliminare un filtro da una condizione di corrispondenza per regex esistente](#classic-web-acl-regex-conditions-editing-procedure-delete-filter).
1. Nel riquadro di navigazione, scegliere **String and regex matching (Stringa e regex corrispondenti)**.
1. Scegliere il nome della condizione da modificare.
1. Scegliere **Add filter (Aggiungi filtro)**.
1. Inserire i valori appropriati per il nuovo filtro e scegliere **Add (Aggiungi)**.
# Utilizzo delle regole
**avvertimento**
AWS WAF Classic sta attraversando un end-of-life processo pianificato. Consulta la AWS Health dashboard per le tappe fondamentali e le date specifiche della tua regione.
**Nota**
Questa è la documentazione **AWS WAF classica**. Dovresti usare questa versione solo se hai creato AWS WAF risorse, come regole e web ACLs, AWS WAF prima di novembre 2019 e non le hai ancora migrate alla versione più recente. Per migrare il tuo sito web ACLs, consulta. [Migrazione delle risorse AWS WAF Classic a AWS WAF](waf-migrating-from-classic.md)
**Per la versione più recente di AWS WAF**, vedi[AWS WAF](waf-chapter.md).
Le regole ti consentono di indirizzare con precisione le richieste web che vuoi che AWS WAF Classic consenta o blocchi specificando le condizioni esatte che vuoi che AWS WAF Classic tenga d'occhio. Ad esempio, AWS WAF Classic può controllare gli indirizzi IP da cui provengono le richieste, le stringhe che le richieste contengono e dove appaiono le stringhe e se le richieste sembrano contenere codice SQL dannoso.
**Topics**
+ [Creazione di una regola e aggiunta di condizioni](classic-web-acl-rules-creating.md)
+ [Aggiunta e rimozione di condizioni in una regola](classic-web-acl-rules-editing.md)
+ [Eliminazione di una regola](classic-web-acl-rules-deleting.md)
+ [Marketplace AWS gruppi di regole](classic-waf-managed-rule-groups.md)
# Creazione di una regola e aggiunta di condizioni
**avvertimento**
AWS WAF Classic sta attraversando un end-of-life processo pianificato. Consulta la AWS Health dashboard per le tappe e le date specifiche della tua regione.
**Nota**
Questa è la documentazione **AWS WAF classica**. Dovresti usare questa versione solo se hai creato AWS WAF risorse, come regole e web ACLs, AWS WAF prima di novembre 2019 e non le hai ancora migrate alla versione più recente. Per migrare il tuo sito web ACLs, consulta. [Migrazione delle risorse AWS WAF Classic a AWS WAF](waf-migrating-from-classic.md)
**Per la versione più recente di AWS WAF**, vedi[AWS WAF](waf-chapter.md).
Se aggiungi più di una condizione a una regola, una richiesta web deve soddisfare tutte le condizioni affinché AWS WAF Classic consenta o blocchi le richieste basate su quella regola.
**Per creare una regola e aggiungere condizioni**
1. Accedi a Console di gestione AWS e apri la AWS WAF console all'indirizzo [https://console.aws.amazon.com/wafv2/](https://console.aws.amazon.com/wafv2/).
Se vedi **Passa alla AWS WAF versione classica** nel riquadro di navigazione, selezionalo.
1. Nel pannello di navigazione, scegli **Regole**.
1. Scegli **Crea regola**.
1. Immetti uno dei seguenti valori:
**Name**
Inserire un nome.
**CloudWatch nome della metrica**
Inserisci un nome per la CloudWatch metrica che AWS WAF Classic creerà e assocerà alla regola. Il nome può contenere solo caratteri alfanumerici (A - Z, a - z, 0-9), con lunghezza massima di 128 e lunghezza minima di 1. Non può contenere spazi bianchi o nomi di metriche riservati a AWS WAF Classic, inclusi «All» e «Default\$1Action.
**Tipo di regola**
Scegliere `Regular rule` o `Rate–based rule`. Le regole basate sulla frequenza sono identiche alle regole normali, ma tengono conto anche del numero di richieste che arrivano da un indirizzo IP in un periodo di cinque minuti. Per ulteriori informazioni su questi tipi di regole, consulta [Come funziona AWS WAF Classic](classic-how-aws-waf-works.md).
**Limite frequenza**
Per una regola basata sulla frequenza, immetti il numero massimo di richieste da consentire in un periodo di cinque minuti da un indirizzo IP che soddisfa le condizioni della regola. Il limite di aliquota deve essere di almeno 100.
Puoi specificare solo un limite di frequenza o un limite di frequenza e condizioni. Se si specifica solo un limite di velocità, imposta il limite su AWS WAF tutti gli indirizzi IP. Se si specificano un limite di velocità e delle condizioni AWS WAF , impone il limite agli indirizzi IP che soddisfano le condizioni.
Quando un indirizzo IP raggiunge la soglia limite di velocità, AWS WAF applica l'azione assegnata (blocco o conteggio) il più rapidamente possibile, di solito entro 30 secondi. Una volta completata l'azione, se trascorrono cinque minuti senza che l'indirizzo IP richieda alcuna richiesta, AWS WAF azzera il contatore.
1. Per aggiungere una condizione alla regola, specificare i seguenti valori:
**Quando una richiesta no does/does **
Se desideri che AWS WAF Classic consenta o blocchi le richieste in base ai filtri in una determinata condizione, scegli **Sì**. **Ad esempio, se una condizione di corrispondenza IP include l'intervallo di indirizzi IP 192.0.2.0/24 e desideri che AWS WAF Classic consenta o blocchi le richieste provenienti da tali indirizzi IP, scegli Sì.**
**Se desideri che AWS WAF Classic consenta o blocchi le richieste in base all'inverso dei filtri in una condizione, scegli No.** **Ad esempio, se una condizione di corrispondenza IP include l'intervallo di indirizzi IP 192.0.2.0/24 e desideri che AWS WAF Classic consenta o blocchi le richieste che *non* provengono da tali indirizzi IP, scegli No.**
**corrispondenza a/origine da**
Scegliere il tipo di condizione da aggiungere alla regola:
+ Condizioni di corrispondenza dello scripting tra siti: scegli abbina **almeno uno dei filtri nella condizione di corrispondenza dello** scripting tra siti
+ Condizioni di corrispondenza IP: scegli l'**origine da** un indirizzo IP in
+ Condizioni di corrispondenza geografica: scegli la **provenienza da una posizione geografica** in
+ Condizioni di vincolo di dimensione: scegli **abbina almeno uno dei filtri nella condizione di vincolo di dimensione**
+ Condizioni di corrispondenza dell'iniezione SQL: scegli **abbina almeno uno dei filtri nella condizione di corrispondenza dell'**iniezione SQL
+ Condizioni di corrispondenza delle stringhe: scegli **abbina almeno uno dei filtri nella condizione di corrispondenza delle stringhe**
+ Condizioni di corrispondenza delle espressioni regolari: scegli **abbina almeno uno dei filtri nella condizione di corrispondenza regex**
**nome della condizione**
Scegliere la condizione da aggiungere alla regola. L'elenco visualizza solo le condizioni del tipo scelto nella fase precedente.
1. Per aggiungere un'altra condizione alla regola, scegliere **Add another condition (Aggiungi un'altra condizione)** e ripetere le fasi 4 e 5. Tenere presente quanto segue:
+ Se aggiungi più di una condizione, una richiesta web deve soddisfare almeno un filtro in ogni condizione affinché AWS WAF Classic consenta o blocchi le richieste basate su quella regola
+ Se aggiungi due condizioni di corrispondenza IP alla stessa regola, AWS WAF Classic consentirà o bloccherà solo le richieste che provengono da indirizzi IP che compaiono in entrambe le condizioni di corrispondenza IP
1. Dopo aver aggiunto le condizioni, selezionare **Create (Crea)**.
# Aggiunta e rimozione di condizioni in una regola
**avvertimento**
AWS WAF Classic sta attraversando un end-of-life processo pianificato. Consulta la AWS Health dashboard per le tappe fondamentali e le date specifiche della tua regione.
**Nota**
Questa è la documentazione **AWS WAF classica**. Dovresti usare questa versione solo se hai creato AWS WAF risorse, come regole e web ACLs, AWS WAF prima di novembre 2019 e non le hai ancora migrate alla versione più recente. Per migrare il tuo sito web ACLs, consulta. [Migrazione delle risorse AWS WAF Classic a AWS WAF](waf-migrating-from-classic.md)
**Per la versione più recente di AWS WAF**, vedi[AWS WAF](waf-chapter.md).
È possibile modificare una regola aggiungendo o rimuovendo le condizioni.
**Per aggiungere o rimuovere le condizioni in una regola**
1. Accedi a Console di gestione AWS e apri la AWS WAF console all'indirizzo [https://console.aws.amazon.com/wafv2/](https://console.aws.amazon.com/wafv2/).
Se vedi **Passa alla AWS WAF versione classica** nel riquadro di navigazione, selezionalo.
1. Nel riquadro di navigazione, scegli **Regole**.
1. Scegliere il nome della regola in cui si desidera aggiungere o rimuovere le condizioni.
1. Scegli **Aggiungi regola**.
1. Per aggiungere una condizione, scegliere **Add condition (Aggiungi condizione)** e specificare i seguenti valori:
**Quando una richiesta does/does no**
**Se desideri che AWS WAF Classic consenta o blocchi le richieste in base ai filtri in una determinata condizione, ad esempio le richieste Web che provengono dall'intervallo di indirizzi IP 192.0.2.0/24, scegli does.**
**Se desideri che AWS WAF Classic consenta o blocchi le richieste in base all'inverso dei filtri in una condizione, scegli No.** **Ad esempio, se una condizione di corrispondenza IP include l'intervallo di indirizzi IP 192.0.2.0/24 e desideri che AWS WAF Classic consenta o blocchi le richieste che *non* provengono da tali indirizzi IP, scegli No.**
**corrispondenza a/origine da**
Scegliere il tipo di condizione da aggiungere alla regola:
+ Condizioni di corrispondenza dello scripting tra siti: scegli abbina **almeno uno dei filtri nella condizione di corrispondenza dello** scripting tra siti
+ Condizioni di corrispondenza IP: scegli l'**origine da** un indirizzo IP in
+ Condizioni di corrispondenza geografica: scegli la **provenienza da una posizione geografica** in
+ Condizioni di vincolo di dimensione: scegli **abbina almeno uno dei filtri nella condizione di vincolo di dimensione**
+ Condizioni di corrispondenza dell'iniezione SQL: scegli **abbina almeno uno dei filtri nella condizione di corrispondenza dell'**iniezione SQL
+ Condizioni di corrispondenza delle stringhe: scegli **abbina almeno uno dei filtri nella condizione di corrispondenza delle stringhe**
+ Condizioni di corrispondenza delle espressioni regolari: scegli **abbina almeno uno dei filtri nella condizione di corrispondenza regex**
***nome della condizione***
Scegliere la condizione da aggiungere alla regola. L'elenco visualizza solo le condizioni del tipo scelto nella fase precedente.
1. Per rimuovere una condizione, selezionare la **X** a destra del nome della condizione.
1. Scegliere **Aggiorna**.
# Eliminazione di una regola
**avvertimento**
AWS WAF Classic sta attraversando un end-of-life processo pianificato. Consulta la AWS Health dashboard per le tappe fondamentali e le date specifiche della tua regione.
**Nota**
Questa è la documentazione **AWS WAF classica**. Dovresti usare questa versione solo se hai creato AWS WAF risorse, come regole e web ACLs, AWS WAF prima di novembre 2019 e non le hai ancora migrate alla versione più recente. Per migrare il tuo sito web ACLs, consulta. [Migrazione delle risorse AWS WAF Classic a AWS WAF](waf-migrating-from-classic.md)
**Per la versione più recente di AWS WAF**, vedi[AWS WAF](waf-chapter.md).
Se desideri eliminare una regola, devi prima rimuovere la regola dal Web ACLs che la utilizza e rimuovere le condizioni incluse nella regola.
**Come eliminare una regola**
1. Accedi a Console di gestione AWS e apri la AWS WAF console all'indirizzo [https://console.aws.amazon.com/wafv2/](https://console.aws.amazon.com/wafv2/).
Se vedi **Passa alla AWS WAF versione classica** nel riquadro di navigazione, selezionalo.
1. Per rimuovere la regola dal Web ACLs che la utilizza, esegui i seguenti passaggi per ogni sito Web ACLs:
1. Nel riquadro di navigazione, scegli **Web ACLs**.
1. Scegliere il nome di un'ACL Web che utilizza la regola da eliminare.
**Nota**
Se non vedi l'ACL web, assicurati che la regione selezionata sia corretta. I siti Web ACLs che proteggono CloudFront le distribuzioni Amazon sono in **Global (CloudFront).**
1. Scegliere la scheda **Rules (Regole)**.
1. Scegliere **Edit web ACL (Modifica ACL Web)**.
1. Scegli la **X** a destra della regola che desideri eliminare, quindi scegli **Aggiorna**.
1. Nel riquadro di navigazione, scegli **Regole**.
1. Selezionare il nome della regola da eliminare.
**Nota**
Se non vedi la regola, assicurati che la selezione della regione sia corretta. Le regole che proteggono CloudFront le distribuzioni Amazon sono in **Global (CloudFront).**
1. Scegli **Delete** (Elimina).
# Marketplace AWS gruppi di regole
**avvertimento**
AWS WAF La versione classica consiste nel seguire un end-of-life processo pianificato. Consulta la AWS Health dashboard per le tappe e le date specifiche della tua regione.
**Nota**
Questa è la documentazione **AWS WAF classica**. Dovresti usare questa versione solo se hai creato AWS WAF risorse, come regole e web ACLs, AWS WAF prima di novembre 2019 e non le hai ancora migrate alla versione più recente. Per migrare il tuo sito web ACLs, consulta. [Migrazione delle risorse AWS WAF Classic a AWS WAF](waf-migrating-from-classic.md)
**Per la versione più recente di AWS WAF**, vedi[AWS WAF](waf-chapter.md).
AWS WAF Classic fornisce *gruppi di Marketplace AWS regole* per aiutarti a proteggere le tue risorse. Marketplace AWS i gruppi di regole sono raccolte di ready-to-use regole predefinite, scritte e aggiornate da AWS aziende AWS partner.
Alcuni gruppi di Marketplace AWS regole sono progettati per aiutare a proteggere tipi specifici di applicazioni Web come WordPress Joomla o PHP. [Altri gruppi di Marketplace AWS regole offrono un'ampia protezione contro le minacce note o le vulnerabilità più comuni delle applicazioni Web, come quelle elencate nella Top 10 di OWASP.](https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project)
Puoi installare un singolo gruppo di Marketplace AWS regole dal tuo AWS partner preferito e puoi anche aggiungere regole AWS WAF Classic personalizzate per una maggiore protezione. Se sei soggetto alla conformità normativa come PCI o HIPAA, potresti essere in grado di utilizzare gruppi di Marketplace AWS regole per soddisfare i requisiti del firewall delle applicazioni Web.
Marketplace AWS i gruppi di regole sono disponibili senza contratti a lungo termine e senza impegni minimi. Al momento della sottoscrizione a un gruppo di regole, vengono addebitate una tariffa mensile (ripartita proporzionalmente nell'ora), nonché le tariffe continue basate sul volume delle richieste. Per ulteriori informazioni, consulta la sezione [Prezzi AWS WAF classici](https://aws.amazon.com/waf/pricing/) e la descrizione di ciascun gruppo di Marketplace AWS regole su Marketplace AWS.
## Aggiornamenti automatici
Rimanere aggiornati sul panorama delle minacce in continua evoluzione può richiedere molto tempo e denaro. Marketplace AWS i gruppi di regole possono farti risparmiare tempo quando implementi e usi AWS WAF Classic. Un altro vantaggio è rappresentato dal fatto che AWS i nostri AWS partner aggiornano automaticamente i gruppi di Marketplace AWS regole quando emergono nuove vulnerabilità e minacce.
Molti dei nostri partner vengono informati delle nuove vulnerabilità prima delle comunicazioni pubbliche. Possono aggiornare i loro gruppi di regole e distribuirli ancora prima che una nuova minaccia sia ampiamente nota. Molti dispongono anche di team di ricerca sulle minacce per indagare e analizzare le minacce più recenti al fine di scrivere le regole più rilevanti.
## Accesso alle regole in un gruppo di Marketplace AWS regole
Ogni gruppo di Marketplace AWS regole fornisce una descrizione completa dei tipi di attacchi e vulnerabilità da cui è progettato per proteggere. Per proteggere la proprietà intellettuale dei fornitori del gruppo di regole, non è possibile visualizzare le singole regole all'interno di un gruppo di regole. Questa restrizione consente anche di impedire agli utenti malintenzionati di progettare minacce che eludano in modo specifico le regole pubblicate.
Poiché non è possibile visualizzare le singole regole in un Marketplace AWS gruppo di regole, non è possibile modificare alcuna Marketplace AWS regola in un gruppo di regole. Tuttavia, è possibile escludere da un gruppo di regole delle regole specifiche. Questa operazione viene chiamata "eccezione dei gruppi di regole". L'esclusione delle regole non le rimuove. Piuttosto, modifica l'operazione delle regole in `COUNT`. Pertanto, le richieste che corrispondono a una regola esclusa sono conteggiate, ma non bloccate. Riceverai i parametri COUNT per ogni regola esclusa.
L'esclusione delle regole può essere utile nella risoluzione dei problemi dei gruppi di regole che bloccano in modo imprevisto il traffico (falsi positivi). Una tecnica per la risoluzione dei problemi è quella di identificare la regola specifica nel gruppo di regole che sta bloccando il traffico desiderato e quindi disabilitare (escludere) tale regola.
Oltre a escludere regole specifiche, è possibile perfezionare la protezione abilitando o disabilitando interi gruppi di regole oppure scegliendo l'operazione che il gruppo di regole deve eseguire. Per ulteriori informazioni, consulta [Utilizzo dei gruppi di Marketplace AWS regole](#classic-waf-managed-rule-group-using).
## Quote
Puoi abilitare solo un gruppo di Marketplace AWS regole. È inoltre possibile abilitare un gruppo di regole personalizzato creato utilizzando AWS Firewall Manager. Questi gruppi di regole vengono conteggiati per la quota massima di 10 regole per ACL Web. Pertanto, è possibile avere un gruppo di Marketplace AWS regole, un gruppo di regole personalizzato e fino a otto regole personalizzate in un unico ACL Web.
## Prezzi
Per informazioni sui prezzi per gruppi di Marketplace AWS regole, consulta la sezione [Prezzi AWS WAF classici](https://aws.amazon.com/waf/pricing/) e la descrizione di ogni gruppo di Marketplace AWS regole su Marketplace AWS.
## Utilizzo dei gruppi di Marketplace AWS regole
È possibile sottoscrivere e annullare l'iscrizione ai gruppi di Marketplace AWS regole sulla console AWS WAF Classic. È anche possibile escludere da un gruppo di regole delle regole specifiche.
**Per sottoscrivere e utilizzare un gruppo di Marketplace AWS regole**
1. Accedi a Console di gestione AWS e apri la AWS WAF console all'indirizzo [https://console.aws.amazon.com/wafv2/](https://console.aws.amazon.com/wafv2/).
Se vedi **Passa alla AWS WAF versione classica** nel riquadro di navigazione, selezionalo.
1. Nel riquadro di navigazione, selezionare **Marketplace**.
1. Nella sezione **Available marketplace products (Prodotti Marketplace disponibili)**, scegliere il nome di un gruppo di regole per visualizzare dettagli e informazioni sui prezzi.
1. Se si desidera effettuare la sottoscrizione al gruppo di regole, scegliere **Continue (Continua)**.
**Nota**
Se non si desidera effettuare la sottoscrizione a questo gruppo di regole, è sufficiente chiudere questa pagina nel browser.
1. Scegliere **Set up your account (Configura account)**.
1. Aggiungere il gruppo di regole a un'ACL Web, proprio come se si dovesse aggiungere una singola regola. Per ulteriori informazioni, consulta [Creazione di un'ACL Web](classic-web-acl-creating.md) o [Modifica di un'ACL Web](classic-web-acl-editing.md).
**Nota**
Quando si aggiunge un gruppo di regole a un'ACL Web, l'operazione che viene impostata per il gruppo di regole (**No override (Non sostituire)** o **Override to count (Sostituisci per contare)**) è denominata operazione di sostituzione del gruppo di regole. Per ulteriori informazioni, consulta [Sostituzione del gruppo di regole](#classic-waf-managed-rule-group-override).
**Per annullare l'iscrizione a un gruppo di Marketplace AWS regole**
1. Accedi a Console di gestione AWS e apri la AWS WAF console all'indirizzo [https://console.aws.amazon.com/wafv2/](https://console.aws.amazon.com/wafv2/).
Se vedi **Passa alla AWS WAF versione classica** nel riquadro di navigazione, selezionalo.
1. Rimuovi il gruppo di regole da tutto il Web ACLs. Per ulteriori informazioni, consulta [Modifica di un'ACL Web](classic-web-acl-editing.md).
1. Nel riquadro di navigazione, selezionare **Marketplace**.
1. Scegliere **Manage your subscriptions (Gestisci sottoscrizioni)**.
1. Scegliere **Cancel subscription (Annulla sottoscrizione)** accanto al nome del gruppo di regole di cui si desidera annullare la sottoscrizione.
1. Scegliere **Yes, cancel subscription (Sì, annulla sottoscrizione)**.
**Per escludere una regola da un gruppo di regole (eccezione del gruppo di regole)**
1. Accedi a Console di gestione AWS e apri la AWS WAF console all'indirizzo [https://console.aws.amazon.com/wafv2/](https://console.aws.amazon.com/wafv2/).
Se vedi **Passa alla AWS WAF versione classica** nel riquadro di navigazione, selezionalo.
1. Se non è già abilitato, abilita la registrazione AWS WAF classica. Per ulteriori informazioni, consulta [Registrazione informazioni di traffico ACL Web](classic-logging.md). Utilizzate i log AWS WAF classici per identificare IDs le regole che desiderate escludere. Queste sono in genere regole che bloccano richieste legittime.
1. Nel riquadro di navigazione, scegli **Web ACLs**.
1. Scegliere l'ACL Web che si desidera modificare. Verrà aperta una pagina con i dettagli dell'ACL Web nel riquadro a destra.
**Nota**
Il gruppo di regole che desideri modificare deve essere associato a una ACL Web prima di poter escludere una regola dal gruppo.
1. Nella scheda **Rules (Regole)** nel riquadro a destra, scegliere **Edit web ACL (Modifica ACL Web)**.
1. Nella sezione **Rule group exceptions (Eccezioni gruppo di regole)** espandi il gruppo di regole che desideri modificare.
1. Scegli la **X** accanto alla regola che desideri escludere. È possibile identificare l'ID corretto della regola utilizzando i log AWS WAF classici.
1. Scegliere **Aggiorna**.
L'esclusione delle regole non le rimuove dal gruppo di regole. Piuttosto, modifica l'operazione delle regole in `COUNT`. Pertanto, le richieste che corrispondono a una regola esclusa sono conteggiate, ma non bloccate. Riceverai i parametri `COUNT` per ogni regola esclusa.
**Nota**
È possibile utilizzare la stessa procedura per escludere regole da gruppi di regole personalizzate creati in AWS Firewall Manager. Tuttavia, invece di escludere una regola da un gruppo di regole personalizzate utilizzando queste fasi, puoi anche semplicemente modificare un gruppo di regole personalizzate utilizzando le fasi descritte in [Aggiungere ed eliminare regole da un gruppo di regole AWS WAF classico](classic-rule-group-editing.md).
## Sostituzione del gruppo di regole
Marketplace AWS i gruppi di regole hanno due azioni possibili: **No override e Override** **to** count. Se si desidera verificare il gruppo di regole, impostare l'operazione su **Override to count (Sostituisci per contare)**. Questa operazione del gruppo di regole sovrascrive qualsiasi operazione di *blocco* specificata dalle singole regole contenute nel gruppo. Vale a dire, se l'operazione del gruppo di regole è impostata su **Override to count (Sostituisci per contare)**, anziché potenzialmente bloccare le richieste corrispondenti in base all'operazione delle singole regole all'interno del gruppo, tali richieste verranno conteggiate. Al contrario, se si imposta l'operazione del gruppo di regole su **No override (Non sostituire)**, verranno usate le operazioni delle singole regole all'interno del gruppo.
## Risoluzione dei problemi dei gruppi Marketplace AWS di regole
Se ritieni che un gruppo di Marketplace AWS regole stia bloccando il traffico legittimo, procedi nel seguente modo.
**Per risolvere i problemi relativi a un gruppo di regole Marketplace AWS**
1. Escludere regole specifiche che bloccano il traffico legittimo. È possibile identificare quali regole bloccano quali richieste utilizzando i log AWS WAF classici. Per ulteriori informazioni sull'esclusione delle regole, consulta [Per escludere una regola da un gruppo di regole (eccezione del gruppo di regole)](#classic-waf-managed-rule-group-exclude-rule-procedure).
1. Se l'esclusione di regole specifiche non risolve il problema, è possibile modificare l'azione per il gruppo di Marketplace AWS regole da **No override a Override** per **conteggiare**. Ciò consente il transito della richiesta Web, indipendentemente dalle singole operazioni delle regole all'interno del gruppo di regole. Questo ti fornisce anche i CloudWatch parametri di Amazon per il gruppo di regole.
1. Dopo aver impostato l'azione del gruppo di Marketplace AWS regole su **Override to count**, contatta il team di assistenza clienti del fornitore del gruppo di regole per risolvere ulteriormente il problema. Per informazioni di contatto, consulta l'elenco dei gruppi di regole nelle pagine di elenco dei prodotti su Marketplace AWS.
### Come contattare il supporto clienti
Per problemi con AWS WAF Classic o con un gruppo di regole gestito da AWS, contatta. Supporto AWS Per problemi con un gruppo di regole gestito da un AWS partner, contatta il team di assistenza clienti di quel partner. Per trovare le informazioni di contatto del partner, consulta l'elenco del partner su Marketplace AWS.
## Creazione e vendita di gruppi di Marketplace AWS regole
Se desideri vendere gruppi di Marketplace AWS regole su Marketplace AWS, consulta [Come vendere il tuo software su Marketplace AWS](https://aws.amazon.com/marketplace/management/tour/).
# Lavorare con il web ACLs
**avvertimento**
AWS WAF Classic sta attraversando un end-of-life processo pianificato. Consulta la AWS Health dashboard per le tappe fondamentali e le date specifiche della tua regione.
**Nota**
Questa è la documentazione **AWS WAF classica**. Dovresti usare questa versione solo se hai creato AWS WAF risorse, come regole e web ACLs, AWS WAF prima di novembre 2019 e non le hai ancora migrate alla versione più recente. Per migrare il tuo sito web ACLs, consulta. [Migrazione delle risorse AWS WAF Classic a AWS WAF](waf-migrating-from-classic.md)
**Per la versione più recente di AWS WAF**, vedi[AWS WAF](waf-chapter.md).
Quando si aggiungono regole a un ACL Web, si specifica se si desidera che AWS WAF Classic consenta o blocchi le richieste in base alle condizioni delle regole. Se aggiungi più di una regola a un ACL web, AWS WAF Classic valuta ogni richiesta rispetto alle regole nell'ordine in cui le elenchi nell'ACL web. Quando una richiesta web soddisfa tutte le condizioni di una regola, AWS WAF Classic esegue immediatamente l'azione corrispondente (consentire o bloccare) e non valuta la richiesta rispetto alle regole rimanenti nell'ACL web, se presenti.
Se una richiesta Web non corrisponde a nessuna delle regole di un ACL Web, AWS WAF Classic esegue l'azione predefinita specificata per l'ACL Web. Per ulteriori informazioni, consulta [Decisione dell'operazione predefinita per un'ACL Web](classic-web-acl-default-action.md).
Se desideri testare una regola prima di iniziare a utilizzarla per consentire o bloccare le richieste, puoi configurare AWS WAF Classic per contare le richieste Web che soddisfano le condizioni della regola. Per ulteriori informazioni, consulta [Web di test ACLs](classic-web-acl-testing.md).
**Topics**
+ [Decisione dell'operazione predefinita per un'ACL Web](classic-web-acl-default-action.md)
+ [Creazione di un'ACL Web](classic-web-acl-creating.md)
+ [Associazione o dissociazione di un ACL Web con un'API Amazon API Gateway, una CloudFront distribuzione o un Application Load Balancer](classic-web-acl-associating-cloudfront-distribution.md)
+ [Modifica di un'ACL Web](classic-web-acl-editing.md)
+ [Eliminazione di un'ACL Web](classic-web-acl-deleting.md)
+ [Web di test ACLs](classic-web-acl-testing.md)
# Decisione dell'operazione predefinita per un'ACL Web
**avvertimento**
AWS WAF Classic sta attraversando un end-of-life processo pianificato. Consulta la AWS Health dashboard per le tappe e le date specifiche della tua regione.
**Nota**
Questa è la documentazione **AWS WAF classica**. Dovresti usare questa versione solo se hai creato AWS WAF risorse, come regole e web ACLs, AWS WAF prima di novembre 2019 e non le hai ancora migrate alla versione più recente. Per migrare il tuo sito web ACLs, consulta. [Migrazione delle risorse AWS WAF Classic a AWS WAF](waf-migrating-from-classic.md)
**Per la versione più recente di AWS WAF**, vedi[AWS WAF](waf-chapter.md).
Quando create e configurate un ACL Web, la prima e più importante decisione da prendere è se l'azione predefinita debba essere quella di consentire le richieste Web nella AWS WAF versione classica o di bloccare le richieste Web. L'azione predefinita indica cosa volete che AWS WAF Classic faccia dopo aver esaminato una richiesta web per tutte le condizioni specificate e la richiesta web non soddisfa nessuna di queste condizioni:
+ **Consenti**: se desideri consentire alla maggior parte degli utenti di accedere al tuo sito Web, ma desideri bloccare l'accesso agli aggressori le cui richieste provengono da indirizzi IP specifici o le cui richieste sembrano contenere codice SQL dannoso o valori specifici, scegli **Consenti** come azione predefinita.
+ **Blocca**: se desideri impedire alla maggior parte dei potenziali utenti di accedere al tuo sito Web, ma desideri consentire l'accesso agli utenti le cui richieste provengono da indirizzi IP specifici o le cui richieste contengono valori specifici, scegli **Blocca** per l'azione predefinita.
Molte decisioni prese dopo aver deciso un'operazione predefinita dipendono dal fatto che desideri consentire o bloccare la maggior parte delle richieste Web. Ad esempio, se desideri *consentire* la maggior parte delle richieste , le condizioni di corrispondenza che crei in generale dovrebbero specificare le richieste Web che desideri *bloccare*, come ad esempio:
+ Richieste che hanno origine da indirizzi IP che stanno effettuando un numero irragionevole di richieste
+ Richieste che hanno origine da paesi nei quali non operi o che sono frequenti fonti di attacchi
+ Richieste che includono valori falsi nell'intestazione **User-Agent**
+ Richieste che sembrano includere codice SQL dannoso
# Creazione di un'ACL Web
**avvertimento**
AWS WAF Classic sta attraversando un end-of-life processo pianificato. Consulta la AWS Health dashboard per le tappe e le date specifiche della tua regione.
**Nota**
Questa è la documentazione **AWS WAF classica**. Dovresti usare questa versione solo se hai creato AWS WAF risorse, come regole e web ACLs, AWS WAF prima di novembre 2019 e non le hai ancora migrate alla versione più recente. Per migrare il tuo sito web ACLs, consulta. [Migrazione delle risorse AWS WAF Classic a AWS WAF](waf-migrating-from-classic.md)
**Per la versione più recente di AWS WAF**, vedi[AWS WAF](waf-chapter.md).
**Come creare una lista di controllo degli accessi (ACL) web**
1. Accedi a Console di gestione AWS e apri la AWS WAF console all'indirizzo [https://console.aws.amazon.com/wafv2/](https://console.aws.amazon.com/wafv2/).
Se vedi **Passa alla AWS WAF versione classica** nel riquadro di navigazione, selezionalo.
1. Se è la prima volta che usi la AWS WAF versione classica, scegli **Vai alla AWS WAF versione classica** e quindi **Configura Web ACL.** Se hai già utilizzato la AWS WAF versione classica, scegli **Web ACLs** nel riquadro di navigazione, quindi scegli **Crea ACL web**.
1. Per il nome **Web ACL, inserisci un nome**.
**Nota**
Non è possibile modificare il nome dopo aver creato l'ACL Web.
1. In **CloudWatch metric name (Nome parametro CloudWatch)**, modificare il nome predefinito, se applicabile. Il nome può contenere solo caratteri alfanumerici (A - Z, a - z, 0-9), con lunghezza massima di 128 e lunghezza minima di 1. Non può contenere spazi bianchi o nomi di metriche riservati a AWS WAF Classic, inclusi «All» e «Default\$1Action».
**Nota**
Non è possibile modificare il nome dopo aver creato l'ACL Web.
1. In ** Region (Regione)**, scegliere una Regione.
1. **Per **AWS risorsa**, scegliete la risorsa che desiderate associare a questo ACL Web, quindi scegliete Avanti.**
1. Se hai già creato le condizioni che desideri che AWS WAF Classic utilizzi per esaminare le tue richieste web, scegli **Avanti** e procedi con il passaggio successivo.
Se non sono ancora state create condizioni, farlo ora. Per ulteriori informazioni, consulta i seguenti argomenti:
+ [Utilizzo di condizioni di corrispondenza Cross-site scripting](classic-web-acl-xss-conditions.md)
+ [Utilizzo di condizioni di corrispondenza IP](classic-web-acl-ip-conditions.md)
+ [Utilizzo di condizioni di corrispondenza geografica](classic-web-acl-geo-conditions.md)
+ [Utilizzo di condizioni per i vincoli di dimensioni](classic-web-acl-size-conditions.md)
+ [Utilizzo di condizioni di corrispondenza SQL injection](classic-web-acl-sql-conditions.md)
+ [Utilizzo di condizioni di corrispondenza per stringa](classic-web-acl-string-conditions.md)
+ [Utilizzo di condizioni di corrispondenza per regex](classic-web-acl-regex-conditions.md)
1. Se hai già creato le regole o i gruppi di regole (o ti sei iscritto a un gruppo di Marketplace AWS regole) che desideri aggiungere a questo ACL web, aggiungi le regole all'ACL web:
1. Nell'elenco **Rules (Regole)**, scegliere una regola.
1. Scegliere **Add rule to web ACL (Aggiungi regola all'ACL Web)**.
1. Ripetere le fasi a e b fino a quando non sono state aggiunte tutte le regole da aggiungere a questa ACL Web.
1. Andare alla fase 10.
1. Se non sono ancora state create regole, è possibile aggiungere le regole ora:
1. Scegli **Crea regola**.
1. Immetti uno dei seguenti valori:
**Name**
Inserire un nome.
**CloudWatch nome della metrica**
Inserisci un nome per la CloudWatch metrica che AWS WAF Classic creerà e assocerà alla regola. Il nome può contenere solo caratteri alfanumerici (A - Z, a - z, 0-9), con lunghezza massima di 128 e lunghezza minima di 1. Non può contenere spazi bianchi o nomi di metriche riservati a AWS WAF Classic, inclusi «All» e «Default\$1Action».
Non è possibile modificare il nome del parametro dopo aver creato la regola.
1. Per aggiungere una condizione alla regola, specificare i seguenti valori:
**Quando una richiesta no does/does **
**Se desideri che AWS WAF Classic consenta o blocchi le richieste in base ai filtri in una determinata condizione, ad esempio le richieste Web che provengono dall'intervallo di indirizzi IP 192.0.2.0/24, scegli does.**
**Se desideri che AWS WAF Classic consenta o blocchi le richieste in base all'inverso dei filtri in una condizione, scegli No.** **Ad esempio, se una condizione di corrispondenza IP include l'intervallo di indirizzi IP 192.0.2.0/24 e desideri che AWS WAF Classic consenta o blocchi le richieste che *non* provengono da tali indirizzi IP, scegli No.**
**corrispondenza a/origine da**
Scegliere il tipo di condizione da aggiungere alla regola:
+ Condizioni di corrispondenza dello scripting tra siti: scegli abbina **almeno uno dei filtri nella condizione di corrispondenza dello** scripting tra siti
+ Condizioni di corrispondenza IP: scegli l'**origine da** un indirizzo IP in
+ Condizioni di corrispondenza geografica: scegli la **provenienza da una posizione geografica** in
+ Condizioni di vincolo di dimensione: scegli **abbina almeno uno dei filtri nella condizione di vincolo di dimensione**
+ Condizioni di corrispondenza dell'iniezione SQL: scegli **abbina almeno uno dei filtri nella condizione di corrispondenza dell'**iniezione SQL
+ Condizioni di corrispondenza delle stringhe: scegli **abbina almeno uno dei filtri nella condizione di corrispondenza delle stringhe**
+ Condizioni di corrispondenza regex: scegli **abbina almeno uno dei filtri nella condizione di corrispondenza regex**
**nome della condizione**
Scegliere la condizione da aggiungere alla regola. L'elenco visualizza solo le condizioni del tipo scelto nell'elenco precedente.
1. Per aggiungere un'altra condizione alla regola, scegliere **Add another condition (Aggiungi un'altra condizione)** e ripetere le fasi b e c. Tenere presente quanto segue:
+ Se aggiungi più di una condizione, una richiesta web deve soddisfare almeno un filtro in ogni condizione affinché AWS WAF Classic consenta o blocchi le richieste basate su quella regola.
+ Se aggiungi due condizioni di corrispondenza IP alla stessa regola, AWS WAF Classic consentirà o bloccherà solo le richieste che provengono da indirizzi IP che compaiono in entrambe le condizioni di corrispondenza IP.
1. Ripetere la fase 9 fino a quando non sono state create tutte le regole da aggiungere a questa ACL Web.
1. Scegli **Create** (Crea).
1. Continuare con la fase 10.
1. Per ogni regola o gruppo di regole nell'ACL Web, scegli il tipo di gestione che desideri venga fornito da AWS WAF Classic, come segue:
+ Per ogni regola, scegli se desideri che AWS WAF Classic consenta, blocchi o conteggi le richieste Web in base alle condizioni della regola:
+ **Consenti**: API Gateway CloudFront o Application Load Balancer risponde con l'oggetto richiesto. Nel caso di CloudFront, se l'oggetto non si trova nella cache edge, CloudFront inoltra la richiesta all'origine.
+ **Block**: API Gateway CloudFront o Application Load Balancer risponde alla richiesta con un codice di stato HTTP 403 (Forbidden). CloudFront può anche rispondere con una pagina di errore personalizzata. Per ulteriori informazioni, consulta [Utilizzo di AWS WAF Classic con pagine di errore CloudFront personalizzate](classic-cloudfront-features.md#classic-cloudfront-features-custom-error-pages).
+ **Count**: AWS WAF Classic incrementa un contatore di richieste che soddisfano le condizioni della regola, quindi continua a esaminare la richiesta Web in base alle regole rimanenti nell'ACL Web.
Per ulteriori informazioni sull'utilizzo di **Count (Conta)** per testare un'ACL Web prima di iniziare a utilizzarla per consentire o bloccare le richieste Web, consulta [Conteggio delle richieste Web che corrispondono alle regole in un'ACL Web](classic-web-acl-testing.md#classic-web-acl-testing-count).
+ Per ogni gruppo di regole, impostare l'operazione di sostituzione per il gruppo di regole:
+ **Nessuna sovrascrittura**: consente l'utilizzo delle azioni delle singole regole all'interno del gruppo di regole.
+ **Sostituisci per contare**: sostituisce tutte le azioni di blocco specificate dalle singole regole del gruppo, in modo che vengano conteggiate solo tutte le richieste corrispondenti.
Per ulteriori informazioni, consulta [Sostituzione del gruppo di regole](classic-waf-managed-rule-groups.md#classic-waf-managed-rule-group-override).
1. **Se desideri modificare l'ordine delle regole nell'ACL web, usa le frecce nella colonna Ordine.** AWS WAF Classic esamina le richieste Web in base all'ordine in cui le regole vengono visualizzate nell'ACL Web.
1. Se si desidera rimuovere una regola aggiunta all'ACL Web, scegliere la **x** nella riga per la regola.
1. Scegliere l'operazione predefinita per l'ACL Web. Questa è l'azione che AWS WAF Classic esegue quando una richiesta web non soddisfa le condizioni di nessuna delle regole di questo ACL web. Per ulteriori informazioni, consulta [Decisione dell'operazione predefinita per un'ACL Web](classic-web-acl-default-action.md).
1. Scegliere **Review and create (Rivedi e crea)**.
1. Esaminare le impostazioni per l'ACL Web e scegliere **Confirm and create (Conferma e crea)**.
# Associazione o dissociazione di un ACL Web con un'API Amazon API Gateway, una CloudFront distribuzione o un Application Load Balancer
**avvertimento**
AWS WAF La versione classica consiste nel seguire un processo pianificato. end-of-life Consulta la AWS Health dashboard per le tappe fondamentali e le date specifiche della tua regione.
**Nota**
Questa è la documentazione **AWS WAF classica**. Dovresti usare questa versione solo se hai creato AWS WAF risorse, come regole e web ACLs, AWS WAF prima di novembre 2019 e non le hai ancora migrate alla versione più recente. Per migrare il tuo sito web ACLs, consulta. [Migrazione delle risorse AWS WAF Classic a AWS WAF](waf-migrating-from-classic.md)
**Per la versione più recente di AWS WAF**, vedi[AWS WAF](waf-chapter.md).
Per associare o dissociare un'ACL Web, eseguire la procedura applicabile. Tieni presente che puoi anche associare un ACL Web a una CloudFront distribuzione quando crei o aggiorni la distribuzione. Per ulteriori informazioni, consulta [Using AWS WAF Classic per controllare l'accesso ai tuoi contenuti](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/distribution-web-awswaf.html) nella *Amazon CloudFront Developer Guide*.
Le seguenti limitazioni si applicano durante l'associazione di un'ACL Web:
+ Ogni API API Gateway, Application Load Balancer e CloudFront distribuzione possono essere associati a un solo ACL web.
+ Il Web ACLs associato a una CloudFront distribuzione non può essere associato a un'API Application Load Balancer o API Gateway. L'ACL web può, tuttavia, essere associato ad altre CloudFront distribuzioni.
**Per associare un ACL Web a un'API Gateway API, una CloudFront distribuzione o un Application Load Balancer**
1. Accedi a Console di gestione AWS e apri la AWS WAF console all'indirizzo. [https://console.aws.amazon.com/wafv2/](https://console.aws.amazon.com/wafv2/)
Se vedi **Passa alla AWS WAF versione classica** nel riquadro di navigazione, selezionalo.
1. Nel riquadro di navigazione, scegli **Web ACLs**.
1. Scegli il nome dell'ACL web che desideri associare a un'API API Gateway API, a una CloudFront distribuzione o a un Application Load Balancer. Si apre una pagina con i dettagli dell'ACL Web nel riquadro a destra.
1. Nella scheda **Regole**, in **AWS Risorse che utilizzano questo ACL web**, scegli **Aggiungi** associazione.
1. Quando richiesto, utilizzate l'elenco **delle risorse** per scegliere l'API API Gateway, la CloudFront distribuzione o l'Application Load Balancer a cui desiderate associare questo ACL web. Se si sceglie un Application Load Balancer, è necessario specificare anche una regione.
1. Scegliere **Aggiungi**.
1. Per associare questo ACL Web a un'API Gateway API aggiuntiva, a una CloudFront distribuzione o a un altro Application Load Balancer, ripeti i passaggi da 4 a 6.
**Per dissociare un ACL Web da un'API Gateway API, una CloudFront distribuzione o un Application Load Balancer**
1. Accedi a Console di gestione AWS e apri la console all' AWS WAF indirizzo. [https://console.aws.amazon.com/wafv2/](https://console.aws.amazon.com/wafv2/)
Se vedi **Passa alla AWS WAF versione classica** nel riquadro di navigazione, selezionalo.
1. Nel riquadro di navigazione, scegli **Web ACLs**.
1. Scegli il nome dell'ACL web che desideri dissociare da un'API API Gateway, una CloudFront distribuzione o un Application Load Balancer. Si apre una pagina con i dettagli dell'ACL Web nel riquadro a destra.
1. Nella scheda **Regole**, in **AWS Risorse che utilizzano questo ACL Web**, scegli la **x** per ogni API API Gateway, CloudFront distribuzione o Application Load Balancer da cui desideri dissociare questo ACL Web.
# Modifica di un'ACL Web
**avvertimento**
AWS WAF Classic sta attraversando un end-of-life processo pianificato. Consulta la AWS Health dashboard per le tappe fondamentali e le date specifiche della tua regione.
**Nota**
Questa è la documentazione **AWS WAF classica**. Dovresti usare questa versione solo se hai creato AWS WAF risorse, come regole e web ACLs, AWS WAF prima di novembre 2019 e non le hai ancora migrate alla versione più recente. Per migrare il tuo sito web ACLs, consulta. [Migrazione delle risorse AWS WAF Classic a AWS WAF](waf-migrating-from-classic.md)
**Per la versione più recente di AWS WAF**, vedi[AWS WAF](waf-chapter.md).
Per aggiungere o rimuovere regole da un'ACL Web o modificare l'operazione predefinita, eseguire la procedura seguente.
**Per modificare un'ACL Web**
1. Accedi a Console di gestione AWS e apri la AWS WAF console all'indirizzo [https://console.aws.amazon.com/wafv2/](https://console.aws.amazon.com/wafv2/).
Se vedi **Passa alla AWS WAF versione classica** nel riquadro di navigazione, selezionalo.
1. Nel riquadro di navigazione, scegli **Web ACLs**.
1. Scegliere l'ACL Web che si desidera modificare. Verrà aperta una pagina con i dettagli dell'ACL Web nel riquadro a destra.
1. Nella scheda **Rules (Regole)** nel riquadro a destra, scegliere **Edit web ACL (Modifica ACL Web)**.
1. Per aggiungere regole all'ACL Web, procedere nel seguente modo:
1. Nell'elenco **Rules (Regole)**, scegliere la regola da aggiungere.
1. Scegliere **Add rule to web ACL (Aggiungi regola all'ACL Web)**.
1. Ripetere le fasi a e b fino a quando non sono state aggiunte tutte le regole desiderate.
1. **Se desideri modificare l'ordine delle regole nell'ACL web, usa le frecce nella colonna Ordine.** AWS WAF Classic esamina le richieste Web in base all'ordine in cui le regole vengono visualizzate nell'ACL Web.
1. Per rimuovere una regola dall'ACL Web, scegliere la **x** a destra della riga per tale regola. Questa operazione non elimina la regola dalla AWS WAF versione classica, ma semplicemente la rimuove da questo ACL web.
1. Per modificare l'operazione per una regola o l'operazione predefinita per l'ACL Web, scegliere l'opzione preferita.
**Nota**
Quando si imposta l'azione per un gruppo di regole o un gruppo di Marketplace AWS regole (al contrario di una singola regola), l'azione impostata per il gruppo di regole (**Nessuna sostituzione o Sostituisci** **per contare**) viene chiamata azione di sostituzione. Per ulteriori informazioni, consulta [Sostituzione del gruppo di regole](classic-waf-managed-rule-groups.md#classic-waf-managed-rule-group-override)
1. Scegli **Save changes (Salva modifiche)**.
# Eliminazione di un'ACL Web
**avvertimento**
AWS WAF Classic sta attraversando un end-of-life processo pianificato. Consulta la AWS Health dashboard per le tappe fondamentali e le date specifiche della tua regione.
**Nota**
Questa è la documentazione **AWS WAF classica**. Dovresti usare questa versione solo se hai creato AWS WAF risorse, come regole e web ACLs, AWS WAF prima di novembre 2019 e non le hai ancora migrate alla versione più recente. Per migrare il tuo sito web ACLs, consulta. [Migrazione delle risorse AWS WAF Classic a AWS WAF](waf-migrating-from-classic.md)
**Per la versione più recente di AWS WAF**, vedi[AWS WAF](waf-chapter.md).
**Importante**
L'eliminazione di un ACL Web è permanente e non può essere annullata. Se l'ACL Web selezionato contiene regole o è associato a CloudFront distribuzioni, Application load balancer o API Gateway, rimuovi le regole e le associazioni prima dell'eliminazione. In caso contrario, l'eliminazione avrà esito negativo.
Per eliminare un ACL Web, è necessario rimuovere le regole incluse nell'ACL Web e dissociare tutte le CloudFront distribuzioni e gli Application Load Balancer dall'ACL Web. Esegui la seguente procedura.
**Come eliminare una lista di controllo degli accessi web**
1. Accedi a e apri la console all'indirizzo. Console di gestione AWS AWS WAF [https://console.aws.amazon.com/wafv2/](https://console.aws.amazon.com/wafv2/)
Se vedi **Passa alla AWS WAF versione classica** nel riquadro di navigazione, selezionalo.
1. Nel riquadro di navigazione, scegli **Web ACLs**.
1. Scegli il nome dell'ACL web che desideri eliminare. Si apre una pagina con i dettagli dell'ACL Web nel riquadro a destra.
**Nota**
Se non vedi l'ACL web, assicurati che la regione selezionata sia corretta. I siti Web ACLs che proteggono CloudFront le distribuzioni Amazon sono in **Global (CloudFront).**
1. Nella scheda **Rules (Regole)** nel riquadro a destra, scegliere **Edit web ACL (Modifica ACL Web)**.
1. Per rimuovere tutte le regole dall'ACL Web, scegliere la **x** a destra della riga per ogni regola. Questo non elimina le regole da AWS WAF Classic, ma semplicemente le rimuove da questo ACL web.
1. Scegliere **Aggiorna**.
1. Dissocia l'ACL Web da tutte le CloudFront distribuzioni e dagli Application Load Balancer. Nella scheda **Regole**, in **AWS Risorse che utilizzano questo ACL Web**, scegli la **x** per ogni API API Gateway API, CloudFront distribuzione o Application Load Balancer.
1. **Nella ACLs pagina **Web**, verifica che l'ACL Web che desideri eliminare sia selezionato, quindi scegli Elimina.**
# Web di test ACLs
**avvertimento**
AWS WAF Classic sta attraversando un end-of-life processo pianificato. Consulta la AWS Health dashboard per le tappe e le date specifiche della tua regione.
**Nota**
Questa è la documentazione **AWS WAF classica**. Dovresti usare questa versione solo se hai creato AWS WAF risorse, come regole e web ACLs, AWS WAF prima di novembre 2019 e non le hai ancora migrate alla versione più recente. Per migrare il tuo sito web ACLs, consulta. [Migrazione delle risorse AWS WAF Classic a AWS WAF](waf-migrating-from-classic.md)
**Per la versione più recente di AWS WAF**, vedi[AWS WAF](waf-chapter.md).
Per evitare di configurare accidentalmente AWS WAF Classic per bloccare le richieste Web che desideri consentire o consentire le richieste che desideri bloccare, ti consigliamo di testare accuratamente l'ACL Web prima di iniziare a utilizzarlo sul tuo sito Web o sull'applicazione Web.
**Topics**
+ [Conteggio delle richieste Web che corrispondono alle regole in un'ACL Web](#classic-web-acl-testing-count)
+ [Visualizzazione di un esempio di richieste Web che API Gateway CloudFront o un Application Load Balancer hanno inoltrato a Classic AWS WAF](#classic-web-acl-testing-view-sample)
## Conteggio delle richieste Web che corrispondono alle regole in un'ACL Web
Quando aggiungi regole a un ACL Web, specifichi se desideri che AWS WAF Classic consenta, blocchi o conteggi le richieste Web che soddisfano tutte le condizioni di quella regola. Consigliamo di iniziare con la seguente configurazione:
+ Configura tutte le regole di un'ACL Web per contare le richieste Web
+ Imposta l'operazione predefinita per l'ACL Web per consentire le richieste
In questa configurazione, AWS WAF Classic ispeziona ogni richiesta Web in base alle condizioni della prima regola. Se la richiesta Web soddisfa tutte le condizioni di quella regola, AWS WAF Classic incrementa un contatore per quella regola. Quindi AWS WAF Classic esamina la richiesta web in base alle condizioni della regola successiva. Se la richiesta soddisfa tutte le condizioni di quella regola, AWS WAF Classic incrementa un contatore per la regola. Questo continua fino a quando AWS WAF Classic non ha esaminato la richiesta in base alle condizioni di tutte le tue regole.
Dopo aver configurato tutte le regole in un ACL Web per contare le richieste e aver associato l'ACL Web a un'API Amazon API Gateway, una CloudFront distribuzione o un Application Load Balancer, puoi visualizzare i conteggi risultanti in un grafico Amazon. CloudWatch Per ogni regola in un ACL Web e per tutte le richieste che API Gateway CloudFront o Application Load Balancer inoltra AWS WAF a Classic for a Web CloudWatch ACL, consente di:
+ Visualizzare i dati per l'ora precedente o le tre ore precedenti
+ Modificare l'intervallo tra punti dati
+ Modifica il calcolo che viene CloudWatch eseguito sui dati, ad esempio massimo, minimo, media o somma
**Nota**
AWS WAF Classic with CloudFront è un servizio globale e le metriche sono disponibili solo quando scegli la **regione Stati Uniti orientali (Virginia settentrionale) nella.** Console di gestione AWS Se scegli un'altra regione, nella console non verrà visualizzata alcuna metrica AWS WAF classica. CloudWatch
**Per visualizzare i dati per le regole di un'ACL Web**
1. Accedi Console di gestione AWS e apri la CloudWatch console all'indirizzo [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).
1. Nel riquadro di navigazione, in **Metrics (Parametri)**, scegliere **WAF**.
1. Selezionare la casella di controllo per l'ACL Web da aggiornare.
1. Modificare le impostazioni applicabili:
**Statistic**
Scegli il calcolo da CloudWatch eseguire sui dati.
**Intervallo temporale**
Scegliere se visualizzare i dati per l'ora precedente o le tre ore precedenti.
**Periodo**
Scegliere l'intervallo tra punti dati nel grafico.
**Regole**
Scegliere le regole per cui visualizzare i dati.
Tenere presente quanto segue:
+ Se hai appena associato un ACL Web a un'API Gateway API, una CloudFront distribuzione o un Application Load Balancer, potresti dover attendere alcuni minuti prima che i dati vengano visualizzati nel grafico e che la metrica per l'ACL Web compaia nell'elenco delle metriche disponibili.
+ Se associ più di un'API API Gateway, una CloudFront distribuzione o un Application Load Balancer a un ACL web, i CloudWatch dati includeranno tutte le richieste per tutte le distribuzioni associate all'ACL web.
+ È possibile passare il cursore su un punto dati per ottenere ulteriori informazioni.
+ Il grafico non si aggiorna automaticamente. Per aggiornare la visualizzazione, scegliere l'icona di aggiornamento (![\[Icon to refresh the Amazon CloudWatch graph\]](http://docs.aws.amazon.com/it_it/waf/latest/developerguide/images/cloudwatch-refresh-icon.png)).
1. (Facoltativo) Visualizza informazioni dettagliate sulle singole richieste che API Gateway CloudFront o un Application Load Balancer hanno inoltrato a Classic. AWS WAF Per ulteriori informazioni, consulta [Visualizzazione di un esempio di richieste Web che API Gateway CloudFront o un Application Load Balancer hanno inoltrato a Classic AWS WAF](#classic-web-acl-testing-view-sample).
1. Se si determina che una regola intercetta le richieste che non si desidera vengano intercettate, modificare le impostazioni applicabili. Per ulteriori informazioni, consulta [Creazione e configurazione di una lista di controllo accessi Web (ACL)](classic-web-acl.md).
Dopo aver verificato che tutte le regole intercettano solo le richieste corrette, modificare l'operazione per ciascuna delle regole su **Allow (Consenti)** o **Block (Blocca)**. Per ulteriori informazioni, consulta [Modifica di un'ACL Web](classic-web-acl-editing.md).
## Visualizzazione di un esempio di richieste Web che API Gateway CloudFront o un Application Load Balancer hanno inoltrato a Classic AWS WAF
Nella console AWS WAF Classic, puoi visualizzare un esempio delle richieste che API Gateway CloudFront o un Application Load Balancer hanno inoltrato a AWS WAF Classic per l'ispezione. Per ogni richiesta campionata, è possibile visualizzare i dati dettagliati sulla richiesta, ad esempio l'indirizzo IP di origine e le intestazioni incluse nella richiesta. È anche possibile visualizzare la regola corrispondente alla richiesta e se la regola viene configurata in modo da consentire o bloccare le richieste.
Il campione di richieste contiene fino a un massimo di 100 richieste corrispondenti a tutte le condizioni in ogni regola e altre 100 richieste per l'operazione predefinita, che si applica alle richieste che non corrispondono a tutte le condizioni in ogni regola. Le richieste nell'esempio provengono da tutti gli API Gateway APIs, dalle CloudFront edge location o dagli Application Load Balancer che hanno ricevuto richieste per i tuoi contenuti nei 15 minuti precedenti.
**Per visualizzare un esempio delle richieste Web che API Gateway CloudFront o un Application Load Balancer hanno inoltrato a Classic AWS WAF**
1. Accedi a Console di gestione AWS e apri la console all' AWS WAF indirizzo. [https://console.aws.amazon.com/wafv2/](https://console.aws.amazon.com/wafv2/)
Se vedi **Passa alla AWS WAF versione classica** nel riquadro di navigazione, selezionalo.
1. Nel riquadro di navigazione, scegliere l'ACL Web per cui visualizzare le richieste.
1. Nel riquadro a destra, selezionare la scheda **Requests (Richieste)**.
Nella tabella **Sampled requests (Richieste campionate)** vengono visualizzati i seguenti valori per ogni richiesta:
**IP di origine**
L'indirizzo IP da cui proviene la richiesta oppure, se il visualizzatore ha utilizzato un proxy HTTP o un Application Load Balancer per inviare la richiesta, l'indirizzo IP del proxy o dell'Application Load Balancer.
**URI**
Il percorso URI della richiesta, che identifica la risorsa, ad esempio,. `/images/daily-ad.jpg` Ciò non include la stringa di query o i componenti del frammento dell'URI. Per informazioni, vedete [Uniform Resource Identifier (URI): sintassi generica](https://tools.ietf.org/html/rfc3986#section-3.3).
**Regola di corrispondenza**
Identifica la prima regola dell'ACL Web per cui la richiesta Web corrispondeva a tutte le condizioni. **Se una richiesta Web non soddisfa tutte le condizioni di nessuna regola nell'ACL Web, il valore della **regola Matches** è Default.**
Tieni presente che quando una richiesta Web soddisfa tutte le condizioni di una regola e l'azione per quella regola è **Count**, AWS WAF Classic continua a esaminare la richiesta Web in base alle regole successive nell'ACL Web. In questo caso, una richiesta Web può venire visualizzata due volte nell'elenco di richieste campionate: una volta per la regola che ha un'operazione **Count (Conta)** e nuovamente per una regola successiva o per l'operazione predefinita.
**Azione**
Indica se l'operazione per la regola corrispondente è **Allow (Consenti)**, **Block (Blocca)** o **Count (Conta)**.
**Orario**
L'ora in cui AWS WAF Classic ha ricevuto la richiesta da API Gateway CloudFront o dal tuo Application Load Balancer.
1. Per visualizzare informazioni aggiuntive sulla richiesta, scegli la freccia sul lato sinistro dell'indirizzo IP della richiesta. AWS WAF Classic visualizza le seguenti informazioni:
**IP di origine**
Lo stesso indirizzo IP del valore nella colonna **Source IP (IP di origine)** nella tabella.
**Paese**
Il codice paese a due lettere del paese da cui la richiesta ha avuto origine. Se il visualizzatore ha utilizzato un proxy HTTP o un Application Load Balancer per inviare la richiesta, questo è il codice del paese a due lettere del paese in cui si trova il proxy HTTP o un Application Load Balancer.
Per un elenco di codici paese a due lettere e i nomi dei paesi corrispondenti, consulta la voce Wikipedia [ISO 3166-1 alpha-2](https://en.wikipedia.org/wiki/ISO_3166-1_alpha-2).
**Metodo**
Il metodo della richiesta HTTP per la richiesta: `GET`, `HEAD`, `OPTIONS`, `PUT`, `POST`, `PATCH` o `DELETE`.
**URI**
Lo stesso URI del valore nella colonna **URI** nella tabella.
**Intestazioni della richiesta**
Le intestazioni della richiesta e i valori dell'intestazione nella richiesta.
1. Per aggiornare l'elenco delle richieste di esempio, scegliere **Get new samples (Ottieni nuovi campioni)**.
# Utilizzo dei gruppi di regole AWS WAF classici da utilizzare con AWS Firewall Manager
**avvertimento**
AWS WAF Classic sta attraversando un end-of-life processo pianificato. Consulta la AWS Health dashboard per le tappe fondamentali e le date specifiche della tua regione.
**Nota**
Questa è la documentazione **AWS WAF classica**. Dovresti usare questa versione solo se hai creato AWS WAF risorse, come regole e web ACLs, AWS WAF prima di novembre 2019 e non le hai ancora migrate alla versione più recente. Per migrare il tuo sito web ACLs, consulta. [Migrazione delle risorse AWS WAF Classic a AWS WAF](waf-migrating-from-classic.md)
**Per la versione più recente di AWS WAF**, vedi[AWS WAF](waf-chapter.md).
Un *gruppo di regole AWS WAF * classico è un insieme di regole che si aggiungono a una AWS Firewall Manager politica AWS WAF classica. È possibile creare il proprio gruppo di regole oppure acquistare un gruppo di regole gestito da Marketplace AWS.
**Importante**
Se desideri aggiungere un gruppo di Marketplace AWS regole alla tua politica di Firewall Manager, ogni account dell'organizzazione deve prima iscriversi a quel gruppo di regole. Una volta effettuata la sottoscrizione di tutti gli account, è possibile aggiungere il gruppo di regole a una policy. Per ulteriori informazioni, consulta [Marketplace AWS gruppi di regole](classic-waf-managed-rule-groups.md).
**Topics**
+ [Creazione di un gruppo di regole AWS WAF classico](classic-create-rule-group.md)
+ [Aggiungere ed eliminare regole da un gruppo di regole AWS WAF classico](classic-rule-group-editing.md)
# Creazione di un gruppo di regole AWS WAF classico
**avvertimento**
AWS WAF Classic sta attraversando un end-of-life processo pianificato. Consulta la AWS Health dashboard per le tappe fondamentali e le date specifiche della tua regione.
**Nota**
Questa è la documentazione **AWS WAF classica**. Dovresti usare questa versione solo se hai creato AWS WAF risorse, come regole e web ACLs, AWS WAF prima di novembre 2019 e non le hai ancora migrate alla versione più recente. Per migrare il tuo sito web ACLs, consulta. [Migrazione delle risorse AWS WAF Classic a AWS WAF](waf-migrating-from-classic.md)
**Per la versione più recente di AWS WAF**, vedi[AWS WAF](waf-chapter.md).
Quando si crea un gruppo di regole AWS WAF classico da utilizzare con AWS Firewall Manager, si specifica quali regole aggiungere al gruppo.
**Per creare un gruppo di regole (console)**
1. Accedere Console di gestione AWS utilizzando l'account AWS Firewall Manager amministratore impostato nei prerequisiti, quindi aprire la console Firewall Manager all'indirizzo[https://console.aws.amazon.com/wafv2/fms](https://console.aws.amazon.com/wafv2/fms).
**Nota**
Per ulteriori informazioni sulla configurazione di un account amministratore di Firewall Manager, consultare [Creazione di un account amministratore AWS Firewall Manager predefinito](enable-integration.md).
1. Nel pannello di navigazione, scegli **Passa alla AWS WAF versione classica**.
1. Nel riquadro di navigazione AWS WAF classico, scegli **Gruppi di regole**.
1. Scegliere **Create rule group (Crea gruppo di regole)**.
**Nota**
Non è possibile aggiungere regole basate sulla frequenza a un gruppo di regole.
1. Se le regole che si desidera aggiungere al gruppo di regole sono già state create, scegliere **Use existing rules for this rule group (Usa regole esistenti per questo gruppo di regole)**. Se si desidera creare nuove regole da aggiungere al gruppo di regole, scegliere **Create rules and conditions for this rule group (Crea regole e condizioni per questo gruppo di regole)**.
1. Scegli **Next (Successivo)**.
1. Se si sceglie di creare regole, seguire le fasi per crearle in [Creazione di una regola e aggiunta di condizioni](classic-web-acl-rules-creating.md).
**Nota**
Usa la console AWS WAF Classic per creare le tue regole.
Dopo aver creato tutte le regole necessarie, passare alla fase successiva.
1. Digitare un nome per il gruppo di regole.
1. Per aggiungere una regola al gruppo di regole, selezionare una regola, quindi scegliere **Add rule (Aggiungi regola)**. Scegliere se consentire, bloccare o contare le richieste che soddisfano le condizioni della regola. Per ulteriori informazioni sulle scelte, consulta [Come funziona AWS WAF Classic](classic-how-aws-waf-works.md).
1. Al termine dell'aggiunta delle regole, scegliere **Create (Crea)**.
**È possibile testare il gruppo di regole aggiungendolo a un AWS WAF WebACL e impostando l'azione WebACL su Override to Count.** Questa operazione sostituisce qualsiasi operazione scelta per le regole contenute nel gruppo e conta solo le richieste corrispondenti. Per ulteriori informazioni, consulta [Creazione di un'ACL Web](classic-web-acl-creating.md).
# Aggiungere ed eliminare regole da un gruppo di regole AWS WAF classico
**avvertimento**
AWS WAF Classic sta attraversando un end-of-life processo pianificato. Consulta la AWS Health dashboard per le tappe e le date specifiche della tua regione.
**Nota**
Questa è la documentazione **AWS WAF classica**. Dovresti usare questa versione solo se hai creato AWS WAF risorse, come regole e web ACLs, AWS WAF prima di novembre 2019 e non le hai ancora migrate alla versione più recente. Per migrare il tuo sito web ACLs, consulta. [Migrazione delle risorse AWS WAF Classic a AWS WAF](waf-migrating-from-classic.md)
**Per la versione più recente di AWS WAF**, vedi[AWS WAF](waf-chapter.md).
È possibile aggiungere o eliminare regole in un gruppo di regole AWS WAF classico.
L'eliminazione di una regola dal gruppo di regole non elimina la regola stessa. L'operazione rimuove la regola solo dal gruppo di regole.
**Per aggiungere o eliminare regole in un gruppo di regole (console)**
1. Accedere Console di gestione AWS utilizzando l'account AWS Firewall Manager amministratore impostato nei prerequisiti, quindi aprire la console Firewall Manager all'indirizzo[https://console.aws.amazon.com/wafv2/fms](https://console.aws.amazon.com/wafv2/fms).
**Nota**
Per ulteriori informazioni sulla configurazione di un account amministratore di Firewall Manager, consultare [Creazione di un account amministratore AWS Firewall Manager predefinito](enable-integration.md).
1. Nel pannello di navigazione, scegli **Passa alla AWS WAF versione classica**.
1. Nel riquadro di navigazione AWS WAF classico, scegli **Gruppi di regole**.
1. Scegliere il gruppo di regole da eliminare.
**Nota**
Se non vedi il gruppo di regole che desideri modificare, assicurati di aver selezionato la regione corretta. Per i gruppi di regole utilizzati per proteggere CloudFront le distribuzioni Amazon, usa l'impostazione **Global (CloudFront)**.
1. Scegliere **Edit rule group (Modifica gruppo di regole)**.
1. Per aggiungere regole, procedere nel seguente modo:
1. Selezionare una regola, quindi scegliere **Add rule to rule group (Aggiungi regola al gruppo di regole)**. Scegliere se consentire, bloccare o contare le richieste che soddisfano le condizioni della regola. Per ulteriori informazioni sulle scelte, consulta [Come funziona AWS WAF Classic](classic-how-aws-waf-works.md). Ripetere per aggiungere altre regole al gruppo di regole.
**Nota**
Non è possibile aggiungere regole basate sulla frequenza al gruppo di regole.
1. Scegliere **Aggiorna**.
1. Per eliminare regole, procedere nel seguente modo:
1. Scegliere la **X** accanto alla regola da eliminare. Ripetere per eliminare altre regole dal gruppo di regole.
1. Scegliere **Aggiorna**.
# Guida introduttiva AWS Firewall Manager all'attivazione delle regole AWS WAF classiche
**avvertimento**
AWS WAF Classic sta attraversando un end-of-life processo pianificato. Consulta la AWS Health dashboard per le tappe fondamentali e le date specifiche della tua regione.
**Nota**
Questa è la documentazione **AWS WAF classica**. Dovresti usare questa versione solo se hai creato AWS WAF risorse, come regole e web ACLs, AWS WAF prima di novembre 2019 e non le hai ancora migrate alla versione più recente. Per migrare il tuo sito web ACLs, consulta. [Migrazione delle risorse AWS WAF Classic a AWS WAF](waf-migrating-from-classic.md)
**Per la versione più recente di AWS WAF**, vedi[AWS WAF](waf-chapter.md).
Puoi utilizzarlo AWS Firewall Manager per abilitare AWS WAF regole, regole AWS WAF classiche, AWS Shield Advanced protezioni e gruppi di sicurezza Amazon VPC. I passaggi per la configurazione sono leggermente diversi per ciascuno.
+ Per utilizzare Firewall Manager per abilitare le regole utilizzando la versione più recente di AWS WAF, non utilizzare questo argomento. Seguire invece la seguente procedura riportata in [Impostazione AWS Firewall Manager AWS WAF delle politiche](getting-started-fms.md).
+ Per utilizzare Firewall Manager per abilitare AWS Shield Advanced le protezioni, procedi nel [Impostazione AWS Firewall Manager AWS Shield Advanced delle politiche](getting-started-fms-shield.md) seguente modo.
+ Per utilizzare Firewall Manager per abilitare i gruppi di sicurezza Amazon VPC, segui la procedura riportata di seguito. [Configurazione delle policy dei gruppi di sicurezza di AWS Firewall Manager Amazon VPC](getting-started-fms-security-group.md)
Per utilizzare Firewall Manager per abilitare le regole AWS WAF classiche, eseguire i seguenti passaggi in sequenza.
**Topics**
+ [Fase 1: completamento dei prerequisiti](classic-complete-prereq.md)
+ [Fase 2: creazione delle regole](classic-get-started-fms-create-rules.md)
+ [Fase 3: creazione di un gruppo di regole](classic-get-started-fms-create-rule-group.md)
+ [Fase 4: Creare e applicare un criterio AWS Firewall Manager AWS WAF classico](classic-get-started-fms-create-security-policy.md)
# Fase 1: completamento dei prerequisiti
**avvertimento**
AWS WAF Classic sta attraversando un end-of-life processo pianificato. Consulta la AWS Health dashboard per le tappe fondamentali e le date specifiche della tua regione.
**Nota**
Questa è la documentazione **AWS WAF classica**. Dovresti usare questa versione solo se hai creato AWS WAF risorse, come regole e web ACLs, AWS WAF prima di novembre 2019 e non le hai ancora migrate alla versione più recente. Per migrare il tuo sito web ACLs, consulta. [Migrazione delle risorse AWS WAF Classic a AWS WAF](waf-migrating-from-classic.md)
**Per la versione più recente di AWS WAF**, vedi[AWS WAF](waf-chapter.md).
Vi sono diversi passaggi obbligatori per preparare l'account AWS Firewall Manager. Tali fasi sono descritte nell'articolo [AWS Firewall Manager prerequisiti](fms-prereq.md). Completare tutti i prerequisiti prima di passare a [Fase 2: creazione delle regole](classic-get-started-fms-create-rules.md).
# Fase 2: creazione delle regole
**avvertimento**
AWS WAF Classic sta attraversando un end-of-life processo pianificato. Consulta la AWS Health dashboard per le tappe e le date specifiche della tua regione.
**Nota**
Questa è la documentazione **AWS WAF classica**. Dovresti usare questa versione solo se hai creato AWS WAF risorse, come regole e web ACLs, AWS WAF prima di novembre 2019 e non le hai ancora migrate alla versione più recente. Per migrare il tuo sito web ACLs, consulta. [Migrazione delle risorse AWS WAF Classic a AWS WAF](waf-migrating-from-classic.md)
**Per la versione più recente di AWS WAF**, vedi[AWS WAF](waf-chapter.md).
In questo passaggio, crei regole utilizzando AWS WAF Classic. Se hai già delle regole AWS WAF classiche che desideri utilizzare AWS Firewall Manager, salta questo passaggio e vai a[Fase 3: creazione di un gruppo di regole](classic-get-started-fms-create-rule-group.md).
**Nota**
Usa la console AWS WAF Classic per creare le tue regole.
**Per creare regole AWS WAF classiche (console)**
+ Creare le regole, quindi aggiungere le proprie condizioni alle regole. Per ulteriori informazioni, consulta [Creazione di una regola e aggiunta di condizioni](classic-web-acl-rules-creating.md).
È possibile ora procedere a [Fase 3: creazione di un gruppo di regole](classic-get-started-fms-create-rule-group.md).
# Fase 3: creazione di un gruppo di regole
**avvertimento**
AWS WAF Classic sta attraversando un end-of-life processo pianificato. Consulta la AWS Health dashboard per le tappe fondamentali e le date specifiche della tua regione.
**Nota**
Questa è la documentazione **AWS WAF classica**. Dovresti usare questa versione solo se hai creato AWS WAF risorse, come regole e web ACLs, AWS WAF prima di novembre 2019 e non le hai ancora migrate alla versione più recente. Per migrare il tuo sito web ACLs, consulta. [Migrazione delle risorse AWS WAF Classic a AWS WAF](waf-migrating-from-classic.md)
**Per la versione più recente di AWS WAF**, vedi[AWS WAF](waf-chapter.md).
Un gruppo di regole è un set di regole che definisce quali operazioni intraprendere quando viene soddisfatto un determinato set di condizioni. È possibile utilizzare gruppi di regole gestiti da Marketplace AWS e creare gruppi di regole personalizzati. Per informazioni sui gruppi di regole gestite, consulta [Marketplace AWS gruppi di regole](classic-waf-managed-rule-groups.md).
Per creare il proprio gruppo di regole, eseguire la procedura seguente.
**Per creare un gruppo di regole (console)**
1. Accedere Console di gestione AWS utilizzando l'account AWS Firewall Manager amministratore impostato nei prerequisiti, quindi aprire la console Firewall Manager all'indirizzo[https://console.aws.amazon.com/wafv2/fms](https://console.aws.amazon.com/wafv2/fms).
1. Nel riquadro di navigazione, scegliere **Security policies (Policy di sicurezza)**.
1. Se i prerequisiti non sono stati soddisfatti, la console visualizzerà le istruzioni su come risolvere eventuali problemi. Seguire le istruzioni, quindi iniziare di nuovo questa fase (creazione di un gruppo di regole). Se i requisiti sono stati soddisfatti, scegliere **Close (Chiudi)**.
1. Scegli **Crea policy**.
Per **Policy type (Tipo di policy)**, scegliere **AWS WAF Classic**.
1. Scegli **Crea una AWS Firewall Manager politica e aggiungi un nuovo gruppo di regole**.
1. Scegli un Regione AWS, quindi scegli **Avanti**.
1. Avendo già creato regole, non è necessario creare le condizioni. Scegli **Next (Successivo)**.
1. Avendo già creato regole, non è necessario creare le regole. Scegli **Next (Successivo)**.
1. Scegliere **Create rule group (Crea gruppo di regole)**.
1. Per **Name (Nome)**, inserire un nome descrittivo.
1. Inserisci un nome per la CloudWatch metrica che AWS WAF Classic creerà e assocerà al gruppo di regole. Il nome può contenere solo caratteri alfanumerici (A - Z, a - z, 0 - 9) o i seguenti caratteri speciali: \$1-\$1"\$1`\$1\$1\$1,./. Non può contenere spazi.
1. Selezionare una regola, quindi scegliere **Add rule (Aggiungi regola)**. Una regola ha un'impostazione di operazione che consente di scegliere se consentire, bloccare o contare le richieste che soddisfano le condizioni della regola. Per questo tutorial, scegliere **Count (Contare)**. Ripetere l'aggiunta di regole finché tutte le regole non vengono aggiunte al gruppo di regole.
1. Scegli **Create** (Crea).
È possibile ora procedere a [Fase 4: Creare e applicare un criterio AWS Firewall Manager AWS WAF classico](classic-get-started-fms-create-security-policy.md).
# Fase 4: Creare e applicare un criterio AWS Firewall Manager AWS WAF classico
**avvertimento**
AWS WAF La versione classica sta attraversando un end-of-life processo pianificato. Consulta la AWS Health dashboard per le tappe fondamentali e le date specifiche della tua regione.
**Nota**
Questa è la documentazione **AWS WAF classica**. Dovresti usare questa versione solo se hai creato AWS WAF risorse, come regole e web ACLs, AWS WAF prima di novembre 2019 e non le hai ancora migrate alla versione più recente. Per migrare il tuo sito web ACLs, consulta. [Migrazione delle risorse AWS WAF Classic a AWS WAF](waf-migrating-from-classic.md)
**Per la versione più recente di AWS WAF**, vedi[AWS WAF](waf-chapter.md).
Dopo aver creato il gruppo di regole, si crea una AWS Firewall Manager AWS WAF policy. Una AWS WAF policy di Firewall Manager contiene il gruppo di regole da applicare alle risorse.
**Per creare una AWS WAF policy di Firewall Manager (console)**
1. Dopo aver creato il gruppo di regole (l'ultima fase della procedura precedente, [Fase 3: creazione di un gruppo di regole](classic-get-started-fms-create-rule-group.md)), la console mostrerà la pagina **Rule group summary (Riepilogo del gruppo di regole)**. Scegli **Next (Successivo)**.
1. Per **Name (Nome)**, inserire un nome descrittivo.
1. Per **Policy type (Tipo di policy)**, scegliere **WAF**.
1. Per **Regione**, scegli un Regione AWS. Per proteggere CloudFront le risorse di Amazon, scegli **Global**.
Per proteggere le risorse in più aree (diverse dalle CloudFront risorse), è necessario creare policy Firewall Manager separate per ogni regione.
1. Selezionare un gruppo di regole da aggiungere, quindi scegliere **Add rule group (Aggiungi gruppo di regole)**.
1. È possibile eseguire due operazioni su una policy: **Action set by rule group (Operazione impostata dal gruppo di regole)** e **Count (Contare)**. Se si desidera verificare la policy e il gruppo di regole, impostare l'operazione su **Count (Contare)**. Questa operazione sostituisce tutte le operazioni di *blocco* specificate dal gruppo di regole contenute nella policy. In altre parole, se l'operazione della policy è impostata su **Count (Contare)**, le relative richieste vengono solo contate, non bloccate. Al contrario, se l'operazione della policy è impostata su **Action set by rule group (Operazione impostata dal gruppo di regole)**, vengono utilizzate le operazioni del gruppo di regole nella policy. Per questo tutorial, scegliere **Count (Contare)**.
1. Scegli **Next (Successivo)**.
1. Se si desidera includere solo gli account specifici nelle policy o in alternativa escludere gli account specifici dalla policy, selezionare **Select accounts to include/exclude from this policy (optional) (seleziona gli account da includere o escludere da questa policy, facoltativo)**. Scegliere se **Include only these accounts in this policy (Includere solo questi account nella policy)** o **Exclude these accounts from this policy (Escludere questi account dalla policy)**. È possibile scegliere una sola opzione. Scegliere **Aggiungi**. Selezionare il numero di account da includere o escludere quindi scegliere **OK**.
**Nota**
Se non si seleziona questa opzione, Firewall Manager applica una politica a tutti gli account dell'organizzazione in AWS Organizations. Se si aggiunge un nuovo account all'organizzazione, Firewall Manager applica automaticamente la politica a quell'account.
1. Scegliere i tipi di risorse da proteggere.
1. Se si desidera proteggere solo le risorse con tag specifici oppure escludere le risorse con tag specifici, selezionare **Use tags to include/exclude resources (Usa tag per includere/escludere risorse)**, inserire i tag e quindi scegliere **Include (Includi)** o **Exclude (Escludi)**. È possibile scegliere una sola opzione.
Se inserisci più di un tag (separati da virgole) e se una risorsa presenta uno di questi tag, viene considerata una corrispondenza.
Per ulteriori informazioni, consultare l'articolo relativo all'[utilizzo di Tag Editor](https://docs.aws.amazon.com/awsconsolehelpdocs/latest/gsg/tag-editor.html) .
1. Scegliere **Create and apply this policy to existing and new resources (Crea e applica questa policy alle risorse esistenti e alle nuove risorse)**.
Questa opzione crea un ACL Web in ogni account applicabile all'interno di un'organizzazione in AWS Organizations e lo associa alle risorse specificate negli account. Inoltre, questa opzione applica la policy a tutte le nuove risorse che soddisfano i criteri precedenti (tipo di risorsa e tag). In alternativa, se si sceglie **Crea ma non si applica questo criterio a risorse esistenti o nuove**, Firewall Manager crea un ACL Web in ogni account applicabile all'interno dell'organizzazione, ma non lo applica a nessuna risorsa. In seguito sarà necessario applicare la policy alle risorse.
1. Lascia l'opzione **Sostituisci il Web associato esistente ACLs** all'impostazione predefinita.
Quando questa opzione è selezionata, Firewall Manager ha rimosso tutte le associazioni ACL Web esistenti dalle risorse dell'ambito prima di associare ad esse il Web ACLs della nuova policy.
1. Scegli **Next (Successivo)**.
1. Rivedere la nuova policy. Per apportare una modifica, scegliere **Edit (Modifica)**. Al termine, scegliere **Create policy (Crea policy)**.
# Tutorial: Creazione di una AWS Firewall Manager politica con regole gerarchiche
**avvertimento**
AWS WAF La versione classica è che sta attraversando un processo pianificato end-of-life. Consulta la AWS Health dashboard per le tappe fondamentali e le date specifiche della tua regione.
**Nota**
Questa è la documentazione **AWS WAF classica**. Dovresti usare questa versione solo se hai creato AWS WAF risorse, come regole e web ACLs, AWS WAF prima di novembre 2019 e non le hai ancora migrate alla versione più recente. Per migrare il tuo sito web ACLs, consulta. [Migrazione delle risorse AWS WAF Classic a AWS WAF](waf-migrating-from-classic.md)
**Per la versione più recente di AWS WAF**, vedi[AWS WAF](waf-chapter.md).
Con AWS Firewall Manager, è possibile creare e applicare politiche di protezione AWS WAF classiche che contengono regole gerarchiche. In altre parole, è possibile creare e applicare determinate regole in modo centralizzato, ma delegare la creazione e la gestione di regole specifiche per account ad altri individui. È possibile monitorare le regole (comuni) applicate in modo centralizzato per rilevare eventuali rimozioni o manomissioni accidentali in modo da accertarsi che vengano applicate costantemente. Le regole specifiche per account aggiungono un'ulteriore protezione personalizzata per le esigenze dei singoli team.
**Nota**
Nell'ultima versione di AWS WAF, questa funzionalità è integrata e non richiede alcuna gestione speciale. Se non stai già utilizzando AWS WAF Classic, utilizza invece la versione più recente. Per informazioni, consulta [Creazione di una AWS Firewall Manager politica per AWS WAF](create-policy.md#creating-firewall-manager-policy-for-waf).
Il seguente tutorial descrive come creare un set di regole di protezione gerarchiche.
**Topics**
+ [Fase 1: Designare un account amministratore di Firewall Manager](#hierarchical-rules-set-firewall-administrator)
+ [Passaggio 2: creare un gruppo di regole utilizzando l'account amministratore di Firewall Manager](#hierarchical-rules-create-a-rule-group)
+ [Fase 3: Creare una policy di Firewall Manager e allegare il gruppo di regole comune](#hierarchical-rules-create-policy)
+ [Fase 4: aggiunta di regole specifiche per account](#hierarchical-rules-add-account-specific-rules)
+ [Conclusioni](#hierarchical-rules-conclusion)
## Fase 1: Designare un account amministratore di Firewall Manager
Per utilizzarlo AWS Firewall Manager, è necessario designare un account dell'organizzazione come account amministratore di Firewall Manager. Questo account può essere l'account di gestione o un account membro dell'organizzazione.
È possibile utilizzare l'account amministratore di Firewall Manager per creare un set di regole comuni da applicare ad altri account dell'organizzazione. Gli altri account dell'organizzazione non possono modificare queste regole applicate in modo centralizzato.
Per designare un account come account amministratore di Firewall Manager e completare altri prerequisiti per l'utilizzo di Firewall Manager, vedere le istruzioni riportate in. [AWS Firewall Manager prerequisiti](fms-prereq.md) Se i prerequisiti sono già stati completati, è possibile passare alla fase 2 di questo tutorial.
In questo tutorial ci si riferisce all'account amministratore come **Firewall-Administrator-Account**.
## Passaggio 2: creare un gruppo di regole utilizzando l'account amministratore di Firewall Manager
Quindi, creare un gruppo di regole utilizzando **Firewall-Administrator-Account**. Questo gruppo di regole contiene le regole comuni che si applicano a tutti gli account membri gestiti dalla policy creata nella fase successiva. Solo **Firewall-Administrator-Account** può modificare queste regole e il gruppo di regole contenitore.
In questo tutorial, ci si riferisce a questo gruppo di regole contenitore come **Common-Rule-Group**.
Per creare un gruppo di regole, consultare le istruzioni in [Creazione di un gruppo di regole AWS WAF classico](classic-create-rule-group.md). Ricordarsi di accedere alla console utilizzando l'account amministratore di Firewall Manager (**Firewall-Administrator-Account**) quando si seguono queste istruzioni.
## Fase 3: Creare una policy di Firewall Manager e allegare il gruppo di regole comune
Utilizzando**Firewall-Administrator-Account**, crea una policy Firewall Manager. Quando si crea questa policy, è necessario procedere come segue:
+ Aggiungere **Common-Rule-Group** alla nuova policy.
+ Includere tutti gli account dell'organizzazione a cui si desidera applicare **Common-Rule-Group**.
+ Aggiungere tutte le risorse a cui si desidera applicare **Common-Rule-Group**.
Per istruzioni sulla creazione di una policy, consultare [Creazione di una AWS Firewall Manager politica](create-policy.md).
In questo modo viene creato un ACL Web in ogni account specificato e viene aggiunto **Common-Rule-Group** a ciascuno di tali siti Web ACLs. Una volta creata la policy, questa ACL Web e le regole comuni vengono distribuite a tutti gli account specificati.
In questo tutorial, ci si riferisce a questa ACL Web come **Administrator-Created-ACL**. A questo punto esiste un'**Administrator-Created-ACL** univoca in ogni account membro specificato dell'organizzazione.
## Fase 4: aggiunta di regole specifiche per account
Ogni account membro dell'organizzazione ora può aggiungere le proprie regole specifiche per account all'**Administrator-Created-ACL** che esiste nel loro account. Le regole comuni già in vigore **Administrator-Created-ACL** continuano ad applicarsi, insieme alle nuove regole specifiche per gli account. AWS WAF esamina le richieste Web in base all'ordine in cui le regole vengono visualizzate nell'ACL Web. Ciò vale sia per l'**Administrator-Created-ACL** che per le regole specifiche per account.
Per aggiungere regole**Administrator-Created-ACL**, consulta. [Modifica di un pacchetto di protezione (ACL Web) in AWS WAF](web-acl-editing.md)
## Conclusioni
Ora è disponibile un ACL Web che contiene regole comuni amministrate dall'account amministratore di Firewall Manager e regole specifiche dell'account gestite da ciascun account membro.
L'**Administrator-Created-ACL** in ogni account fa riferimento al singolo **Common-Rule-Group**. Pertanto, le future modifiche apportate dall'account amministratore di Firewall Manager **Common-Rule-Group** avranno effetto immediato in ogni account membro.
Gli account membri non possono modificare o eliminare le regole comuni in **Common-Rule-Group**.
Le regole specifiche per account non influiscono su altri account.
# Registrazione informazioni di traffico ACL Web
**avvertimento**
AWS WAF Classic sta attraversando un end-of-life processo pianificato. Consulta la AWS Health dashboard per le tappe fondamentali e le date specifiche della tua regione.
**Nota**
Questa è la documentazione **AWS WAF classica**. Dovresti usare questa versione solo se hai creato AWS WAF risorse, come regole e web ACLs, AWS WAF prima di novembre 2019 e non le hai ancora migrate alla versione più recente. Per migrare il tuo sito web ACLs, consulta. [Migrazione delle risorse AWS WAF Classic a AWS WAF](waf-migrating-from-classic.md)
**Per la versione più recente di AWS WAF**, vedi[AWS WAF](waf-chapter.md).
**Nota**
Non puoi utilizzare Amazon Security Lake per raccogliere dati AWS WAF Classic.
È possibile attivare la registrazione per ottenere informazioni dettagliate sul traffico analizzato dall'ACL Web. Le informazioni contenute nei log includono l'ora in cui AWS WAF Classic ha ricevuto la richiesta dalla tua AWS risorsa, informazioni dettagliate sulla richiesta e l'azione relativa alla regola a cui ogni richiesta corrisponde.
Per iniziare, configurare un Amazon Kinesis Data Firehose. Come parte del processo, scegliere una destinazione per l'archiviazione dei log. Successivamente, scegli l'ACL Web per cui si desidera attivare la registrazione. Dopo aver abilitato la registrazione, AWS WAF invia i log alla destinazione di archiviazione tramite il firehose.
Per informazioni su come creare un Amazon Kinesis Data Firehose e rivedere i log memorizzati, [consulta What Is Amazon](https://docs.aws.amazon.com/firehose/latest/dev/what-is-this-service.html) Data Firehose? Per comprendere le autorizzazioni richieste per la configurazione di Kinesis Data Firehose, [consulta Controlling Access with Amazon Kinesis Data](https://docs.aws.amazon.com/firehose/latest/dev/controlling-access.html) Firehose.
È necessario disporre delle autorizzazioni seguenti per attivare la registrazione:
+ `iam:CreateServiceLinkedRole`
+ `firehose:ListDeliveryStreams`
+ `waf:PutLoggingConfiguration`
Per ulteriori informazioni sui ruoli collegati ai servizi e sull'autorizzazione `iam:CreateServiceLinkedRole`, consulta [Utilizzo di ruoli collegati ai servizi per Classic AWS WAF](classic-using-service-linked-roles.md).
**Per attivare la registrazione per un ACL Web**
1. Crea un Amazon Kinesis Data Firehose utilizzando un nome che inizia con il aws-waf-logs prefisso "-» Ad esempio,. `aws-waf-logs-us-east-2-analytics` Creare i dati firehose con un'origine `PUT` e nella regione in cui si sta lavorando. Se stai acquisendo log per Amazon CloudFront, crea la firehose negli Stati Uniti orientali (Virginia settentrionale). Per ulteriori informazioni, consulta [Creazione di un flusso di consegna di Amazon Data Firehose](https://docs.aws.amazon.com/firehose/latest/dev/basic-create.html).
**Importante**
Non scegliere `Kinesis stream` come origine.
Un registro AWS WAF Classic equivale a un record Firehose. Se in genere ricevi 10.000 richieste al secondo e abiliti i log completi, dovresti avere un'impostazione di 10.000 record al secondo in Firehose. Se non configuri Firehose correttamente, AWS WAF Classic non registrerà tutti i log. Per ulteriori informazioni, consulta [Quote di Amazon Kinesis Data Firehose](https://docs.aws.amazon.com/firehose/latest/dev/limits.html).
1. Accedi a Console di gestione AWS e apri la AWS WAF console all'indirizzo. [https://console.aws.amazon.com/wafv2/](https://console.aws.amazon.com/wafv2/)
Se vedi **Passa alla AWS WAF versione classica** nel riquadro di navigazione, selezionalo.
1. Nel riquadro di navigazione, scegli **Web ACLs**.
1. Scegliete il nome dell'ACL web per cui desiderate abilitare la registrazione. Si apre una pagina con i dettagli dell'ACL Web nel riquadro a destra.
1. Nella scheda **Logging (Registrazione)**, selezionare **Enable logging (Attiva registrazione)**.
1. Scegliere la Kinesis Data Firehose creata durante la prima fase. Devi scegliere una manichetta antincendio che inizi con "aws-waf-logs-».
1. (Facoltativo) Se non si desidera che determinati campi e i relativi valori vengano inclusi nei log, omettere tali campi. Scegliere il campo da omettere, quindi selezionare **Add (Aggiungi)**. Se necessario, ripetere l'operazione per omettere i campi aggiuntivi. I campi omessi vengono visualizzati come `REDACTED` nei log. Ad esempio, se si omette il campo **cookie**, il campo **cookie** nei log sarà `REDACTED`.
1. Scegliere **Enable Logging (Attiva registrazione)**.
**Nota**
Quando abiliti correttamente la registrazione, AWS WAF Classic creerà un ruolo collegato al servizio con le autorizzazioni necessarie per scrivere log su Amazon Kinesis Data Firehose. Per ulteriori informazioni, consulta [Utilizzo di ruoli collegati ai servizi per Classic AWS WAF](classic-using-service-linked-roles.md).
**Come disabilitare la registrazione per una lista di controllo degli accessi (ACL) web**
1. **Nel pannello di navigazione, scegli Web. ACLs**
1. Scegliete il nome dell'ACL web per cui desiderate disabilitare la registrazione. Si apre una pagina con i dettagli dell'ACL Web nel riquadro a destra.
1. Nella scheda **Logging (Registrazione)**, selezionare **Disable logging (Disabilita registrazione)**.
1. Nella finestra di dialogo, selezionare **Disable logging (Disabilita registrazione)**.
**Example Log di esempio**
```
{
"timestamp":1533689070589,
"formatVersion":1,
"webaclId":"385cb038-3a6f-4f2f-ac64-09ab912af590",
"terminatingRuleId":"Default_Action",
"terminatingRuleType":"REGULAR",
"action":"ALLOW",
"httpSourceName":"CF",
"httpSourceId":"i-123",
"ruleGroupList":[
{
"ruleGroupId":"41f4eb08-4e1b-2985-92b5-e8abf434fad3",
"terminatingRule":null,
"nonTerminatingMatchingRules":[
{"action" : "COUNT",
"ruleId" : "4659b169-2083-4a91-bbd4-08851a9aaf74"}
],
"excludedRules": [
{"exclusionType" : "EXCLUDED_AS_COUNT",
"ruleId" : "5432a230-0113-5b83-bbb2-89375c5bfa98"}
]
}
],
"rateBasedRuleList":[
{
"rateBasedRuleId":"7c968ef6-32ec-4fee-96cc-51198e412e7f",
"limitKey":"IP",
"maxRateAllowed":100
},
{
"rateBasedRuleId":"462b169-2083-4a93-bbd4-08851a9aaf30",
"limitKey":"IP",
"maxRateAllowed":100
}
],
"nonTerminatingMatchingRules":[
{"action" : "COUNT",
"ruleId" : "4659b181-2011-4a91-bbd4-08851a9aaf52"}
],
"httpRequest":{
"clientIp":"192.10.23.23",
"country":"US",
"headers":[
{
"name":"Host",
"value":"127.0.0.1:1989"
},
{
"name":"User-Agent",
"value":"curl/7.51.2"
},
{
"name":"Accept",
"value":"*/*"
}
],
"uri":"REDACTED",
"args":"usernam=abc",
"httpVersion":"HTTP/1.1",
"httpMethod":"GET",
"requestId":"cloud front Request id"
}
}
```
Di seguito è riportata una spiegazione di ciascuna voce elencata in questi log:
**timestamp**
Time Stamp in millisecondi.
**Tipo di formato**
Tipo di formato per il log.
**webaclId**
GUID dell'ACL Web.
**terminatingRuleId**
ID della regola che ha terminato la richiesta. Se non viene terminata la richiesta, il valore è `Default_Action`.
**terminatingRuleType**
Tipo della regola che ha terminato la richiesta. Valori possibili: RATE\$1BASED, REGULAR e GROUP.
**operazione**
Operazione. Valori possibili per una regola di terminazione: ALLOW e BLOCK. COUNT non è un valore valido per una regola di terminazione.
**terminatingRuleMatchDettagli**
Informazioni dettagliate sulla regola di terminazione corrispondente alla richiesta. Una regola di terminazione ha un'azione che termina il processo di ispezione di una richiesta Web. Le possibili operazioni per una regola di terminazione sono ALLOW e BLOCK. Questo viene popolato solo per le istruzioni delle regole di corrispondenza SQL injection e Cross-site scripting (XSS). Come per tutte le istruzioni di regola che controllano più di un oggetto, AWS WAF applica l'operazione alla prima corrispondenza e interrompe l'ispezione della richiesta Web. Una richiesta Web con un'operazione di terminazione potrebbe contenere altre minacce, oltre a quella segnalata nel log.
**httpSourceName**
Origine della richiesta. Valori possibili: CF (se l'origine è Amazon CloudFront), APIGW (se l'origine è Amazon API Gateway) e ALB (se l'origine è un Application Load Balancer).
**httpSourceId**
ID origine. Questo campo mostra l'ID della CloudFront distribuzione Amazon associata, l'API REST per API Gateway o il nome di un Application Load Balancer.
**ruleGroupList**
Elenco dei gruppi di regole che hanno operato su questa richiesta. Nell'esempio di codice precedente, ce n'è uno solo.
**ruleGroupId**
ID del gruppo di regole. Se la regola ha bloccato la richiesta, l'ID per `ruleGroupID` è uguale all'ID per `terminatingRuleId`.
**terminatingRule**
Regola all'interno del gruppo di regole che hanno terminato la richiesta. Se questo è un valore non null, contiene anche **ruleid** e **action**. In questo caso, l'operazione sarà sempre BLOCK.
**nonTerminatingMatchingRegole**
L'elenco di regole nel gruppo di regole che corrispondono alla richiesta. Queste sono sempre regole di tipo COUNT (regole di non terminazione che corrispondono).
**azione (gruppo nonTerminatingMatching Regole)**
Questa è sempre una regola di tipo COUNT (regole di non terminazione che corrispondono).
**RuleID (gruppo RulesnonTerminatingMatching)**
ID della regola all'interno del gruppo di regole corrispondente alla richiesta e che non è di terminazione. Cioè regole COUNT.
**excludedRules**
L'elenco di regole nel gruppo di regole che sono state escluse. L'operazione impostata per queste regole è COUNT.
**exclusionType (gruppo excludedRules)**
Tipo che indica che la regola esclusa contiene l'operazione COUNT.
**ruleId (gruppo excludedRules)**
L'ID della regola all'interno del gruppo di regole che è esclusa.
**rateBasedRuleElenco**
Elenco dei gruppi di regole basate su tariffa che hanno operato su questa richiesta.
**rateBasedRuleId**
ID della regola basata sulla frequenza che ha operato su questa richiesta. Se ciò ha terminato la richiesta, l'ID di `rateBasedRuleId` è uguale all'ID di `terminatingRuleId`.
**limitKey**
Il campo AWS WAF utilizzato per determinare se è probabile che le richieste arrivino da un'unica fonte e quindi siano soggette al monitoraggio della frequenza. Valore possibile: IP.
**maxRateAllowed**
Numero massimo di richieste, che hanno lo stesso valore nel campo specificato da `limitKey`, consentite in un periodo di tempo di cinque minuti. Se il numero di richieste supera il `maxRateAllowed` e vengono soddisfatti anche gli altri predicati specificati nella regola, AWS WAF attiva l'azione specificata per questa regola.
**httpRequest**
Metadati sulla richiesta.
**clientIp**
Indirizzo IP del client che invia la richiesta.
**paese**
Paese di origine della richiesta. Se non AWS WAF è in grado di determinare il paese di origine, imposta questo campo su. `-`
**headers**
Elenco intestazioni.
**uri**
URI della richiesta. Il precedente esempio di codice illustra quale sarebbe il valore se il campo venisse omesso.
**args**
Stringa query.
**httpVersion**
Versione HTTP.
**httpMethod**
Metodo HTTP nella richiesta.
**requestId**
ID della richiesta.
# Elenco degli indirizzi IP bloccati dalle regole basate sulla frequenza
**avvertimento**
AWS WAF Classic sta attraversando un end-of-life processo pianificato. Consulta la AWS Health dashboard per le tappe fondamentali e le date specifiche della tua regione.
**Nota**
Questa è la documentazione **AWS WAF classica**. Dovresti usare questa versione solo se hai creato AWS WAF risorse, come regole e web ACLs, AWS WAF prima di novembre 2019 e non le hai ancora migrate alla versione più recente. Per migrare il tuo sito web ACLs, consulta. [Migrazione delle risorse AWS WAF Classic a AWS WAF](waf-migrating-from-classic.md)
**Per la versione più recente di AWS WAF**, vedi[AWS WAF](waf-chapter.md).
AWS WAF Classic fornisce un elenco di indirizzi IP bloccati da regole basate sulla velocità.
**Per visualizzare gli indirizzi IP bloccati dalle regole basate sulla frequenza**
1. Accedi a Console di gestione AWS e apri la AWS WAF console all'indirizzo. [https://console.aws.amazon.com/wafv2/](https://console.aws.amazon.com/wafv2/)
Se vedi **Passa alla AWS WAF versione classica** nel riquadro di navigazione, selezionalo.
1. Nel riquadro di navigazione, scegli **Regole**.
1. Nella colonna **Name (Nome)**, scegliere una regola basata sulla frequenza.
L'elenco mostra gli indirizzi IP attualmente bloccati dalla regola.
# Come funziona AWS WAF Classic con le CloudFront funzionalità di Amazon
**avvertimento**
AWS WAF Classic sta attraversando un end-of-life processo pianificato. Consulta la AWS Health dashboard per le tappe e le date specifiche della tua regione.
**Nota**
Questa è la documentazione **AWS WAF classica**. Dovresti usare questa versione solo se hai creato AWS WAF risorse, come regole e web ACLs, AWS WAF prima di novembre 2019 e non le hai ancora migrate alla versione più recente. Per migrare il tuo sito web ACLs, consulta. [Migrazione delle risorse AWS WAF Classic a AWS WAF](waf-migrating-from-classic.md)
**Per la versione più recente di AWS WAF**, vedi[AWS WAF](waf-chapter.md).
Quando crei un ACL Web, puoi specificare una o più CloudFront distribuzioni che desideri che AWS WAF Classic analizzi. AWS WAF Classic inizia a consentire, bloccare o contare le richieste Web per tali distribuzioni in base alle condizioni identificate nell'ACL Web. CloudFront offre alcune funzionalità che migliorano la funzionalità AWS WAF Classic. Questo capitolo descrive alcuni modi in cui è possibile configurare CloudFront per far CloudFront funzionare meglio insieme AWS WAF Classic.
**Topics**
+ [Utilizzo di AWS WAF Classic con pagine di errore CloudFront personalizzate](#classic-cloudfront-features-custom-error-pages)
+ [Utilizzo di AWS WAF Classic with CloudFront per le applicazioni in esecuzione sul tuo server HTTP](#classic-cloudfront-features-your-own-http-server)
+ [Scelta dei metodi HTTP che CloudFront rispondono a](#classic-cloudfront-features-allowed-http-methods)
## Utilizzo di AWS WAF Classic con pagine di errore CloudFront personalizzate
Quando AWS WAF Classic blocca una richiesta Web in base alle condizioni specificate, restituisce il codice di stato HTTP 403 (Forbidden) a CloudFront. Successivamente, CloudFront restituisce quel codice di stato al visualizzatore. Il visualizzatore quindi mostra un messaggio predefinito, breve e scarsamente formattato, simile a questo:
`Forbidden: You don't have permission to access /myfilename.html on this server.`
Se preferisci visualizzare un messaggio di errore personalizzato, possibilmente utilizzando la stessa formattazione del resto del sito Web, puoi configurare la restituzione CloudFront al visualizzatore di un oggetto (ad esempio un file HTML) che contenga il tuo messaggio di errore personalizzato.
**Nota**
CloudFront non è in grado di distinguere tra un codice di stato HTTP 403 restituito dall'origine e uno restituito da AWS WAF Classic quando una richiesta viene bloccata. Ciò significa che non è possibile restituire pagine di errore personalizzate diverse a seconda delle diverse cause di un codice di stato HTTP 403.
Per ulteriori informazioni sulle pagine di errore CloudFront personalizzate, consulta [Customizing Error Responses](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/custom-error-pages.html) nella *Amazon CloudFront Developer Guide*.
## Utilizzo di AWS WAF Classic with CloudFront per le applicazioni in esecuzione sul tuo server HTTP
Quando usi AWS WAF Classic con CloudFront, puoi proteggere le tue applicazioni in esecuzione su qualsiasi server Web HTTP, che si tratti di un server Web in esecuzione su Amazon Elastic Compute Cloud (Amazon EC2) o di un server Web gestito privatamente. Puoi anche configurare in modo CloudFront da richiedere HTTPS tra CloudFront e il tuo server web, nonché tra i visualizzatori e. CloudFront
**Richiedere HTTPS tra CloudFront e il proprio server Web**
Per richiedere HTTPS tra CloudFront e il tuo server web, puoi utilizzare la funzionalità di origine CloudFront personalizzata e configurare la Origin **Protocol Policy** e le impostazioni del **nome di dominio di origine** per origini specifiche. Nella CloudFront configurazione, è possibile specificare il nome DNS del server insieme alla porta e al protocollo che si desidera utilizzare CloudFront per recuperare oggetti dall'origine. Dovresti anche assicurarti che il SSL/TLS certificato sul tuo server di origine personalizzato corrisponda al nome di dominio di origine che hai configurato. Quando utilizzi il tuo server web HTTP all'esterno di AWS, devi usare un certificato firmato da un'autorità di certificazione (CA) di terze parti affidabile, ad esempio Comodo o DigiCert Symantec. Per ulteriori informazioni sulla richiesta di HTTPS per la comunicazione tra CloudFront e il tuo server web, consulta l'argomento [Richiedere HTTPS per la comunicazione tra CloudFront e la tua origine personalizzata](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/using-https-cloudfront-to-custom-origin.html) nella *Amazon CloudFront Developer Guide*.
**Richiedere HTTPS tra un visualizzatore e CloudFront**
Per richiedere HTTPS tra i visualizzatori e CloudFront, puoi modificare la **Viewer Protocol Policy** per uno o più comportamenti della cache nella tua CloudFront distribuzione. Per ulteriori informazioni sull'utilizzo di HTTPS tra visualizzatori e CloudFront, consulta l'argomento [Richiedere HTTPS per la comunicazione tra visualizzatori e CloudFront](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/using-https-viewers-to-cloudfront.html) nella *Amazon CloudFront Developer* Guide. Puoi anche portare il tuo certificato SSL in modo che gli spettatori possano connettersi alla tua CloudFront distribuzione tramite HTTPS utilizzando, ad esempio, il tuo nome di dominio. *https://www.mysite.com* Per ulteriori informazioni, consulta l'argomento [Configurazione di nomi di dominio alternativi e HTTPS](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/cnames-and-https-procedures.html) nella *Amazon CloudFront Developer Guide*.
## Scelta dei metodi HTTP che CloudFront rispondono a
Quando crei una distribuzione CloudFront web Amazon, scegli i metodi HTTP che desideri CloudFront elaborare e inoltrare all'origine. Scegliere tra le seguenti opzioni:
+ **GET, HEAD**: puoi utilizzarli CloudFront solo per recuperare oggetti dall'origine o per ottenere le intestazioni degli oggetti.
+ **GET, HEAD, OPTIONS**: è possibile utilizzarli CloudFront solo per recuperare oggetti dall'origine, ottenere le intestazioni degli oggetti o recuperare un elenco delle opzioni supportate dal server di origine.
+ **GET, HEAD, OPTIONS, PUT, POST, PATCH, DELETE**: puoi utilizzarli CloudFront per ottenere, aggiungere, aggiornare ed eliminare oggetti e per ottenere le intestazioni degli oggetti. Inoltre, puoi eseguire altre operazioni POST, ad esempio inviare dati da un modulo Web.
È inoltre possibile utilizzare le condizioni di corrispondenza delle stringhe AWS WAF classiche per consentire o bloccare le richieste in base al metodo HTTP, come descritto in[Utilizzo di condizioni di corrispondenza per stringa](classic-web-acl-string-conditions.md). Se desideri utilizzare una combinazione di metodi che CloudFront supporti, ad esempio `GET` e`HEAD`, non è necessario configurare AWS WAF Classic per bloccare le richieste che utilizzano gli altri metodi. Se desideri consentire una combinazione di metodi che CloudFront non supporta, ad esempio, e `GET` `HEAD``POST`, puoi configurare in modo che CloudFront risponda a tutti i metodi e quindi utilizzare AWS WAF Classic per bloccare le richieste che utilizzano altri metodi.
Per ulteriori informazioni sulla scelta dei metodi a cui CloudFront rispondere, consulta [Metodi HTTP consentiti](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/distribution-web-values-specify.html#DownloadDistValuesAllowedHTTPMethods) nell'argomento [Valori che specifichi quando crei o aggiorni una distribuzione Web](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/distribution-web-values-specify.html) nella *Amazon CloudFront Developer Guide*.
# Sicurezza nella AWS WAF versione classica
**avvertimento**
AWS WAF Classic sta attraversando un end-of-life processo pianificato. Consulta la AWS Health dashboard per le tappe e le date specifiche della tua regione.
**Nota**
Questa è la documentazione **AWS WAF classica**. Dovresti usare questa versione solo se hai creato AWS WAF risorse, come regole e web ACLs, AWS WAF prima di novembre 2019 e non le hai ancora migrate alla versione più recente. Per migrare il tuo sito web ACLs, consulta. [Migrazione delle risorse AWS WAF Classic a AWS WAF](waf-migrating-from-classic.md)
**Per la versione più recente di AWS WAF**, vedi[AWS WAF](waf-chapter.md).
La sicurezza del cloud AWS è la massima priorità. In qualità di AWS cliente, puoi beneficiare di un data center e di un'architettura di rete progettati per soddisfare i requisiti delle organizzazioni più sensibili alla sicurezza.
La sicurezza è una responsabilità condivisa tra AWS te e te. Il [modello di responsabilità condivisa](https://aws.amazon.com/compliance/shared-responsibility-model/) descrive questo come sicurezza *del* cloud e sicurezza *nel* cloud:
+ **Sicurezza del cloud**: AWS è responsabile della protezione dell'infrastruttura che gestisce AWS i servizi in Cloud AWS. AWS fornisce inoltre servizi che è possibile utilizzare in modo sicuro. L'efficacia della nostra sicurezza è regolarmente testata e verificata da revisori di terze parti come parte dei [programmi di conformitàAWS](https://aws.amazon.com/compliance/programs/). Per ulteriori informazioni sui programmi di conformità applicabili a AWS WAF Classic, consulta [AWS Services in Scope by Compliance Program](https://aws.amazon.com/compliance/services-in-scope/).
+ **Sicurezza nel cloud**: la tua responsabilità è determinata dal AWS servizio che utilizzi. L'utente è anche responsabile per altri fattori, tra cui la riservatezza dei dati, i requisiti dell'azienda e leggi e normative applicabili.
Questa documentazione ti aiuta a capire come applicare il modello di responsabilità condivisa quando usi AWS WAF Classic. I seguenti argomenti mostrano come configurare AWS WAF Classic per soddisfare gli obiettivi di sicurezza e conformità. Imparerai anche come utilizzare altri AWS servizi che ti aiutano a monitorare e proteggere le tue risorse AWS WAF Classic.
**Topics**
+ [Protezione dei dati in AWS WAF Classic](classic-data-protection.md)
+ [Gestione delle identità e degli accessi per AWS WAF Classic](classic-security-iam.md)
+ [Registrazione e monitoraggio nella versione classica AWS WAF](classic-waf-incident-response.md)
+ [Convalida della conformità per Classic AWS WAF](classic-waf-compliance.md)
+ [Resilienza nella versione classica AWS WAF](classic-disaster-recovery-resiliency.md)
+ [Sicurezza dell'infrastruttura in AWS WAF Classic](classic-infrastructure-security.md)
# Protezione dei dati in AWS WAF Classic
**avvertimento**
AWS WAF Classic sta attraversando un end-of-life processo pianificato. Consulta la AWS Health dashboard per le tappe fondamentali e le date specifiche della tua regione.
**Nota**
Questa è la documentazione **AWS WAF classica**. Dovresti usare questa versione solo se hai creato AWS WAF risorse, come regole e web ACLs, AWS WAF prima di novembre 2019 e non le hai ancora migrate alla versione più recente. Per migrare il tuo sito web ACLs, consulta. [Migrazione delle risorse AWS WAF Classic a AWS WAF](waf-migrating-from-classic.md)
**Per la versione più recente di AWS WAF**, vedi[AWS WAF](waf-chapter.md).
Il modello di [responsabilità AWS condivisa modello](https://aws.amazon.com/compliance/shared-responsibility-model/) di si applica alla protezione dei dati in AWS WAF Classic. Come descritto in questo modello, AWS è responsabile della protezione dell'infrastruttura globale che gestisce tutti i Cloud AWS. L’utente è responsabile del controllo dei contenuti ospitati su questa infrastruttura. L’utente è inoltre responsabile della configurazione della protezione e delle attività di gestione per i Servizi AWS utilizzati. Per maggiori informazioni sulla privacy dei dati, consulta le [Domande frequenti sulla privacy dei dati](https://aws.amazon.com/compliance/data-privacy-faq/). Per informazioni sulla protezione dei dati in Europa, consulta il post del blog relativo al [AWS Modello di responsabilità condivisa e GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) nel *AWS Blog sulla sicurezza*.
Ai fini della protezione dei dati, consigliamo di proteggere Account AWS le credenziali e configurare i singoli utenti con AWS IAM Identity Center or AWS Identity and Access Management (IAM). In tal modo, a ogni utente verranno assegnate solo le autorizzazioni necessarie per svolgere i suoi compiti. Suggeriamo, inoltre, di proteggere i dati nei seguenti modi:
+ Utilizza l’autenticazione a più fattori (MFA) con ogni account.
+ SSL/TLS Da utilizzare per comunicare con AWS le risorse. È richiesto TLS 1.2 ed è consigliato TLS 1.3.
+ Configura l'API e la registrazione delle attività degli utenti con AWS CloudTrail. Per informazioni sull'utilizzo dei CloudTrail percorsi per acquisire AWS le attività, consulta [Lavorare con i CloudTrail percorsi](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) nella *Guida per l'AWS CloudTrail utente*.
+ Utilizza soluzioni di AWS crittografia, insieme a tutti i controlli di sicurezza predefiniti all'interno Servizi AWS.
+ Utilizza i servizi di sicurezza gestiti avanzati, come Amazon Macie, che aiutano a individuare e proteggere i dati sensibili archiviati in Amazon S3.
+ Se hai bisogno di moduli crittografici convalidati FIPS 140-3 per accedere AWS tramite un'interfaccia a riga di comando o un'API, usa un endpoint FIPS. Per ulteriori informazioni sugli endpoint FIPS disponibili, consulta il [Federal Information Processing Standard (FIPS) 140-3](https://aws.amazon.com/compliance/fips/).
Ti consigliamo di non inserire mai informazioni riservate o sensibili, ad esempio gli indirizzi e-mail dei clienti, nei tag o nei campi di testo in formato libero, ad esempio nel campo **Nome**. Ciò include quando lavori con AWS WAF Classic o altro Servizi AWS utilizzando la console, l'API o. AWS CLI AWS SDKs I dati inseriti nei tag o nei campi di testo in formato libero utilizzati per i nomi possono essere utilizzati per i la fatturazione o i log di diagnostica. Quando si fornisce un URL a un server esterno, suggeriamo vivamente di non includere informazioni sulle credenziali nell’URL per convalidare la richiesta al server.
AWS WAF Le entità classiche, come web ACLs, regole e condizioni, sono crittografate a riposo, tranne in alcune regioni in cui la crittografia non è disponibile, tra cui Cina (Pechino) e Cina (Ningxia). Per ogni regione vengono utilizzate chiavi di crittografia univoche.
## AWS WAF Eliminazione delle risorse classiche
Puoi eliminare le risorse che crei nella AWS WAF versione classica. Consulta la guida per ogni tipo di risorsa nelle sezioni seguenti.
+ [Eliminazione di un'ACL Web](classic-web-acl-deleting.md)
+ [Aggiungere ed eliminare regole da un gruppo di regole AWS WAF classico](classic-rule-group-editing.md)
+ [Eliminazione di una regola](classic-web-acl-rules-deleting.md)
# Gestione delle identità e degli accessi per AWS WAF Classic
**avvertimento**
AWS WAF Classic sta attraversando un end-of-life processo pianificato. Consulta la AWS Health dashboard per le tappe fondamentali e le date specifiche della tua regione.
**Nota**
Questa è la documentazione **AWS WAF classica**. Dovresti usare questa versione solo se hai creato AWS WAF risorse, come regole e web ACLs, AWS WAF prima di novembre 2019 e non le hai ancora migrate alla versione più recente. Per migrare il tuo sito web ACLs, consulta. [Migrazione delle risorse AWS WAF Classic a AWS WAF](waf-migrating-from-classic.md)
**Per la versione più recente di AWS WAF**, vedi[AWS WAF](waf-chapter.md).
AWS Identity and Access Management (IAM) è un software Servizio AWS che aiuta un amministratore a controllare in modo sicuro l'accesso alle AWS risorse. Gli amministratori IAM controllano chi può essere *autenticato* (effettuato l'accesso) e *autorizzato* (disporre delle autorizzazioni) a utilizzare le risorse Classic. AWS WAF IAM è uno Servizio AWS strumento che puoi utilizzare senza costi aggiuntivi.
**Topics**
+ [Destinatari](#security_iam_audience)
+ [Autenticazione con identità](#security_iam_authentication)
+ [Gestione dell’accesso tramite policy](#security_iam_access-manage)
+ [Come funziona AWS WAF Classic con IAM](classic-security_iam_service-with-iam.md)
+ [Esempi di policy basate sull'identità per Classic AWS WAF](classic-security_iam_id-based-policy-examples.md)
+ [Risoluzione dei problemi relativi all'identità e all'accesso AWS WAF classici](classic-security_iam_troubleshoot.md)
+ [Utilizzo di ruoli collegati ai servizi per Classic AWS WAF](classic-using-service-linked-roles.md)
## Destinatari
Il modo in cui utilizzi AWS Identity and Access Management (IAM) varia a seconda del lavoro svolto in AWS WAF Classic.
**Utente del servizio**: se utilizzi il servizio AWS WAF Classic per svolgere il tuo lavoro, l'amministratore ti fornisce le credenziali e le autorizzazioni necessarie. Man mano che utilizzi più funzionalità della AWS WAF versione classica per svolgere il tuo lavoro, potresti aver bisogno di autorizzazioni aggiuntive. La comprensione della gestione dell’accesso consente di richiedere le autorizzazioni corrette all’amministratore. Se non riesci ad accedere a una funzionalità della AWS WAF versione classica, consulta[Risoluzione dei problemi relativi all'identità e all'accesso AWS WAF classici](classic-security_iam_troubleshoot.md).
**Amministratore del servizio**: se sei responsabile delle risorse di AWS WAF Classic presso la tua azienda, probabilmente hai pieno accesso a AWS WAF Classic. Spetta a te determinare a quali funzionalità e risorse della AWS WAF versione Classic devono accedere gli utenti del servizio. Devi quindi inviare le richieste all’amministratore IAM per modificare le autorizzazioni degli utenti del servizio. Esamina le informazioni contenute in questa pagina per comprendere i concetti di base relativi a IAM. Per saperne di più su come la tua azienda può utilizzare IAM con AWS WAF Classic, consulta[Come funziona AWS WAF Classic con IAM](classic-security_iam_service-with-iam.md).
**Amministratore IAM**: se sei un amministratore IAM, potresti voler conoscere i dettagli su come scrivere policy per gestire l'accesso a AWS WAF Classic. Per visualizzare esempi di policy AWS WAF classiche basate sull'identità che puoi utilizzare in IAM, consulta. [Esempi di policy basate sull'identità per Classic AWS WAF](classic-security_iam_id-based-policy-examples.md)
## Autenticazione con identità
L'autenticazione è il modo in cui accedi AWS utilizzando le tue credenziali di identità. Devi autenticarti come utente IAM o assumendo un ruolo IAM. Utente root dell'account AWS
Puoi accedere come identità federata utilizzando credenziali provenienti da una fonte di identità come AWS IAM Identity Center (IAM Identity Center), autenticazione Single Sign-On o credenziali. Google/Facebook Per ulteriori informazioni sull’accesso, consulta [Come accedere all’ Account AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) nella *Guida per l’utente di Accedi ad AWS *.
Per l'accesso programmatico, AWS fornisce un SDK e una CLI per firmare crittograficamente le richieste. Per ulteriori informazioni, consulta [AWS Signature Version 4 per le richieste API](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) nella *Guida per l’utente di IAM*.
### Account AWS utente root
Quando si crea un Account AWS, si inizia con un'identità di accesso denominata *utente Account AWS root* che ha accesso completo a tutte Servizi AWS le risorse. Consigliamo vivamente di non utilizzare l’utente root per le attività quotidiane. Per le attività che richiedono le credenziali dell’utente root, consulta [Attività che richiedono le credenziali dell’utente root](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) nella *Guida per l’utente IAM*.
### Identità federata
Come procedura ottimale, richiedi agli utenti umani di utilizzare la federazione con un provider di identità per accedere Servizi AWS utilizzando credenziali temporanee.
Un'*identità federata* è un utente della directory aziendale, del provider di identità Web o Directory Service che accede Servizi AWS utilizzando le credenziali di una fonte di identità. Le identità federate assumono ruoli che forniscono credenziali temporanee.
Per la gestione centralizzata degli accessi, si consiglia di utilizzare AWS IAM Identity Center. Per ulteriori informazioni, consulta [Che cos’è il Centro identità IAM?](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) nella *Guida per l’utente di AWS IAM Identity Center *.
### Utenti e gruppi IAM
Un *[utente IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* è una identità che dispone di autorizzazioni specifiche per una singola persona o applicazione. Ti consigliamo di utilizzare credenziali temporanee invece di utenti IAM con credenziali a lungo termine. *Per ulteriori informazioni, consulta [Richiedere agli utenti umani di utilizzare la federazione con un provider di identità per accedere AWS utilizzando credenziali temporanee](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) nella Guida per l'utente IAM.*
Un [https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) specifica una raccolta di utenti IAM e semplifica la gestione delle autorizzazioni per gestire gruppi di utenti di grandi dimensioni. Per ulteriori informazioni, consulta [Casi d’uso per utenti IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) nella *Guida per l’utente di IAM*.
### Ruoli IAM
Un *[ruolo IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* è un’identità con autorizzazioni specifiche che fornisce credenziali temporanee. Puoi assumere un ruolo [passando da un ruolo utente a un ruolo IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) o chiamando un'operazione AWS CLI o AWS API. Per ulteriori informazioni, consulta [Metodi per assumere un ruolo](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) nella *Guida per l’utente di IAM*.
I ruoli IAM sono utili per l’accesso degli utenti federati, le autorizzazioni utente IAM temporanee, l’accesso multi-account, l’accesso multi-servizio e le applicazioni in esecuzione su Amazon EC2. Per maggiori informazioni, consultare [Accesso a risorse multi-account in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) nella *Guida per l’utente IAM*.
## Gestione dell’accesso tramite policy
Puoi controllare l'accesso AWS creando policy e associandole a AWS identità o risorse. Una policy definisce le autorizzazioni quando è associata a un'identità o a una risorsa. AWS valuta queste politiche quando un preside effettua una richiesta. La maggior parte delle politiche viene archiviata AWS come documenti JSON. Per maggiori informazioni sui documenti delle policy JSON, consulta [Panoramica delle policy JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) nella *Guida per l’utente IAM*.
Utilizzando le policy, gli amministratori specificano chi ha accesso a cosa definendo quale **principale** può eseguire **azioni** su quali **risorse** e in quali **condizioni**.
Per impostazione predefinita, utenti e ruoli non dispongono di autorizzazioni. Un amministratore IAM crea le policy IAM e le aggiunge ai ruoli, che gli utenti possono quindi assumere. Le policy IAM definiscono le autorizzazioni indipendentemente dal metodo utilizzato per eseguirle.
### Policy basate sull’identità
Le policy basate su identità sono documenti di policy di autorizzazione JSON che è possibile collegare a un’identità (utente, gruppo o ruolo). Tali policy controllano le operazioni autorizzate per l’identità, nonché le risorse e le condizioni in cui possono essere eseguite. Per informazioni su come creare una policy basata su identità, consultare [Definizione di autorizzazioni personalizzate IAM con policy gestite dal cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) nella *Guida per l’utente IAM*.
Le policy basate su identità possono essere *policy in linea* (con embedding direttamente in una singola identità) o *policy gestite* (policy autonome collegate a più identità). Per informazioni su come scegliere tra una policy gestita o una policy inline, consulta [Scegliere tra policy gestite e policy in linea](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) nella *Guida per l’utente di IAM*.
### Policy basate sulle risorse
Le policy basate su risorse sono documenti di policy JSON che è possibile collegare a una risorsa. Gli esempi includono le *policy di trust dei ruoli* IAM e le *policy dei bucket* di Amazon S3. Nei servizi che supportano policy basate sulle risorse, gli amministratori dei servizi possono utilizzarli per controllare l’accesso a una risorsa specifica. In una policy basata sulle risorse è obbligatorio [specificare un’entità principale](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html).
Le policy basate sulle risorse sono policy inline che si trovano in tale servizio. Non è possibile utilizzare le policy AWS gestite di IAM in una policy basata sulle risorse.
### Elenchi di controllo degli accessi () ACLs
Le liste di controllo degli accessi (ACLs) controllano quali principali (membri dell'account, utenti o ruoli) dispongono delle autorizzazioni per accedere a una risorsa. ACLs sono simili alle politiche basate sulle risorse, sebbene non utilizzino il formato del documento di policy JSON.
Amazon S3 e Amazon VPC sono esempi di servizi che supportano. AWS WAF ACLs Per ulteriori informazioni ACLs, consulta la [panoramica della lista di controllo degli accessi (ACL)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acl-overview.html) nella *Amazon Simple Storage Service Developer Guide*.
### Altri tipi di policy
AWS supporta tipi di policy aggiuntivi che possono impostare le autorizzazioni massime concesse dai tipi di policy più comuni:
+ **Limiti delle autorizzazioni**: imposta il numero massimo di autorizzazioni che una policy basata su identità ha la possibilità di concedere a un’entità IAM. Per ulteriori informazioni, consulta [Limiti delle autorizzazioni per le entità IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) nella *Guida per l’utente di IAM*.
+ **Politiche di controllo del servizio (SCPs)**: specificano le autorizzazioni massime per un'organizzazione o un'unità organizzativa in. AWS Organizations Per ulteriori informazioni, consultare [Policy di controllo dei servizi](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) nella *Guida per l’utente di AWS Organizations *.
+ **Politiche di controllo delle risorse (RCPs)**: imposta le autorizzazioni massime disponibili per le risorse nei tuoi account. Per ulteriori informazioni, consulta [Politiche di controllo delle risorse (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) nella *Guida per l'AWS Organizations utente*.
+ **Policy di sessione**: policy avanzate passate come parametro quando si crea una sessione temporanea per un ruolo o un utente federato. Per maggiori informazioni, consultare [Policy di sessione](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) nella *Guida per l’utente IAM*.
### Più tipi di policy
Quando a una richiesta si applicano più tipi di policy, le autorizzazioni risultanti sono più complicate da comprendere. Per scoprire come si AWS determina se consentire o meno una richiesta quando sono coinvolti più tipi di policy, consulta [Logica di valutazione delle policy](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) nella *IAM User Guide*.
# Come funziona AWS WAF Classic con IAM
**avvertimento**
AWS WAF Classic sta attraversando un end-of-life processo pianificato. Consulta la AWS Health dashboard per le tappe fondamentali e le date specifiche della tua regione.
**Nota**
Questa è la documentazione **AWS WAF classica**. Dovresti usare questa versione solo se hai creato AWS WAF risorse, come regole e web ACLs, AWS WAF prima di novembre 2019 e non le hai ancora migrate alla versione più recente. Per migrare il tuo sito web ACLs, consulta. [Migrazione delle risorse AWS WAF Classic a AWS WAF](waf-migrating-from-classic.md)
**Per la versione più recente di AWS WAF**, vedi[AWS WAF](waf-chapter.md).
Prima di utilizzare IAM per gestire l'accesso a AWS WAF Classic, scopri quali funzionalità IAM sono disponibili per l'uso con AWS WAF Classic.
**Funzionalità IAM che puoi utilizzare con AWS WAF Classic**
| Funzionalità IAM | AWS WAF Supporto classico |
| --- | --- |
| [Policy basate sull’identità](#classic-security_iam_service-with-iam-id-based-policies) | Sì |
| [Policy basate su risorse](#classic-security_iam_service-with-iam-resource-based-policies) | No |
| [Operazioni di policy](#classic-security_iam_service-with-iam-id-based-policies-actions) | Sì |
| [Risorse relative alle policy](#classic-security_iam_service-with-iam-id-based-policies-resources) | Sì |
| [Chiavi di condizione della policy (specifica del servizio)](#classic-security_iam_service-with-iam-id-based-policies-conditionkeys) | Sì |
| [ACLs](#classic-security_iam_service-with-iam-acls) | No |
| [ABAC (tag nelle policy)](#classic-security_iam_service-with-iam-tags) | Parziale |
| [Credenziali temporanee](#classic-security_iam_service-with-iam-roles-tempcreds) | Sì |
| [Inoltro delle sessioni di accesso (FAS)](#classic-security_iam_service-with-iam-principal-permissions) | Sì |
| [Ruoli di servizio](#classic-security_iam_service-with-iam-roles-service) | Sì |
| [Ruoli collegati al servizio](#classic-security_iam_service-with-iam-roles-service-linked) | Sì |
Per avere una visione di alto livello di come AWS WAF Classic e altri AWS servizi funzionano con la maggior parte delle funzionalità IAM, consulta [AWS i servizi che funzionano con IAM nella IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) *User Guide*.
## Politiche basate sull'identità per Classic AWS WAF
**Supporta le policy basate sull’identità:** sì
Le policy basate sull'identità sono documenti di policy di autorizzazione JSON che è possibile allegare a un'identità (utente, gruppo di utenti o ruolo IAM). Tali policy definiscono le operazioni che utenti e ruoli possono eseguire, su quali risorse e in quali condizioni. Per informazioni su come creare una policy basata su identità, consulta [Definizione di autorizzazioni personalizzate IAM con policy gestite dal cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) nella *Guida per l’utente di IAM*.
Con le policy basate sull’identità di IAM, è possibile specificare quali operazioni e risorse sono consentite o respinte, nonché le condizioni in base alle quali le operazioni sono consentite o respinte. Per informazioni su tutti gli elementi utilizzabili in una policy JSON, consulta [Guida di riferimento agli elementi delle policy JSON IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) nella *Guida per l’utente IAM*.
Per visualizzare esempi di politiche AWS WAF classiche basate sull'identità, vedere. [Esempi di policy basate sull'identità per Classic AWS WAF](classic-security_iam_id-based-policy-examples.md)
## Politiche basate sulle risorse all'interno di Classic AWS WAF
**Supporta le policy basate su risorse:** no
Le policy basate su risorse sono documenti di policy JSON che è possibile collegare a una risorsa. Esempi di policy basate sulle risorse sono le *policy di attendibilità dei ruoli* IAM e le *policy di bucket* Amazon S3. Nei servizi che supportano policy basate sulle risorse, gli amministratori dei servizi possono utilizzarli per controllare l’accesso a una risorsa specifica. Quando è collegata a una risorsa, una policy definisce le operazioni che un principale può eseguire su tale risorsa e a quali condizioni. In una policy basata sulle risorse è obbligatorio [specificare un’entità principale](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html). I principali possono includere account, utenti, ruoli, utenti federati o. Servizi AWS
Per consentire l’accesso multi-account, è possibile specificare un intero account o entità IAM in un altro account come entità principale in una policy basata sulle risorse. Per ulteriori informazioni, consulta [Accesso a risorse multi-account in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) nella *Guida per l’utente IAM*.
## Azioni politiche per Classic AWS WAF
**Supporta le operazioni di policy:** si
Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale **entità principale** può eseguire **operazioni** su quali **risorse** e in quali **condizioni**.
L'elemento `Action` di una policy JSON descrive le operazioni che è possibile utilizzare per consentire o negare l'accesso in una policy. Includere le operazioni in una policy per concedere le autorizzazioni a eseguire l’operazione associata.
Per visualizzare un elenco di azioni AWS WAF classiche, vedere [Azioni definite da AWS WAF e Azioni definite da AWS WAF](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awswaf.html#awswaf-actions-as-permissions) [Regional](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awswafregional.html#awswafregional-actions-as-permissions) nel *Service Authorization* Reference.
Le azioni politiche in AWS WAF Classic utilizzano il seguente prefisso prima dell'azione:
```
waf
```
Per specificare più operazioni in una sola istruzione, occorre separarle con la virgola.
```
"Action": [
"waf:action1",
"waf:action2"
]
```
È possibile specificare più azioni tramite caratteri jolly (\$1). Ad esempio, per specificare tutte le azioni in AWS WAF Classic che iniziano con`List`, includi la seguente azione:
```
"Action": "waf:List*"
```
Per visualizzare esempi di politiche AWS WAF classiche basate sull'identità, vedere. [Esempi di policy basate sull'identità per Classic AWS WAF](classic-security_iam_id-based-policy-examples.md)
## Risorse politiche per Classic AWS WAF
**Supporta le risorse relative alle policy:** sì
Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale **entità principale** può eseguire **operazioni** su quali **risorse** e in quali **condizioni**.
L’elemento JSON `Resource` della policy specifica l’oggetto o gli oggetti ai quali si applica l’operazione. Come best practice, specifica una risorsa utilizzando il suo [nome della risorsa Amazon (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). Per le azioni che non supportano le autorizzazioni a livello di risorsa, si utilizza un carattere jolly (\$1) per indicare che l’istruzione si applica a tutte le risorse.
```
"Resource": "*"
```
Per visualizzare l'elenco dei tipi di risorse AWS WAF Classic e relativi ARNs, vedere [Resources defined by AWS WAF e Resources defined by AWS WAF](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awswaf.html#awswaf-resources-for-iam-policies) [Regional](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awswafregional.html#awswafregional-resources-for-iam-policies) nel *Service Authorization* Reference. Per sapere con quali azioni è possibile specificare l'ARN di ogni risorsa, vedere [Azioni definite da AWS WAF e Azioni definite da](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awswaf.html#awswaf-actions-as-permissions) [Regional](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awswafregional.html#awswafregional-actions-as-permissions). AWS WAF Per consentire o negare l'accesso a un sottoinsieme di risorse AWS WAF Classic, includi l'ARN della risorsa nell'`resource`elemento della tua politica.
*Nella AWS WAF versione classica, le risorse sono *web ACLs* e regole.* AWS WAF Classic supporta anche condizioni come la corrispondenza dei *byte, la corrispondenza* *IP* e il *vincolo di dimensione*.
A queste risorse e condizioni sono associati Amazon Resource Names (ARNs) univoci, come illustrato nella tabella seguente.
****
| Nome nella AWS WAF console | Nome in AWS WAF SDK/CLI | Formato ARN |
| --- | --- | --- |
| ACL Web | WebACL | `arn:aws:waf::account:webacl/ID` |
| Regola | Rule | `arn:aws:waf::account:rule/ID ` |
| Condizione di corrispondenza stringa | ByteMatchSet | `arn:aws:waf::account:bytematchset/ID` |
| condizione di corrispondenza SQL injection | SqlInjectionMatchSet | arn:aws:waf::account:sqlinjectionset/ID |
| Condizione di vincolo di dimensione | SizeConstraintSet | arn:aws:waf::account:sizeconstraintset/ID |
| Condizione di corrispondenza IP | IPSet | arn:aws:waf::account:ipset/ID |
| Condizione di corrispondenza Cross-site scripting | XssMatchSet | arn:aws:waf::account:xssmatchset/ID | |
Per consentire o negare l'accesso a un sottoinsieme di risorse AWS WAF Classic, includi l'ARN della risorsa nell'`resource`elemento della tua politica. I ARNs for AWS WAF Classic hanno il seguente formato:
```
arn:aws:waf::account:resource/ID
```
Sostituisci le *ID* variabili *account**resource*, e con valori validi. I valori validi possono essere i seguenti:
+ *account*: L'ID del tuo Account AWS. È necessario specificare un valore.
+ *resource*: Il tipo di risorsa AWS WAF classica.
+ *ID*: L'ID della risorsa AWS WAF classica o un carattere jolly (`*`) per indicare tutte le risorse del tipo specificato associate alla risorsa specificata Account AWS.
Ad esempio, il seguente ARN specifica tutto il web ACLs per l'account: `111122223333`
```
arn:aws:waf::111122223333:webacl/*
```
## Chiavi relative alle condizioni della policy per Classic AWS WAF
**Supporta le chiavi di condizione delle policy specifiche del servizio:** sì
Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale **entità principale** può eseguire **operazioni** su quali **risorse** e in quali **condizioni**.
L’elemento `Condition` specifica quando le istruzioni vengono eseguite in base a criteri definiti. È possibile compilare espressioni condizionali che utilizzano [operatori di condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), ad esempio uguale a o minore di, per soddisfare la condizione nella policy con i valori nella richiesta. Per visualizzare tutte le chiavi di condizione AWS globali, consulta le chiavi di [contesto delle condizioni AWS globali nella Guida](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) per l'*utente IAM*.
Per visualizzare un elenco delle chiavi di condizione AWS WAF classiche, consulta [Chiavi di condizione per AWS WAF](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awswaf.html#awswaf-policy-keys) e [Risorse definite da AWS WAF Regional](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awswafregional.html#awswafregional-resources-for-iam-policies) nel *Service Authorization Reference*. Per sapere con quali azioni e risorse puoi utilizzare una chiave di condizione, vedi [Azioni definite da AWS WAF](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awswaf.html#awswaf-actions-as-permissions) e [Azioni definite da AWS WAF Regional](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awswafregional.html#awswafregional-actions-as-permissions).
Per visualizzare esempi di politiche AWS WAF classiche basate sull'identità, vedere. [Esempi di policy basate sull'identità per Classic AWS WAF](classic-security_iam_id-based-policy-examples.md)
## ACLs AWS WAF nella versione classica
**Supporti ACLs:** no
Le liste di controllo degli accessi (ACLs) controllano quali principali (membri dell'account, utenti o ruoli) dispongono delle autorizzazioni per accedere a una risorsa. ACLs sono simili alle politiche basate sulle risorse, sebbene non utilizzino il formato del documento di policy JSON.
## ABAC con Classic AWS WAF
**Supporta ABAC (tag nelle policy):** parzialmente
Il controllo degli accessi basato su attributi (ABAC) è una strategia di autorizzazione che definisce le autorizzazioni in base agli attributi, chiamati tag. Puoi allegare tag a entità e AWS risorse IAM, quindi progettare politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag sulla risorsa.
Per controllare l’accesso basato su tag, fornire informazioni sui tag nell’[elemento condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) di una policy utilizzando le chiavi di condizione `aws:ResourceTag/key-name`, `aws:RequestTag/key-name` o `aws:TagKeys`.
Se un servizio supporta tutte e tre le chiavi di condizione per ogni tipo di risorsa, il valore per il servizio è **Sì**. Se un servizio supporta tutte e tre le chiavi di condizione solo per alcuni tipi di risorsa, allora il valore sarà **Parziale**.
Per maggiori informazioni su ABAC, consulta [Definizione delle autorizzazioni con autorizzazione ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) nella *Guida per l’utente di IAM*. Per visualizzare un tutorial con i passaggi per l’impostazione di ABAC, consulta [Utilizzo del controllo degli accessi basato su attributi (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html) nella *Guida per l’utente di IAM*.
## Utilizzo di credenziali temporanee con Classic AWS WAF
**Supporta le credenziali temporanee:** sì
Le credenziali temporanee forniscono un accesso a breve termine alle AWS risorse e vengono create automaticamente quando si utilizza la federazione o si cambia ruolo. AWS consiglia di generare dinamicamente credenziali temporanee anziché utilizzare chiavi di accesso a lungo termine. Per ulteriori informazioni, consulta [Credenziali di sicurezza temporanee in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) e [Servizi AWS compatibili con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) nella *Guida per l’utente IAM*.
## Sessioni di accesso diretto per Classic AWS WAF
**Supporta l’inoltro delle sessioni di accesso (FAS):** sì
Le sessioni di accesso inoltrato (FAS) utilizzano le autorizzazioni del principale chiamante e Servizio AWS, in combinazione con la richiesta, di effettuare richieste Servizio AWS ai servizi downstream. Per i dettagli delle policy relative alle richieste FAS, consulta [Forward access sessions](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html).
## Ruoli di servizio per Classic AWS WAF
**Supporta i ruoli di servizio:** sì
Un ruolo di servizio è un [ruolo IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) che un servizio assume per eseguire operazioni per tuo conto. Un amministratore IAM può creare, modificare ed eliminare un ruolo di servizio dall’interno di IAM. Per ulteriori informazioni, consulta [Create a role to delegate permissions to an Servizio AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) nella *Guida per l’utente IAM*.
**avvertimento**
La modifica delle autorizzazioni per un ruolo di servizio potrebbe interrompere la funzionalità AWS WAF Classic. Modifica i ruoli di servizio solo quando AWS WAF Classic fornisce indicazioni in tal senso.
## Ruoli collegati ai servizi per Classic AWS WAF
**Supporta i ruoli collegati ai servizi:** sì
Un ruolo collegato al servizio è un tipo di ruolo di servizio collegato a un. Servizio AWS Il servizio può assumere il ruolo per eseguire un’operazione per tuo conto. I ruoli collegati al servizio vengono visualizzati nel tuo account Account AWS e sono di proprietà del servizio. Un amministratore IAM può visualizzare le autorizzazioni per i ruoli collegati al servizio, ma non modificarle.
Per informazioni dettagliate sulla creazione o la gestione dei ruoli AWS WAF classici collegati ai servizi, consulta. [Utilizzo di ruoli collegati ai servizi per Classic AWS WAF](classic-using-service-linked-roles.md)
# Esempi di policy basate sull'identità per Classic AWS WAF
**avvertimento**
AWS WAF Classic sta attraversando un processo pianificato. end-of-life Consulta la AWS Health dashboard per le tappe fondamentali e le date specifiche della tua regione.
**Nota**
Questa è la documentazione **AWS WAF classica**. Dovresti usare questa versione solo se hai creato AWS WAF risorse, come regole e web ACLs, AWS WAF prima di novembre 2019 e non le hai ancora migrate alla versione più recente. Per migrare il tuo sito web ACLs, consulta. [Migrazione delle risorse AWS WAF Classic a AWS WAF](waf-migrating-from-classic.md)
**Per la versione più recente di AWS WAF**, vedi[AWS WAF](waf-chapter.md).
Per impostazione predefinita, gli utenti e i ruoli non dispongono dell'autorizzazione per creare o modificare risorse AWS WAF Classic. Per concedere agli utenti l’autorizzazione a eseguire azioni sulle risorse di cui hanno bisogno, un amministratore IAM può creare policy IAM.
Per informazioni su come creare una policy basata su identità IAM utilizzando questi documenti di policy JSON di esempio, consulta [Creazione di policy IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) nella *Guida per l’utente di IAM*.
Per informazioni dettagliate sulle azioni e sui tipi di risorse definiti da AWS WAF Classic, incluso il formato di ARNs per ogni tipo di risorsa, vedere [Azioni, risorse e chiavi di condizione per e](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awswaf.html) [Azioni, risorse AWS WAF e chiavi di condizione per AWS WAF Regionale](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awswafregional.html) nel *Service Authorization Reference*.
**Topics**
+ [Best practice per le policy](#classic-security_iam_service-with-iam-policy-best-practices)
+ [Utilizzo della console Classic AWS WAF](#classic-security_iam_id-based-policy-examples-console)
+ [Consentire agli utenti di visualizzare le loro autorizzazioni](#classic-security_iam_id-based-policy-examples-view-own-permissions)
## Best practice per le policy
Le politiche basate sull'identità determinano se qualcuno può creare, accedere o eliminare le risorse AWS WAF Classic nel tuo account. Queste azioni possono comportare costi aggiuntivi per l’ Account AWS. Quando si creano o modificano policy basate sull’identità, seguire queste linee guida e raccomandazioni:
+ **Inizia con le policy AWS gestite e passa alle autorizzazioni con privilegi minimi: per iniziare a concedere autorizzazioni** *a utenti e carichi di lavoro, utilizza le politiche gestite che concedono le autorizzazioni per molti casi d'uso comuni.AWS * Sono disponibili nel tuo. Account AWS Ti consigliamo di ridurre ulteriormente le autorizzazioni definendo politiche gestite dai AWS clienti specifiche per i tuoi casi d'uso. Per maggiori informazioni, consulta [Policy gestite da AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) o [Policy gestite da AWS per le funzioni dei processi](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) nella *Guida per l’utente di IAM*.
+ **Applicazione delle autorizzazioni con privilegio minimo** - Quando si impostano le autorizzazioni con le policy IAM, concedere solo le autorizzazioni richieste per eseguire un’attività. È possibile farlo definendo le azioni che possono essere intraprese su risorse specifiche in condizioni specifiche, note anche come *autorizzazioni con privilegio minimo*. Per maggiori informazioni sull’utilizzo di IAM per applicare le autorizzazioni, consulta [Policy e autorizzazioni in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) nella *Guida per l’utente di IAM*.
+ **Condizioni d’uso nelle policy IAM per limitare ulteriormente l’accesso** - Per limitare l’accesso ad azioni e risorse è possibile aggiungere una condizione alle policy. Ad esempio, è possibile scrivere una condizione di policy per specificare che tutte le richieste devono essere inviate utilizzando SSL. Puoi anche utilizzare le condizioni per concedere l'accesso alle azioni del servizio se vengono utilizzate tramite uno specifico Servizio AWS, ad esempio CloudFormation. Per maggiori informazioni, consultare la sezione [Elementi delle policy JSON di IAM: condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) nella *Guida per l’utente di IAM*.
+ **Utilizzo dello strumento di analisi degli accessi IAM per convalidare le policy IAM e garantire autorizzazioni sicure e funzionali** - Lo strumento di analisi degli accessi IAM convalida le policy nuove ed esistenti in modo che aderiscano al linguaggio (JSON) della policy IAM e alle best practice di IAM. Lo strumento di analisi degli accessi IAM offre oltre 100 controlli delle policy e consigli utili per creare policy sicure e funzionali. Per maggiori informazioni, consultare [Convalida delle policy per il Sistema di analisi degli accessi IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) nella *Guida per l’utente di IAM*.
+ **Richiedi l'autenticazione a più fattori (MFA**): se hai uno scenario che richiede utenti IAM o un utente root nel Account AWS tuo, attiva l'MFA per una maggiore sicurezza. Per richiedere la MFA quando vengono chiamate le operazioni API, aggiungere le condizioni MFA alle policy. Per maggiori informazioni, consultare [Protezione dell’accesso API con MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) nella *Guida per l’utente di IAM*.
Per maggiori informazioni sulle best practice in IAM, consulta [Best practice di sicurezza in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) nella *Guida per l’utente di IAM*.
## Utilizzo della console Classic AWS WAF
Per accedere alla console AWS WAF Classic, è necessario disporre di un set minimo di autorizzazioni. Queste autorizzazioni devono consentirti di elencare e visualizzare i dettagli sulle risorse della AWS WAF versione classica del tuo. Account AWS Se crei una policy basata sull’identità più restrittiva rispetto alle autorizzazioni minime richieste, la console non funzionerà nel modo previsto per le entità (utenti o ruoli) associate a tale policy.
Non è necessario concedere autorizzazioni minime per la console agli utenti che effettuano chiamate solo verso AWS CLI o l' AWS API. Al contrario, è opportuno concedere l’accesso solo alle azioni che corrispondono all’operazione API che stanno cercando di eseguire.
Gli utenti che possono accedere e utilizzare la AWS console possono accedere anche alla console AWS WAF Classic. Non sono necessarie autorizzazioni supplementari.
## Consentire agli utenti di visualizzare le loro autorizzazioni
Questo esempio mostra in che modo è possibile creare una policy che consente agli utenti IAM di visualizzare le policy inline e gestite che sono collegate alla relativa identità utente. Questo criterio include le autorizzazioni per completare questa azione sulla console o a livello di codice utilizzando l' AWS CLI API o. AWS
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
# Risoluzione dei problemi relativi all'identità e all'accesso AWS WAF classici
**avvertimento**
AWS WAF La versione classica sta attraversando un end-of-life processo pianificato. Consulta la AWS Health dashboard per le tappe e le date specifiche della tua regione.
**Nota**
Questa è la documentazione **AWS WAF classica**. Dovresti usare questa versione solo se hai creato AWS WAF risorse, come regole e web ACLs, AWS WAF prima di novembre 2019 e non le hai ancora migrate alla versione più recente. Per migrare il tuo sito web ACLs, consulta. [Migrazione delle risorse AWS WAF Classic a AWS WAF](waf-migrating-from-classic.md)
**Per la versione più recente di AWS WAF**, vedi[AWS WAF](waf-chapter.md).
Utilizza le seguenti informazioni per aiutarti a diagnosticare e risolvere i problemi più comuni che potresti riscontrare quando lavori con AWS WAF Classic e IAM.
**Topics**
+ [Non sono autorizzato a eseguire un'azione in Classic AWS WAF](#classic-security_iam_troubleshoot-no-permissions)
+ [Non sono autorizzato a eseguire iam: PassRole](#classic-security_iam_troubleshoot-passrole)
+ [Desidero consentire a persone esterne Account AWS a me di accedere alle mie risorse AWS WAF Classic](#classic-security_iam_troubleshoot-cross-account-access)
## Non sono autorizzato a eseguire un'azione in Classic AWS WAF
Se ricevi un errore che indica che non sei autorizzato a eseguire un’operazione, le tue policy devono essere aggiornate per poter eseguire l’operazione.
L’errore di esempio seguente si verifica quando l’utente IAM `mateojackson` prova a utilizzare la console per visualizzare i dettagli relativi a una risorsa `my-example-widget` fittizia ma non dispone di autorizzazioni `waf:GetWidget` fittizie.
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: waf:GetWidget on resource: my-example-widget
```
In questo caso, la policy per l’utente `mateojackson` deve essere aggiornata per consentire l’accesso alla risorsa `my-example-widget` utilizzando l’azione `waf:GetWidget`.
Se hai bisogno di aiuto, contatta il tuo AWS amministratore. L’amministratore è la persona che ti ha fornito le credenziali di accesso.
## Non sono autorizzato a eseguire iam: PassRole
Se ricevi un messaggio di errore indicante che non sei autorizzato a eseguire l'`iam:PassRole`azione, le tue politiche devono essere aggiornate per consentirti di passare un ruolo a AWS WAF Classic.
Alcuni Servizi AWS consentono di trasferire un ruolo esistente a quel servizio anziché creare un nuovo ruolo di servizio o un ruolo collegato al servizio. Per eseguire questa operazione, è necessario disporre delle autorizzazioni per trasmettere il ruolo al servizio.
L'errore di esempio seguente si verifica quando un utente IAM denominato `marymajor` tenta di utilizzare la console per eseguire un'azione in AWS WAF Classic. Tuttavia, l’azione richiede che il servizio disponga delle autorizzazioni concesse da un ruolo di servizio. Mary non dispone delle autorizzazioni per trasmettere il ruolo al servizio.
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
In questo caso, le policy di Mary devono essere aggiornate per poter eseguire l’operazione `iam:PassRole`.
Se hai bisogno di aiuto, contatta il tuo AWS amministratore. L’amministratore è la persona che ti ha fornito le credenziali di accesso.
## Desidero consentire a persone esterne Account AWS a me di accedere alle mie risorse AWS WAF Classic
È possibile creare un ruolo con il quale utenti in altri account o persone esterne all’organizzazione possono accedere alle tue risorse. È possibile specificare chi è attendibile per l’assunzione del ruolo. Per i servizi che supportano politiche basate sulle risorse o liste di controllo degli accessi (ACLs), puoi utilizzare tali politiche per concedere alle persone l'accesso alle tue risorse.
Per maggiori informazioni, consulta gli argomenti seguenti:
+ Per sapere se AWS WAF Classic supporta queste funzionalità, consulta. [Come funziona AWS WAF Classic con IAM](classic-security_iam_service-with-iam.md)
+ Per scoprire come fornire l'accesso alle tue risorse attraverso Account AWS le risorse di tua proprietà, consulta [Fornire l'accesso a un utente IAM in un altro Account AWS di tua proprietà](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) nella *IAM User Guide*.
+ Per scoprire come fornire l'accesso alle tue risorse a terze parti Account AWS, consulta [Fornire l'accesso a soggetti Account AWS di proprietà di terze parti](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) nella *Guida per l'utente IAM*.
+ Per informazioni su come fornire l’accesso tramite la federazione delle identità, consulta [Fornire l’accesso a utenti autenticati esternamente (Federazione delle identità)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) nella *Guida per l’utente IAM*.
+ Per informazioni sulle differenze tra l'utilizzo di ruoli e policy basate su risorse per l'accesso multi-account, consultare [Differenza tra i ruoli IAM e le policy basate su risorse](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_compare-resource-policies.html) nella *Guida per l'utente di IAM*.
# Utilizzo di ruoli collegati ai servizi per Classic AWS WAF
**avvertimento**
AWS WAF Classic sta attraversando un processo pianificato end-of-life. Consulta la AWS Health dashboard per le tappe fondamentali e le date specifiche della tua regione.
**Nota**
Questa è la documentazione **AWS WAF classica**. Dovresti usare questa versione solo se hai creato AWS WAF risorse, come regole e web ACLs, AWS WAF prima di novembre 2019 e non le hai ancora migrate alla versione più recente. Per migrare il tuo sito web ACLs, consulta. [Migrazione delle risorse AWS WAF Classic a AWS WAF](waf-migrating-from-classic.md)
**Per la versione più recente di AWS WAF**, vedi[AWS WAF](waf-chapter.md).
AWS WAF La versione classica utilizza AWS Identity and Access Management ruoli [collegati ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) (IAM). Un ruolo collegato ai servizi è un tipo unico di ruolo IAM collegato direttamente a Classic. AWS WAF I ruoli collegati ai servizi sono predefiniti da AWS WAF Classic e includono tutte le autorizzazioni richieste dal servizio per chiamare altri servizi per tuo conto. AWS
Un ruolo collegato ai servizi semplifica la configurazione di AWS WAF Classic perché non è necessario aggiungere manualmente le autorizzazioni necessarie. AWS WAF Classic definisce le autorizzazioni dei suoi ruoli collegati ai servizi e, se non diversamente definito, solo AWS WAF Classic può assumerne i ruoli. Le autorizzazioni definite includono policy di attendibilità e di autorizzazioni. Questa policy delle autorizzazioni non può essere collegata ad alcun'altra entità IAM.
È possibile eliminare un ruolo collegato ai servizi solo dopo aver eliminato le risorse correlate. In questo modo proteggi le tue risorse AWS WAF Classic perché non puoi rimuovere inavvertitamente l'autorizzazione ad accedere alle risorse.
Per informazioni sugli altri servizi che supportano i ruoli collegati ai servizi, consulta la sezione [Servizi AWS che funzionano con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) e cerca i servizi che riportano **Sì** nella colonna **Ruolo associato ai servizi**. Scegli **Sì** in corrispondenza di un link per visualizzare la documentazione relativa al ruolo collegato ai servizi per tale servizio.
## Autorizzazioni di ruolo collegate al servizio per Classic AWS WAF
AWS WAF Classic utilizza i seguenti ruoli collegati ai servizi:
+ `AWSServiceRoleForWAFLogging`
+ `AWSServiceRoleForWAFRegionalLogging`
AWS WAF Classic utilizza questi ruoli collegati ai servizi per scrivere log su Amazon Data Firehose. Questi ruoli vengono utilizzati solo se abiliti l'accesso. AWS WAF Per ulteriori informazioni, consulta [Registrazione informazioni di traffico ACL Web](classic-logging.md).
I ruoli `AWSServiceRoleForWAFRegionalLogging` collegati ai servizi `AWSServiceRoleForWAFLogging` e affidano il ruolo ai seguenti servizi (rispettivamente):
+ `waf.amazonaws.com`
`waf-regional.amazonaws.com`
Le politiche di autorizzazione dei ruoli consentono a AWS WAF Classic di completare le seguenti azioni sulle risorse specificate:
+ Azione: `firehose:PutRecord` e `firehose:PutRecordBatch` su Amazon Data Firehose risorse di flusso di dati con un nome che inizia con "aws-waf-logs-». Ad esempio, `aws-waf-logs-us-east-2-analytics`.
Per consentire a un'entità IAM (come un utente, un gruppo o un ruolo) di creare, modificare o eliminare un ruolo collegato al servizio è necessario configurare le relative autorizzazioni. Per ulteriori informazioni, consulta [Autorizzazioni del ruolo collegato ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) nella *Guida per l'utente di IAM*.
## Creazione di un ruolo collegato ai servizi per Classic AWS WAF
Non hai bisogno di creare manualmente un ruolo collegato ai servizi. Quando abiliti l'accesso AWS WAF classico o Console di gestione AWS effettui una `PutLoggingConfiguration` richiesta nella CLI AWS WAF classica o nell'API classica AWS WAF , Classic crea automaticamente AWS WAF il ruolo collegato al servizio.
È necessario disporre dell'autorizzazione `iam:CreateServiceLinkedRole` per attivare la registrazione.
Se elimini questo ruolo collegato al servizio, è possibile ricrearlo seguendo lo stesso processo utilizzato per ricreare il ruolo nell’account. Quando abiliti la registrazione AWS WAF classica, AWS WAF Classic crea nuovamente il ruolo collegato al servizio per te.
## Modifica di un ruolo collegato al servizio per Classic AWS WAF
AWS WAF La versione classica non consente di modificare i ruoli `AWSServiceRoleForWAFLogging` e i ruoli collegati al `AWSServiceRoleForWAFRegionalLogging` servizio. Dopo aver creato un ruolo collegato al servizio, non è possibile modificarne il nome, perché potrebbero farvi riferimento diverse entità. È possibile tuttavia modificarne la descrizione utilizzando IAM. Per ulteriori informazioni, consulta la sezione [Modifica di un ruolo collegato ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) nella *Guida per l'utente di IAM*.
## Eliminazione di un ruolo collegato al servizio per Classic AWS WAF
Se non è più necessario utilizzare una funzionalità o un servizio che richiede un ruolo collegato al servizio, ti consigliamo di eliminare il ruolo. In questo modo non sarà più presente un'entità non utilizzata che non viene monitorata e gestita attivamente. Tuttavia, è necessario effettuare la pulizia delle risorse associate al ruolo collegato al servizio prima di poterlo eliminare manualmente.
**Nota**
Se il servizio AWS WAF Classic utilizza il ruolo quando si tenta di eliminare le risorse, l'eliminazione potrebbe non riuscire. In questo caso, attendi alcuni minuti e quindi ripeti l’operazione.
**Per eliminare le risorse della AWS WAF versione classica utilizzate da `AWSServiceRoleForWAFLogging` e `AWSServiceRoleForWAFRegionalLogging`**
1. Sulla console AWS WAF Classic, rimuovi la registrazione da ogni ACL Web. Per ulteriori informazioni, consulta [Registrazione informazioni di traffico ACL Web](classic-logging.md).
1. Utilizzando l'API o l'interfaccia CLI, inviare una richiesta di `DeleteLoggingConfiguration` per ogni ACL Web che ha la registrazione attivata. Per ulteriori informazioni, consulta [AWS WAF Classic API](https://docs.aws.amazon.com/waf/latest/APIReference/Welcome.html) Reference.
**Per eliminare manualmente il ruolo collegato ai servizi mediante IAM**
Utilizza la console IAM, l'IAM CLI o l'API IAM per eliminare i ruoli `AWSServiceRoleForWAFLogging` e i ruoli collegati ai `AWSServiceRoleForWAFRegionalLogging` servizi. Per ulteriori informazioni, consulta [Eliminazione del ruolo collegato al servizio](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) nella *Guida per l’utente di IAM*.
## Regioni supportate per i ruoli classici collegati ai servizi AWS WAF
AWS WAF La versione classica supporta l'utilizzo di ruoli collegati ai servizi nei seguenti casi. Regioni AWS
****
| Nome della regione | Identità della regione | Support nella AWS WAF versione classica |
| --- | --- | --- |
| Stati Uniti orientali (Virginia settentrionale) | us-east-1 | Sì |
| Stati Uniti orientali (Ohio) | us-east-2 | Sì |
| Stati Uniti occidentali (California settentrionale) | us-west-1 | Sì |
| US West (Oregon) | us-west-2 | Sì |
| Asia Pacifico (Mumbai) | ap-south-1 | Sì |
| Asia Pacifico (Osaka) | ap-northeast-3 | Sì |
| Asia Pacifico (Seul) | ap-northeast-2 | Sì |
| Asia Pacifico (Singapore) | ap-southeast-1 | Sì |
| Asia Pacifico (Sydney) | ap-southeast-2 | Sì |
| Asia Pacifico (Tokyo) | ap-northeast-1 | Sì |
| Canada (Centrale) | ca-central-1 | Sì |
| Europa (Francoforte) | eu-central-1 | Sì |
| Europa (Irlanda) | eu-west-1 | Sì |
| Europa (Londra) | eu-west-2 | Sì |
| Europa (Parigi) | eu-west-3 | Sì |
| Sud America (San Paolo) | sa-east-1 | Sì |
# Registrazione e monitoraggio nella versione classica AWS WAF
**avvertimento**
AWS WAF La versione classica è che sta attraversando un end-of-life processo pianificato. Consulta la AWS Health dashboard per le tappe fondamentali e le date specifiche della tua regione.
**Nota**
Questa è la documentazione **AWS WAF classica**. Dovresti usare questa versione solo se hai creato AWS WAF risorse, come regole e web ACLs, AWS WAF prima di novembre 2019 e non le hai ancora migrate alla versione più recente. Per migrare il tuo sito web ACLs, consulta. [Migrazione delle risorse AWS WAF Classic a AWS WAF](waf-migrating-from-classic.md)
**Per la versione più recente di AWS WAF**, vedi[AWS WAF](waf-chapter.md).
Il monitoraggio è una parte importante per mantenere l'affidabilità, la disponibilità e le prestazioni di AWS WAF Classic e delle tue AWS soluzioni. È necessario raccogliere i dati di monitoraggio da tutte le parti della AWS soluzione in modo da poter eseguire più facilmente il debug di un errore multipunto, se si verifica. AWS fornisce diversi strumenti per monitorare le risorse AWS WAF Classic e rispondere a potenziali eventi:
** CloudWatch Allarmi Amazon**
Utilizzando gli CloudWatch allarmi, controlli una singola metrica per un periodo di tempo specificato. Se la metrica supera una determinata soglia, CloudWatch invia una notifica a un argomento o una policy di Amazon SNS. AWS Auto Scaling Per ulteriori informazioni, consulta [Monitoraggio con Amazon CloudWatch](monitoring-cloudwatch.md).
**AWS CloudTrail Registri**
CloudTrail fornisce un registro delle azioni intraprese da un utente, un ruolo o un AWS servizio in AWS WAF Classic. Utilizzando le informazioni raccolte da CloudTrail, è possibile determinare la richiesta effettuata a AWS WAF Classic, l'indirizzo IP da cui è stata effettuata, chi ha effettuato la richiesta, quando è stata effettuata e ulteriori dettagli. Per ulteriori informazioni, consulta [Registrazione delle chiamate API di AWS CloudTrail con](logging-using-cloudtrail.md).
# Convalida della conformità per Classic AWS WAF
**avvertimento**
AWS WAF La versione classica consiste nel seguire un end-of-life processo pianificato. Consulta la AWS Health dashboard per le tappe e le date specifiche della tua regione.
**Nota**
Questa è la documentazione **AWS WAF classica**. Dovresti usare questa versione solo se hai creato AWS WAF risorse, come regole e web ACLs, AWS WAF prima di novembre 2019 e non le hai ancora migrate alla versione più recente. Per migrare il tuo sito web ACLs, consulta. [Migrazione delle risorse AWS WAF Classic a AWS WAF](waf-migrating-from-classic.md)
**Per la versione più recente di AWS WAF**, vedi[AWS WAF](waf-chapter.md).
Per sapere se un Servizio AWS programma rientra nell'ambito di specifici programmi di conformità, consulta Servizi AWS la sezione [Scope by Compliance Program Servizi AWS](https://aws.amazon.com/compliance/services-in-scope/) e scegli il programma di conformità che ti interessa. Per informazioni generali, consulta Programmi di [AWS conformità Programmi](https://aws.amazon.com/compliance/programs/) di di .
È possibile scaricare report di audit di terze parti utilizzando AWS Artifact. Per ulteriori informazioni, consulta [Scaricamento dei report in AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html) .
La vostra responsabilità di conformità durante l'utilizzo Servizi AWS è determinata dalla sensibilità dei dati, dagli obiettivi di conformità dell'azienda e dalle leggi e dai regolamenti applicabili. Per ulteriori informazioni sulla responsabilità di conformità durante l'utilizzo Servizi AWS, consulta [AWS la documentazione sulla sicurezza](https://docs.aws.amazon.com/security/).
# Resilienza nella versione classica AWS WAF
**avvertimento**
AWS WAF Classic sta attraversando un processo pianificato. end-of-life Consulta la AWS Health dashboard per le tappe fondamentali e le date specifiche della tua regione.
**Nota**
Questa è la documentazione **AWS WAF classica**. Dovresti usare questa versione solo se hai creato AWS WAF risorse, come regole e web ACLs, AWS WAF prima di novembre 2019 e non le hai ancora migrate alla versione più recente. Per migrare il tuo sito web ACLs, consulta. [Migrazione delle risorse AWS WAF Classic a AWS WAF](waf-migrating-from-classic.md)
**Per la versione più recente di AWS WAF**, vedi[AWS WAF](waf-chapter.md).
L'infrastruttura AWS globale è costruita attorno a Regioni AWS zone di disponibilità. Regioni AWS forniscono più zone di disponibilità fisicamente separate e isolate, collegate con reti a bassa latenza, ad alto throughput e altamente ridondanti. Con le zone di disponibilità, è possibile progettare e gestire applicazioni e database che eseguono il failover automatico tra zone di disponibilità senza interruzioni. Le zone di disponibilità sono più disponibili, tolleranti ai guasti e scalabili rispetto alle infrastrutture tradizionali a data center singolo o multiplo.
[Per ulteriori informazioni sulle zone di disponibilità, vedere Global Regioni AWS Infrastructure.AWS](https://aws.amazon.com/about-aws/global-infrastructure/)
# Sicurezza dell'infrastruttura in AWS WAF Classic
**avvertimento**
AWS WAF Classic sta attraversando un end-of-life processo pianificato. Consulta la AWS Health dashboard per le tappe fondamentali e le date specifiche della tua regione.
**Nota**
Questa è la documentazione **AWS WAF classica**. Dovresti usare questa versione solo se hai creato AWS WAF risorse, come regole e web ACLs, AWS WAF prima di novembre 2019 e non le hai ancora migrate alla versione più recente. Per migrare il tuo sito web ACLs, consulta. [Migrazione delle risorse AWS WAF Classic a AWS WAF](waf-migrating-from-classic.md)
**Per la versione più recente di AWS WAF**, vedi[AWS WAF](waf-chapter.md).
In quanto servizio gestito, AWS WAF Classic è protetto dalla sicurezza di rete AWS globale. Per informazioni sui servizi AWS di sicurezza e su come AWS protegge l'infrastruttura, consulta [AWS Cloud Security](https://aws.amazon.com/security/). Per progettare il tuo AWS ambiente utilizzando le migliori pratiche per la sicurezza dell'infrastruttura, vedi [Infrastructure Protection](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html) in *Security Pillar AWS Well‐Architected* Framework.
Utilizzi chiamate API AWS pubblicate per accedere a AWS WAF Classic attraverso la rete. I client devono supportare quanto segue:
+ Transport Layer Security (TLS). È richiesto TLS 1.2 ed è consigliato TLS 1.3.
+ Suite di cifratura con Perfect Forward Secrecy (PFS), ad esempio Ephemeral Diffie-Hellman (DHE) o Elliptic Curve Ephemeral Diffie-Hellman (ECDHE). La maggior parte dei sistemi moderni, come Java 7 e versioni successive, supporta tali modalità.
# AWS WAF Quote classiche
**avvertimento**
AWS WAF Classic sta attraversando un end-of-life processo pianificato. Consulta la AWS Health dashboard per le tappe e le date specifiche della tua regione.
**Nota**
Questa è la documentazione **AWS WAF classica**. Dovresti usare questa versione solo se hai creato AWS WAF risorse, come regole e web ACLs, AWS WAF prima di novembre 2019 e non le hai ancora migrate alla versione più recente. Per migrare il tuo sito web ACLs, consulta. [Migrazione delle risorse AWS WAF Classic a AWS WAF](waf-migrating-from-classic.md)
**Per la versione più recente di AWS WAF**, vedi[AWS WAF](waf-chapter.md).
AWS WAF Classic è soggetto alle seguenti quote (precedentemente denominate limiti).
AWS WAF Classic ha quote predefinite sul numero di entità per account per regione. È possibile [richiedere un aumento](https://console.aws.amazon.com/support/home#/case/create?issueType=service-limit-increase&limitType=service-code-waf) delle quote.
| Risorsa | Quota predefinita per account per regione |
| --- | --- |
| Web ACLs | 50 |
| Regole | 100 |
| Rate-based-rules | 5 |
| Condizioni per account per regione | Per tutte le condizioni tranne regex match e geo match, 100 per ogni tipo di condizione. Ad esempio, 100 condizioni di vincolo di dimensione e 100 condizioni di corrispondenza IP. Per le condizioni di regex e geo match, consultate la tabella seguente. |
| Richieste al secondo | 25.000 per lista di controllo degli accessi Web\$1 |
\$1Questa quota si applica solo a AWS WAF Classic on an Application Load Balancer. [Le quote RPS (Requests per Second) per AWS WAF Classic on CloudFront sono le stesse supportate per le quote RPS, descritte nella Developer CloudFront Guide. CloudFront ](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/cloudfront-limits.html)
Le seguenti quote sulle entità AWS WAF Classic non possono essere modificate.
| Risorsa | Quota per account per regione |
| --- | --- |
| Gruppi di regole per ACL Web | 2:1 gruppo di regole creato dal cliente e 1 gruppo di regole Marketplace AWS |
| Regole per lista di controllo degli accessi Web | 10 |
| Condizioni per regola | 10 |
| Intervalli di indirizzi IP (in notazione CIDR) per condizione di corrispondenza IP | 10.000Puoi aggiornare fino a 1.000 indirizzi alla volta. La chiamata API `UpdateIPSet` accetta un massimo di 1.000 indirizzi in una singola richiesta. |
| Indirizzi IP bloccati per ogni regola basata sulla frequenza | 10.000 |
| Limite frequenza della regola basata sulla frequenza minima per un periodo di 5 minuti | 100 |
| Filtri per condizione di corrispondenza Cross-site scripting | 10 |
| Filtri per condizione di vincolo di dimensione | 10 |
| Filtri per condizione di corrispondenza SQL injection | 10 |
| Filtri per condizione di corrispondenza stringa | 10 |
| In condizioni di corrispondenza delle stringhe, il numero di caratteri nei nomi delle intestazioni HTTP, se hai configurato AWS WAF Classic per controllare le intestazioni nelle richieste Web alla ricerca di un valore specificato | 40 |
| In condizioni di corrispondenza delle stringhe, il numero di caratteri del valore che vuoi che AWS WAF Classic cerchi | 50 |
| Condizioni di corrispondenza Regex | 10 |
| Nelle condizioni di corrispondenza regex, il numero di caratteri del pattern che AWS WAF Classic deve cercare | 70 |
| Nelle condizioni di corrispondenza regex, il numero di modelli per ogni set di modelli | 10 |
| Nelle condizioni di corrispondenza regex, il numero di set del modello per ogni condizione regex | 1 |
| Set di pattern | 5 |
| Condizioni di geo-match | 50 |
| Posizioni per condizione di corrispondenza geografica | 50 |
AWS WAF Classic ha le seguenti quote fisse di chiamate per account per regione. Queste quote si applicano al totale delle chiamate al servizio tramite qualsiasi mezzo disponibile, tra cui la console, la CLI AWS CloudFormation, l'API REST e. SDKs Queste quote non possono essere modificate.
| Tipo di chiamata | Quota per account per regione |
| --- | --- |
| Numero massimo di chiamate a AssociateWebACL | 1 richiesta ogni 2 secondi |
| Numero massimo di chiamate a DisassociateWebACL | 1 richiesta ogni 2 secondi |
| Numero massimo di chiamate a GetWebACLForResource | 1 richiesta al secondo |
| Numero massimo di chiamate a ListResourcesForWebACL | 1 richiesta al secondo |
| Numero massimo di chiamate a CreateWebACLMigrationStack | 1 richiesta al secondo |
| Numero massimo di chiamate a GetChangeToken | 10 richieste al secondo |
| Numero massimo di chiamate a GetChangeTokenStatus | 1 richiesta al secondo |
| Numero massimo di chiamate a qualsiasi operazione singola List, se per l'operazione non è definita una quota diversa | 5 richieste al secondo |
| Numero massimo di chiamate a qualsiasi operazione singola Create, Put, Get o Update, se per l'operazione non è definita una quota diversa | 1 richiesta al secondo |