Como a rotulagem funciona em AWS WAF - AWS WAF, AWS Firewall Manager, AWS Shield Advanced, e diretor AWS Shield de segurança de rede

Apresentando uma nova experiência de console para AWS WAF

Agora você pode usar a experiência atualizada para acessar a AWS WAF funcionalidade em qualquer lugar do console. Consulte mais detalhes em Trabalhando com a experiência atualizada do console.

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Como a rotulagem funciona em AWS WAF

Esta seção explica como os AWS WAF rótulos funcionam.

Quando uma regra corresponde a uma solicitação da web, se a regra tiver rótulos definidos, AWS WAF adicionará os rótulos à solicitação no final da avaliação da regra. As regras que são avaliadas após a regra correspondente no pacote de proteção ou na ACL da web podem corresponder aos rótulos que a regra adicionou.

Quem adiciona rótulos às solicitações

O pacote de proteção ou os componentes da Web ACL que avaliam as solicitações podem adicionar rótulos às solicitações.

  • Qualquer regra que não seja uma instrução de referência de grupo de regras pode adicionar rótulos às solicitações da web correspondentes. Os critérios de rotulagem fazem parte da definição da regra e, quando uma solicitação da Web corresponde à regra, AWS WAF os rótulos da regra são adicionados à solicitação. Para mais informações, consulte AWS WAF regras que adicionam rótulos.

  • A instrução da regra de correspondência geográfica adiciona rótulos de país e região a qualquer solicitação que ela inspeciona, independentemente de a instrução resultar em uma correspondência. Para mais informações, consulte Instrução de regra de correspondência geográfica.

  • As regras AWS gerenciadas para AWS WAF todos adicionam rótulos às solicitações que eles inspecionam. Elas adicionam alguns rótulos com base nas correspondências de regras no grupo de regras e alguns com base nos processos da AWS que os grupos de regras gerenciadas usam, como o rótulo de token adicionado quando você usa um grupo de regras de mitigação de ameaças inteligentes. Para obter informações sobre os rótulos que cada grupo de regras gerenciadas adiciona, consulte AWS Lista de grupos de regras de regras gerenciadas.

Como AWS WAF gerencia rótulos

AWS WAF adiciona os rótulos da regra à solicitação ao final da inspeção da solicitação pela regra. A rotulagem faz parte das atividades de correspondência de uma regra, semelhante à ação.

Os rótulos não persistem com a solicitação da web após o término da avaliação do pacote de proteção ou da ACL da web. Para que outras regras correspondam a um rótulo adicionado por sua regra, sua ação de regra não deve encerrar a avaliação da solicitação da web pelo pacote de proteção ou pela ACL da web. A ação da regra deve ser definida como Count, CAPTCHA ou Challenge. Quando a avaliação do pacote de proteção ou da ACL da web não termina, as regras subsequentes no pacote de proteção ou na ACL da web podem executar seus critérios de correspondência de rótulos em relação à solicitação. Para obter mais informações sobre as ações de regra, consulte Usando ações de regras em AWS WAF.

Acesso às etiquetas durante a avaliação do pacote de proteção ou da ACL na web

Depois de adicionadas, as etiquetas permanecem disponíveis na solicitação, desde que a solicitação AWS WAF seja avaliada em relação ao pacote de proteção ou à ACL da web. Qualquer regra em um pacote de proteção ou ACL da web pode acessar rótulos que foram adicionados pelas regras que já foram executadas no mesmo pacote de proteção ou ACL da web. Isso inclui regras definidas diretamente no pacote de proteção ou na ACL da web e regras definidas dentro dos grupos de regras que são usados no pacote de proteção ou na ACL da web.

  • Você pode fazer uma correspondência com um rótulo nos critérios de inspeção de solicitação da sua regra usando a instrução de correspondência de rótulos. Você pode corresponder com qualquer rótulo anexado à solicitação. Para obter detalhes da instrução, consulte Instrução de regra de correspondência de rótulo.

  • A declaração de correspondência geográfica adiciona rótulos com ou sem correspondência, mas eles só estão disponíveis depois que a instrução que contém o pacote de proteção ou a regra de ACL da web concluírem a avaliação da solicitação.

    • Você não pode usar uma única regra, por exemplo, uma instrução lógica AND, para executar uma instrução de correspondência geográfica seguida por uma instrução de correspondência de rótulo com os rótulos geográficos. Você deve colocar a instrução de correspondência de rótulos em uma regra separada que é executada após a regra que contém a instrução de correspondência geográfica.

    • Se você usar uma instrução de correspondência geográfica como uma instrução de redução de escopo dentro de uma instrução de regra baseada em intervalos ou instrução de referência de grupo de regras gerenciadas, os rótulos adicionados pela instrução de correspondência geográfica não estarão disponíveis para inspeção pela instrução da regra que a contém. Se você precisar inspecionar a rotulagem geográfica em uma instrução de regra baseada em intervalos ou em um grupo de regras, deverá executar a instrução de correspondência geográfica em uma regra separada que seja executada previamente.

Acesso às informações do rótulo fora do pacote de proteção ou da avaliação da ACL na web

Os rótulos não persistem com a solicitação da web após o término da avaliação do pacote de proteção ou da ACL da web, mas AWS WAF registram as informações dos rótulos nos registros e nas métricas.

Seu pacote de proteção ou avaliação de ACL da web pode aplicar mais de 100 rótulos a uma solicitação da web e comparar com mais de 100 rótulos, mas registra AWS WAF somente os 100 primeiros nos registros e métricas.