Introdução ao AWS WAF usando a experiência padrão do console - Administrador de segurança da rede do AWS WAF, AWS Firewall Manager, AWS Shield Advanced e AWS Shield
Etapa 1: configurar o AWS WAFEtapa 2: criar uma ACL da WebEtapa 3: adicionar uma regra de correspondência de stringEtapa 4: adicionar um grupo de regras das Regras Gerenciadas da AWSEtapa 5: concluir a configuração da web ACLEtapa 6: limpar os recursos

Apresentação de uma nova experiência de console para o AWS WAF

Agora você pode usar a experiência atualizada para acessar a funcionalidade do AWS WAF em qualquer lugar no console. Consulte mais detalhes em Trabalhar com a experiência atualizada do console.

Introdução ao AWS WAF usando a experiência padrão do console

O console do AWS WAF orienta você durante o processo de configuração do AWS WAF para bloquear ou permitir solicitações da web de acordo com as condições que você especifica, como endereços IP dos quais as solicitações se originam ou valores nas solicitações. Nesta etapa, você cria um pacote de proteção (ACL da Web). Para obter mais informações sobre os pacotes de proteção (ACLs da Web) do AWS WAF, consulte Configurar proteção no AWS WAF.

Este tutorial mostra como usar o AWS WAF para executar as seguintes tarefas:

  • Configurar o AWS WAF.

  • Crie uma lista de controle de acesso à web (web ACL) usando o assistente no console do AWS WAF.

    Para criar uma web ACL

    1. Faça login no Console de gerenciamento da AWS e abra o console do AWS WAF em https://console.aws.amazon.com/wafv2/homev2.

    2. Na página inicial do AWS WAF, escolha Criar web ACL.

    3. Em Nome, insira o nome que deseja usar para identificar esta web ACL.

      nota

      Você não pode alterar o nome depois de criar a web ACL.

    4. (Opcional) Em Descrição: opcional, insira uma descrição mais longa para a web ACL, se desejar.

    5. Em Nome da métrica do CloudWatch, altere o nome padrão, se aplicável. Siga as orientações no console para usar caracteres válidos. O nome não pode conter caracteres especiais, espaços em branco ou nomes de métrica reservados para o AWS WAF, incluindo “All” e “Default_Action”.

      nota

      Você não pode alterar o nome da métrica do CloudWatch depois de criar a web ACL.

    6. Em Tipo de recurso, escolha Distribuições do CloudFront. A Região é preenchida automaticamente como Global (CloudFront) em distribuições do CloudFront.

    7. (Opcional) Para recursos da AWS associados: opcional, escolha Adicionar recursos da AWS. Na caixa de diálogo, escolha os recursos que deseja associar e, em seguida, escolha Adicionar. O AWS WAF retorna você à página Descrever web ACL e recursos da AWS associados.

    8. Escolha Próximo.

nota

A AWS normalmente cobra menos de 0,25 USD por dia pelos recursos criados neste tutorial. Quando você tiver concluído o tutorial, recomendamos que exclua os recursos para impedir cobranças desnecessárias.

Etapa 1: configurar o AWS WAF

Se você ainda não seguiu as etapas gerais de configuração em Como configurar sua conta para usar os serviços, faça isso agora.

Etapa 2: criar uma ACL da Web

O console do AWS WAF orienta você durante o processo de configuração do AWS WAF para bloquear ou permitir solicitações da web de acordo com as condições que você especifica, como endereços IP dos quais as solicitações se originam ou valores nas solicitações. Nesta etapa, você cria uma web ACL. Para obter mais informações web ACLs de AWS WAF, consulte Configurar proteção no AWS WAF.

Para criar uma web ACL

  1. Faça login no Console de gerenciamento da AWS e abra o console do AWS WAF em https://console.aws.amazon.com/wafv2/homev2.

  2. Na página inicial do AWS WAF, escolha Criar web ACL.

  3. Em Nome, insira o nome que deseja usar para identificar esta web ACL.

    nota

    Você não pode alterar o nome depois de criar a web ACL.

  4. (Opcional) Em Descrição: opcional, insira uma descrição mais longa para a web ACL, se desejar.

  5. Em Nome da métrica do CloudWatch, altere o nome padrão, se aplicável. Siga as orientações no console para usar caracteres válidos. O nome não pode conter caracteres especiais, espaços em branco ou nomes de métrica reservados para o AWS WAF, incluindo “All” e “Default_Action”.

    nota

    Você não pode alterar o nome da métrica do CloudWatch depois de criar a web ACL.

  6. Em Tipo de recurso, escolha Distribuições do CloudFront. A Região é preenchida automaticamente como Global (CloudFront) em distribuições do CloudFront.

  7. (Opcional) Para recursos da AWS associados: opcional, escolha Adicionar recursos da AWS. Na caixa de diálogo, escolha os recursos que deseja associar e, em seguida, escolha Adicionar. O AWS WAF retorna você à página Descrever web ACL e recursos da AWS associados.

  8. Escolha Próximo.

Etapa 3: adicionar uma regra de correspondência de string

Nesta etapa, você cria uma regra com uma instrução de correspondência de string e indica o que fazer com as solicitações correspondentes. Uma instrução de regra de correspondência de string identifica as strings que você deseja que AWS WAF busque em uma solicitação. Geralmente, uma string consiste em caracteres ASCII imprimíveis, mas você pode especificar qualquer caractere, do hexadecimal 0x00 a 0xFF (decimal 0 a 255). Além de especificar a string a ser pesquisada, você especifica o componente de solicitação da web que deseja pesquisar, como um cabeçalho, uma string de consulta ou o corpo da solicitação.

Esse tipo de instrução opera em um componente de solicitação da web e requer as seguintes configurações do componente de solicitação:

  • Componente de solicitação: a parte da solicitação da web para inspecionar, por exemplo, uma string de consulta ou o corpo.

    Atenção

    Se você inspecionar os componentes da solicitação Corpo, Corpo do JSON, Cabeçalhos ou Cookies, leia sobre as limitações de quanto conteúdo o AWS WAF pode inspecionar em Componentes de solicitação da Web de tamanho grande no AWS WAF.

    Para informações sobre componentes de solicitação da web, consulte Como ajustar as configurações da instrução de regra no AWS WAF.

  • Transformações de texto opcionais: transformações que você deseja que o AWS WAF realize no componente de solicitação antes de inspecioná-lo. Por exemplo, você pode transformar para minúsculas ou normalizar o espaço em branco. Se você especificar mais de uma transformação, o AWS WAF as processará na ordem listada. Para mais informações, consulte Como usar transformações de texto no AWS WAF.

Para obter mais informações sobre como AWS WAF regras, consulte AWS WAFRegras do .

Para criar uma instrução de regra de correspondência de string

  1. Na página Adicionar regras e grupos de regras escolha Adicionar regras, Adicionar minhas próprias regras e grupos de regras, Construtor de regras e Editor visual de regras.

    nota

    O console fornece o Editor visual de regras e um Editor JSON de regras. O editor JSON facilita a cópia de configurações entre web ACLse é necessário para conjuntos de regras mais complexos, como aqueles com vários níveis de aninhamento.

    Este procedimento usa o Editor visual de regras.

  2. Em Nome, insira o nome que deseja usar para identificar esta regra.

  3. Em Type (Tipo), escolha Regular rule (Regra regular).

  4. Para If a request (Se uma solicitação), escolha matches the statement (corresponder à instrução).

    As outras opções são para os tipos de instrução de regra lógica. Você pode usá-las para combinar ou negar os resultados de outras instruções de regras.

  5. Em Instrução, para Inspecionar, abra o menu suspenso e escolha o componente de solicitação da web no qual você deseja que o AWS WAF procure a string. Para este exemplo, selecione Cabeçalho único.

    Ao escolher Cabeçalho único, você também especifica qual cabeçalho o AWS WAF deve inspecionar. Insira User-Agent. Esse valor não diferencia maiúsculas de minúsculas.

  6. Em Match type (Tipo de correspondência), escolha onde a string especificada deve aparecer no cabeçalho User-Agent.

    Para este exemplo, escolha Exactly matches string (Correspondência exata). Isso indica que o AWS WAF inspeciona o cabeçalho user-agent em cada solicitação da web para encontrar uma string idêntica àquela especificada.

  7. Em String to match (String a corresponder), especifique uma string que você deseja que o AWS WAF pesquise. O tamanho máximo de String to match (String a corresponder) é 200 caracteres. Se você quiser especificar um valor codificado em base64, poderá especificar até 200 caracteres antes da codificação.

    Para este exemplo, digite MyAgent. O AWS WAF inspecionará o cabeçalho User-Agent nas solicitações da web em busca do valor MyAgent.

  8. Deixe o campo Text transformation (Transformação de texto) definido como None (Nenhuma).

  9. Em Ação, selecione a ação que você deseja que a regra execute quando ela corresponder a uma solicitação da web. Neste exemplo, escolha Contar e deixe as outras opções como estão. Isso cria métricas para solicitações da web que correspondem à regra, mas não determina se a regra é permitida ou bloqueada. Para obter mais informações sobre essas opções, consulte Como usar ações de regras no AWS WAF e Definir prioridade das regras.

  10. Escolha Adicionar regra.

Etapa 4: adicionar um grupo de regras das Regras Gerenciadas da AWS

Regras gerenciadas da AWS oferece um conjunto de grupos de regras gerenciadas para seu uso, cuja maioria é gratuita para os clientes do AWS WAF. Para obter mais informações sobre grupos de regras, consulte AWS WAFGrupos de regras do . Adicionaremos um grupo de regras das regras gerenciadas da AWS a essa web ACL.

Para adicionar um grupo de regras das regras gerenciadas da AWS

  1. Na página Add rules and rule groups (Adicionar regras e grupos de regras), escolha Add rules (Adicionar regras) e, em seguida, escolha Add managed rule groups (Adicionar grupos de regras gerenciados).

  2. Na página Add managed rule groups (Adicionar grupos de regras gerenciados), expanda a oferta dos grupos de regras gerenciados do AWS. (Você também verá anúncios oferecidos para vendedores do AWS Marketplace. Você pode assinar suas ofertas e depois usá-las da mesma forma que nos grupos de regras das regras gerenciadas da AWS.)

  3. Para cada grupo de regras que você deseja adicionar, faça o seguinte:

    1. Na coluna Ação, ative a opção Adicionar à web ACL.

    2. Selecione Editar e, na lista de Regras do grupo de regras, abra o menu suspenso Substituir todas as ações de regra e selecione Count. Isso define a ação para todas as regras no grupo somente como contagem. Isso permite que você veja como todas as regras no grupo de regras lidam com suas solicitações da web antes de serem implementadas.

    3. Escolha Salvar regras.

  4. Na página Adicionar grupos de regras gerenciadas, escolha Adicionar regras. Isso levará você de volta à página Adicionar regras e grupos de regras.

Etapa 5: concluir a configuração da web ACL

Após adicionar regras e grupos de regras à sua configuração da web ACL, a última etapa é definir a prioridade das regras na ACL e outras configurações como métricas, marcação e registro em log.

Para concluir a configuração da web ACL

  1. Na página Add rules and rule groups (Adicionar regras e grupos de regras), escolha Next (Próximo).

  2. Na página Definir prioridade das regras, você pode ver a ordem de processamento das regras e grupos de regras na web ACL. O AWS WAF começa o processamento do topo. Você pode alterar a ordem de processamento movendo as regras para cima e para baixo. Para isso, selecione uma regra na lista e escolha Move up (Mover para cima) ou Move down (Mover para baixo). Para obter mais informações sobre prioridade de regra, consulte Definir prioridade das regras.

  3. Escolha Próximo.

  4. Na página Configurar métricas, em Métricas do Amazon CloudWatch, é possível ver as métricas planejadas para suas regras e grupos de regras e as opções de amostragem de solicitações da web. Para obter informações sobre como visualizar solicitações de exemplo, consulte Visualizar um exemplo de solicitações da web. Para obter mais informações sobre métricas do Amazon CloudWatch, consulte Monitorar o com o Amazon CloudWatch.

    Você pode acessar resumos das métricas de tráfego da web na página da web ACL no console do AWS WAF, na guia Visão geral do tráfego. Os painéis do console fornecem resumos quase em tempo real das métricas do Amazon CloudWatch da web ACL. Para obter mais informações, consulte Painéis de visão geral do tráfego para pacotes de proteção (ACLs da Web).

  5. Escolha Próximo.

  6. Na página Review and create web ACL (Revisar e criar web ACL), revise suas configurações e escolha Create web ACL (Criar web ACL).

O assistente retorna à página ACL da Web na qual sua nova ACL da Web está listada.

Etapa 6: limpar os recursos

Você concluiu com êxito o tutorial. Para evitar que sua conta acumule cobranças adicionais do AWS WAF, limpe os objetos do AWS WAF que criou. Como alternativa, você pode alterar a configuração de acordo com as solicitações da web que deseja realmente gerenciar, usando AWS WAF.

nota

A AWS normalmente cobra menos de 0,25 USD por dia pelos recursos criados neste tutorial. Quando você tiver terminado, recomendamos excluir os recursos para impedir que cobranças desnecessárias.

Para excluir os objetos pelos quais o AWS WAF cobra

  1. Na página ACL da Web selecione sua ACL da Web na lista e escolha Editar.

  2. Na guia recursos associados da AWS, para cada recurso associado, selecione o botão de rádio ao lado do nome do recurso e escolha Desassociar. Isso dissocia a web ACL de seus recursos do AWS.

  3. Em toda tela a seguir, escolha Avançar até retornar à página ACL da Web .

    Na página ACL da Web, selecione sua ACL da Web na lista e escolha Excluir.

Instruções de regras e regras não existem fora do grupo de regras e definições de web ACL. Ao excluir uma web ACL, você exclui todas as regras individuais definidas nela. Quando você remove um grupo de regras de uma web ACL, só a referência ao grupo é removida.