**Apresentando uma nova experiência de console para AWS WAF**
Agora você pode usar a experiência atualizada para acessar a AWS WAF funcionalidade em qualquer lugar do console. Para obter mais detalhes, consulte [Trabalhando com o console](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html).
As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Como AWS WAF funciona
Você usa AWS WAF para controlar como seus recursos protegidos respondem às solicitações da web HTTP (S). Isso é feito por meio da definição de uma lista de controle de acesso (ACL da Web) e sua associação a um ou mais recursos de aplicação da Web que você queira proteger. Os recursos associados encaminham as solicitações recebidas AWS WAF para inspeção pela ACL da web.
O **novo console** simplifica o processo de configuração da ACL da Web. Ele apresenta pacotes de proteção para agilizar a configuração e, ao mesmo tempo, manter total controle de suas regras de segurança.
Os pacotes de proteção são o novo local da Web ACLs e simplificam o gerenciamento da ACL da Web no console, mas não alteram a funcionalidade subjacente da ACL da Web. Ao usar o console padrão ou a API, você ainda trabalhará diretamente com a web ACLs.
No pacote de proteção (ACL da Web), você cria regras para definir padrões de tráfego a serem procurados nas solicitações e para especificar as ações a serem tomadas nas solicitações que corresponderem às regras. As opções de ações incluem o seguinte:
+ Permitir que a solicitação seja encaminhada para o recurso protegido para processamento e resposta.
+ Bloquear as solicitações.
+ Contar as solicitações.
+ Executar o CAPTCHA ou contestar verificações em relação às solicitações para verificar os usuários humanos e o uso do navegador padrão.
**AWS WAF componentes**
A seguir estão os componentes centrais de AWS WAF:
+ **web ACLs** — Você usa uma lista de controle de acesso à web (web ACL) para proteger um conjunto de AWS recursos. Você cria uma web ACL e define sua estratégia de proteção adicionando regras. As regras definem critérios para inspecionar solicitações da web e especificam ação a ser tomadem relação a solicitações que correspondam aos critérios. Você também define uma ação padrão para a web ACL que indica se deve bloquear ou permitir qualquer solicitação que as regras ainda não tenham bloqueado ou permitido. Para obter mais informações sobre a web ACLs, consulte[Configurando a proteção em AWS WAF](web-acl.md).
Uma ACL da web é um AWS WAF recurso.
+ Pacotes de **proteção (Web ACLs)** — No novo console, os pacotes de proteção são o novo local para sua web. ACLs Durante a configuração, você fornece informações sobre seus aplicativos e recursos. AWS WAF recomenda um pacote de proteção adaptado ao seu cenário e, em seguida, cria uma Web ACL que contém regras, grupos de regras e ações definidas pelo pacote de proteção (Web ACL) que você escolher. Para obter mais informações sobre pacotes de proteção (web ACLs), consulte[Configurando a proteção em AWS WAF](web-acl.md).
Um pacote de proteção (Web ACL) é um AWS WAF recurso.
+ **Regras**: cada regra contém uma instrução que define os critérios de inspeção e uma ação a ser tomada se uma solicitação da web atender aos critérios. Quando uma solicitação da web atende aos critérios, isso é uma correspondência. Você pode configurar regras para bloquear solicitações correspondentes, permitir que elas sejam atendidas, contá-las ou executar Controles de Bots contra elas que usam quebra-cabeças CAPTCHA ou desafios silenciosos do navegador do cliente. Para saber mais sobre regras de , consulte [AWS WAF regras](waf-rules.md).
Uma regra não é um AWS WAF recurso. Ela só existe no contexto de um pacote de proteção (ACL da Web) ou de um grupo de regras.
+ **Grupos de regras** — Você pode definir regras diretamente dentro de um pacote de proteção (Web ACL) ou em grupos de regras reutilizáveis. AWS As regras gerenciadas e AWS Marketplace os vendedores fornecem grupos de regras gerenciados para seu uso. Você também pode definir seus próprios grupos de regras. Para saber mais sobre grupos de regras, consulte [AWS WAF grupos de regras](waf-rule-groups.md).
Um grupo de regras é um AWS WAF recurso.
+ **unidades de capacidade de ACL da web (WCUs)** — AWS WAF usa WCUs para calcular e controlar os recursos operacionais necessários para executar suas regras, grupos de regras, pacotes de proteção (web ACLs) ou web. ACLs
Uma WCU não é um AWS WAF recurso. Só existe no contexto de um pacote de proteção (ACL da Web), de uma regra ou de um grupo de regras.
# Recursos que você pode proteger com AWS WAF
Você pode usar um pacote de AWS WAF proteção (Web ACL) para proteger tipos de recursos globais ou regionais. Isso é feito por meio da associação de um pacote de proteção (ACL da Web) com os recursos que você deseja proteger. O pacote de proteção (Web ACL) e todos AWS WAF os recursos que ele usa devem estar localizados na região em que o recurso associado está localizado. Para CloudFront distribuições da Amazon, isso é definido como Leste dos EUA (Norte da Virgínia).
**CloudFront Distribuições da Amazon**
Você pode associar um pacote de AWS WAF proteção (web ACL) a uma CloudFront distribuição usando o AWS WAF console ou APIs. Você também pode associar um pacote de proteção (web ACL) a uma CloudFront distribuição ao criar ou atualizar a própria distribuição. Para configurar uma associação em AWS CloudFormation, você deve usar a configuração CloudFront de distribuição. Para obter informações sobre a Amazon CloudFront, consulte [Como usar AWS WAF para controlar o acesso ao seu conteúdo](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/distribution-web-awswaf.html) no *Amazon CloudFront Developer Guide*.
AWS WAF está disponível globalmente para CloudFront distribuições, mas você deve usar a Região Leste dos EUA (Norte da Virgínia) para criar seu pacote de proteção (web ACL) e quaisquer recursos usados no pacote de proteção (web ACL), como grupos de regras, conjuntos de IP e conjuntos de padrões regex. Algumas interfaces oferecem uma opção de região de “Global (CloudFront)”. Escolher isso é idêntico a escolher a região Leste dos EUA (N. da Virgínia) ou “us-east-1”.
**recursos regionais**
Você pode proteger os recursos regionais em todas as regiões em AWS WAF que estiverem disponíveis. Você pode ver a lista em [endpoints e cotas do AWS WAF](https://docs.aws.amazon.com/general/latest/gr/waf.html) no *Referência geral da Amazon Web Services*.
Você pode usar AWS WAF para proteger os seguintes tipos de recursos regionais:
+ API REST do Amazon API Gateway
+ Application Load Balancer
+ AWS AppSync API do GraphQL
+ Grupo de usuários do Amazon Cognito
+ AWS App Runner serviço
+ AWS Instância de acesso verificado
+ AWS Amplify
Você só poderá associar um pacote de proteção (ACL da Web) a um Application Load Balancer que esteja nas Regiões da AWS. Por exemplo, você não poderá associar um pacote de proteção (ACL da Web) a um Application Load Balancer que esteja em AWS Outposts.
Você deve criar qualquer pacote de proteção (web ACL) que queira associar a um aplicativo Amplify na CloudFront região global. Talvez você já tenha um pacote de proteção regional (web ACL) no seu Conta da AWS, mas eles não são compatíveis com o Amplify.
O pacote de proteção (Web ACL) e quaisquer outros AWS WAF recursos que ele usa devem estar localizados na mesma região dos recursos protegidos. Ao monitorar e gerenciar solicitações da web para um recurso regional protegido, AWS WAF mantém todos os dados na mesma região do recurso protegido.
**Restrições às associações de múltiplos recursos**
Você pode associar um único pacote de proteção (Web ACL) a um ou mais AWS recursos, com as seguintes restrições:
+ Você pode associar cada AWS recurso a apenas um pacote de proteção (Web ACL). A relação entre o pacote de proteção (Web ACL) e AWS os recursos é one-to-many.
+ Você pode associar um pacote de proteção (web ACL) a uma ou mais CloudFront distribuições. Você não pode associar um pacote de proteção (web ACL) associado a uma CloudFront distribuição a nenhum outro tipo de AWS recurso.
# Trabalhar com a experiência atualizada do console
AWS WAF oferece duas opções para usar o console:
O **novo console** visa simplificar o processo de configuração da ACL da Web exigido pelos fluxos de trabalho padrão do console. Você pode usar fluxos de trabalho guiados para simplificar o processo de criação e gerenciamento de pacotes de ACLs da Web por meio de um pacote de proteção (ACL da Web). Um pacote de proteção (Web ACL) facilita o uso e o gerenciamento da Web ACLs no console, mas não é funcionalmente diferente de uma ACL da Web. Além do processo aprimorado de configuração de proteção, o novo console oferece maior visibilidade de suas proteções por meio de painéis de segurança, facilitando o monitoramento de sua postura de segurança no console. AWS WAF
O ** AWS WAF console padrão** fornece uma abordagem tradicional para configurar as proteções de firewall de aplicativos web usando a web. ACLs Ele oferece controle granular sobre regras individuais e grupos de regras e é familiar aos AWS WAF usuários existentes. Com esse console, você tem controle detalhado de as configurações de proteção, permitindo a personalização precisa das configurações de segurança.
**dica**
Escolha a experiência de console que melhor atenda às suas necessidades. Se você é novato AWS WAF ou deseja começar a configurar as proteções com base nas AWS recomendações, recomendamos começar com a nova experiência do console. Porém, a experiência padrão está sempre disponível para ser aberta no painel de navegação no console.
## Paridade de atributos entre a nova experiência e a experiência padrão do de console
A nova experiência do console mantém a paridade total de atributos com o console existente, ao mesmo tempo em que introduz novos recursos:
+ Todas as AWS WAF funcionalidades existentes permanecem disponíveis
+ Visibilidade aprimorada por meio de painéis unificados
+ Fluxos de trabalho de configuração simplificados
+ Novos modelos de pacote de proteção (ACL da Web)
**Importante**
A nova experiência do console usa a WAFv2 APIs mesma do console existente. Isso significa que os pacotes de proteção criados no novo console são implementados como WAFv2 web padrão ACLs no nível da API.
## Principais diferenças
**Comparação das experiências do console**
| Recurso | Experiência anterior com AWS WAF console | Experiência atualizada do console |
| --- | --- | --- |
| Processo de configuração | Fluxo de trabalho de várias páginas | Interface de página única |
| Configuração de regras | Criação de regras individuais | Opção para pacotes de proteção pré-configurados |
| Monitoramento | Painéis separados | Visibilidade unificada, incluindo análise de tráfego de IA |
## Entender o painel
Os painéis disponíveis proporcionam visibilidade unificada de sua postura de segurança por meio destas visualizações:
**Recomendações de informações de tráfego** — O AWS Threat Intelligence monitora suas duas semanas anteriores de tráfego permitido, analisa as vulnerabilidades e fornece o seguinte:
+ Sugestões de regras baseadas no tráfego
+ Recomendações de segurança específicas da aplicação
+ Orientação para otimização da proteção
**Resumo**: mostra as contagens de solicitações de todo o tráfego durante um intervalo de tempo especificado. Você pode usar os seguintes critérios para filtrar dados de tráfego:
+ **Regra**: filtre pelas regras individuais do pacote de proteção.
+ **Ações**: mostre as contagens de ações específicas realizadas no tráfego, como Permitir, Bloquear, Captcha e Desafio.
+ **Tipo de tráfego** — Mostra somente contagens de tipos específicos de tráfego, como anti- DDo S ou bots.
+ **Intervalo de tempo**: escolha entre os intervalos de tempo predefinidos selecionados ou defina um intervalo personalizado.
+ **Hora local ou UTC**: você pode definir seu formato de hora preferido.
**Análise de tráfego de IA** — fornece visibilidade abrangente da atividade de bots e agentes de IA:
+ **Identificação de bots** — nomes, organizações e status de verificação dos bots.
+ **Análise de intenção** — Propósito e padrões de comportamento dos agentes de IA.
+ **Padrões de acesso** — acessados URLs e endpoints com mais frequência.
+ **Tendências temporais** — Padrões de atividade por hora do dia e tendências históricas (0 a 14 dias).
+ **Características do tráfego** — Volume, distribuição e detecção de anomalias para tráfego de IA.
**Atividade de proteção**: visualiza suas regras de proteção e como a ordem delas contribui para ações de encerramento.
+ **Fluxo de tráfego por meio de suas regras**: mostre o fluxo de tráfego por meio de suas regras. Alterne da **Visão sequencial das regras ** para **Visão não sequencial das regras** para ver como a ordem das regras afeta os resultados.
+ **Ações da regras e seus resultados**: mostra as ações de encerramento que uma regra realizou no tráfego no período especificado.
**Total de ações**: um gráfico que visualiza o número total de ações realizadas em solicitações durante um intervalo de tempo especificado. Use a opção **Sobrepor as últimas 3 horas** para comparar o intervalo de tempo atual com a janela de 3 horas anterior. É possível filtrar os dados por:
+ **Ação Permitir**
+ **Total de ações**
+ **Ações de Captcha**
+ **Ações de desafio**
+ **Ações Bloquear**
**Todas as regras**: um gráfico que visualiza as métricas de todas as regras do pacote de proteção.
+ Use a opção **Sobrepor as últimas 3 horas** para comparar o intervalo de tempo atual com a janela de 3 horas anterior.
**Painel de visão geral**: proporciona uma visão gráfica abrangente do status da segurança, incluindo o seguinte:
+ **Características do tráfego**: tenha uma visão geral do tráfego por origem, tipos de ataque ou tipo de dispositivo dos clientes que enviaram solicitações.
+ **Características das regras**: um detalhamento dos ataques separados pelas dez regras mais comuns e pelas ações de encerramento.
+ **Bots**: visualize a atividade, a detecção, as categorias de bots e os rótulos de sinais relacionados a bots.
+ **DDoAnti-S** — Uma visão geral da atividade detectada e mitigada da camada 7 DDo S.