Como a rotulagem funciona no AWS WAF - Administrador de segurança da rede do AWS WAF, AWS Firewall Manager, AWS Shield Advanced e AWS Shield

Apresentação de uma nova experiência de console para o AWS WAF

Agora você pode usar a experiência atualizada para acessar a funcionalidade do AWS WAF em qualquer lugar no console. Consulte mais detalhes em Trabalhar com a experiência atualizada do console.

Como a rotulagem funciona no AWS WAF

Esta seção explica como os rótulos do AWS WAF funcionam.

Quando uma regra corresponde a uma solicitação da web, se a regra tiver rótulos definidos, o AWS WAF adicionará os rótulos à solicitação no final da avaliação da regra. As regras que são avaliadas após a regra de correspondência no pacote de proteção (ACL da Web) podem corresponder aos rótulos que a regra adicionou.

Quem adiciona rótulos às solicitações

Os componentes do pacote de proteção (ACL da Web) que avaliam as solicitações podem adicionar rótulos às solicitações.

  • Qualquer regra que não seja uma instrução de referência de grupo de regras pode adicionar rótulos às solicitações da web correspondentes. Os critérios de rotulagem fazem parte da definição da regra e, quando uma solicitação da web corresponde à regra, o AWS WAF adiciona os rótulos da regra à solicitação. Para mais informações, consulte Regras do AWS WAF que adicionam rótulos.

  • A instrução da regra de correspondência geográfica adiciona rótulos de país e região a qualquer solicitação que ela inspeciona, independentemente de a instrução resultar em uma correspondência. Para mais informações, consulte Instrução de regra de correspondência geográfica.

  • Todas as regras gerenciadas da AWS para o AWS WAF adicionam rótulos às solicitações que inspecionam. Elas adicionam alguns rótulos com base nas correspondências de regras no grupo de regras e alguns com base nos processos da AWS que os grupos de regras gerenciadas usam, como o rótulo de token adicionado quando você usa um grupo de regras de mitigação de ameaças inteligentes. Para obter informações sobre os rótulos que cada grupo de regras gerenciadas adiciona, consulte Lista de grupos de regras das regras gerenciadas da AWS.

Como o AWS WAF gerencia rótulos

O AWS WAF adiciona os rótulos da regra à solicitação ao final da inspeção da solicitação pela regra. A rotulagem faz parte das atividades de correspondência de uma regra, semelhante à ação.

Os rótulos não persistem com a solicitação da Web após o término da avaliação do pacote de proteção (ACL da Web). Para que outras regras correspondam a um rótulo que sua regra adiciona, sua ação de regra não deve encerrar a avaliação da solicitação da Web pelo pacote de proteção (ACL da Web). A ação da regra deve ser definida como Count, CAPTCHA ou Challenge. Quando a avaliação do pacote de proteção (ACL da Web) não termina, as regras subsequentes no pacote de proteção (ACL da Web) podem executar seus critérios de correspondência de rótulos em relação à solicitação. Para obter mais informações sobre as ações de regra, consulte Como usar ações de regras no AWS WAF.

Acesso a rótulos durante a avaliação do pacote de proteção (ACL da Web)

Depois de adicionados, os rótulos permanecem disponíveis na solicitação, desde que a solicitação seja avaliada pelo AWS WAF em relação ao pacote de proteção (ACL da Web). Qualquer regra em um pacote de proteção (ACL da Web) pode acessar rótulos que foram adicionados pelas regras que já foram executadas no mesmo pacote de proteção (ACL da Web). Isso inclui regras que são definidas diretamente dentro do pacote de proteção (ACL da Web) e regras definidas dentro dos grupos de regras que são usados no pacote de proteção (ACL da Web).

  • Você pode fazer uma correspondência com um rótulo nos critérios de inspeção de solicitação da sua regra usando a instrução de correspondência de rótulos. Você pode corresponder com qualquer rótulo anexado à solicitação. Para obter detalhes da instrução, consulte Instrução de regra de correspondência de rótulo.

  • A instrução de correspondência geográfica adiciona rótulos com ou sem correspondência, mas eles só estão disponíveis depois que a regra do pacote de proteção (ACL da Web) que contém a instrução tiver concluído a avaliação da solicitação.

    • Você não pode usar uma única regra, por exemplo, uma instrução lógica AND, para executar uma instrução de correspondência geográfica seguida por uma instrução de correspondência de rótulo com os rótulos geográficos. Você deve colocar a instrução de correspondência de rótulos em uma regra separada que é executada após a regra que contém a instrução de correspondência geográfica.

    • Se você usar uma instrução de correspondência geográfica como uma instrução de redução de escopo dentro de uma instrução de regra baseada em intervalos ou instrução de referência de grupo de regras gerenciadas, os rótulos adicionados pela instrução de correspondência geográfica não estarão disponíveis para inspeção pela instrução da regra que a contém. Se você precisar inspecionar a rotulagem geográfica em uma instrução de regra baseada em intervalos ou em um grupo de regras, deverá executar a instrução de correspondência geográfica em uma regra separada que seja executada previamente.

Acesso a informações de rótulo fora da avaliação do pacote de proteção (ACL da Web)

Os rótulos não persistem com a solicitação da Web após o término da avaliação do pacote de proteção (ACL da Web), mas o AWS WAF registra as informações dos rótulos nos logs e nas métricas.

Sua avaliação de pacote de proteção (ACL da Web) pode aplicar mais de 100 rótulos a uma solicitação da Web e corresponder com mais de 100 rótulos, mas o AWS WAF registra somente os 100 primeiros nos logs e métricas.