Como agregar regras baseadas em intervalos no AWS WAF - Administrador de segurança da rede do AWS WAF, AWS Firewall Manager, AWS Shield Advanced e AWS Shield

Apresentação de uma nova experiência de console para o AWS WAF

Agora você pode usar a experiência atualizada para acessar a funcionalidade do AWS WAF em qualquer lugar no console. Consulte mais detalhes em Trabalhar com a experiência atualizada do console.

Como agregar regras baseadas em intervalos no AWS WAF

Esta seção explica suas opções para agregar solicitações.

Por padrão, uma regra baseada em intervalo agrega e limita o intervalo das solicitações com base no endereço IP da solicitação. Você pode configurar a regra para usar várias outras chaves de agregação e combinações de teclas. Por exemplo, você pode agregar com base em um endereço IP encaminhado, no método HTTP ou em um argumento de consulta. Você também pode especificar combinações de chaves de agregação, como endereço IP e método HTTP, ou os valores de dois cookies diferentes.

nota

Todos os componentes da solicitação que você especifica na chave de agregação devem estar presentes em uma solicitação da web para que a solicitação seja avaliada ou o intervalo seja limitado pela regra.

Você pode configurar sua regra baseada em intervalos com as seguintes opções de agregação.

  • Endereço IP de origem: agregar usando apenas o endereço IP da origem da solicitação da web.

    O endereço IP de origem pode não conter o endereço do cliente de origem. Se uma solicitação da web passar por um ou mais proxies ou balanceadores de carga, ela conterá o endereço do último proxy.

  • Endereço IP no cabeçalho: agregar usando apenas um endereço de cliente em um cabeçalho HTTP. Isso também é conhecido como endereço IP encaminhado.

    Com essa configuração, você também especifica um comportamento de fallback a ser aplicado a uma solicitação da web com um endereço IP incorreto no cabeçalho. O comportamento de fallback define o resultado correspondente da solicitação como correspondente ou não correspondente. Sem correspondência, a regra baseada em intervalos não conta nem limita o intervalo da solicitação. Para corresponder, a regra baseada em intervalos agrupa a solicitação junto com outras solicitações que têm um endereço IP incorreto no cabeçalho especificado.

    Tenha cuidado com essa opção, pois os cabeçalhos podem ser tratados de forma inconsistente por proxies e também podem ser modificados para ignorar a inspeção. Para obter informações adicionais e práticas recomendadas, consulte Como usar endereços IP encaminhados no AWS WAF.

  • ASN: agregue usando um número de sistema autônomo (ASN) associado ao endereço IP de origem como uma chave agregada. Esse pode não ser o endereço do cliente de origem. Se uma solicitação da Web passar por um ou mais proxies ou balanceadores de carga, ela conterá o endereço do último proxy.

    Se o AWS WAF não puder derivar um ASN do endereço IP, ele contará o ASN como ASN 0. Se não quiser aplicar a limitação de taxa a ASNs não mapeados, você poderá criar uma regra de redução de escopo que exclua solicitações com ASN 0.

  • ASN no cabeçalho: agregue usando um endereço IP associado a um cliente em um cabeçalho HTTP. Isso também é conhecido como endereço IP encaminhado. Com essa configuração, você também especifica um comportamento de fallback a ser aplicado a uma solicitação da Web com um endereço IP mal formado no cabeçalho. O comportamento de fallback define o resultado correspondente da solicitação como correspondente ou não correspondente. Se você definir o comportamento de fallback para correspondência na configuração de IP encaminhado, o AWS WAF tratará o endereço IP inválido como um valor que corresponde. Isso permite que o AWS WAF continue avaliando todas as demais partes da chave composta da regra baseada em taxas. Sem correspondência, a regra baseada em intervalos não conta nem limita o intervalo da solicitação.

    Tenha cuidado com essa opção, pois os cabeçalhos podem ser tratados de forma inconsistente por proxies e podem ser modificados para ignorar a inspeção. Para obter informações adicionais e práticas recomendadas, consulte Como usar endereços IP encaminhados no AWS WAF.

  • Contar tudo: contar e limitar o intervalo de todas as solicitações que correspondam à instrução de redução de escopo da regra. Essa opção requer uma instrução de redução de escopo. Isso geralmente é usado para limitar o intervalo de um conjunto específico de solicitações, como todas as solicitações com um rótulo específico ou todas as solicitações de uma área geográfica específica.

  • Chaves personalizadas: agregar usando uma ou mais chaves de agregação personalizadas. Para combinar qualquer uma das opções de endereço IP com outras chaves de agregação, defina-as aqui em chaves personalizadas.

    As chaves de agregação personalizadas são um subconjunto das opções do componente de solicitação da web descritas em Componentes da solicitação no AWS WAF.

    As principais opções são as seguintes. Exceto onde indicado, você pode usar uma opção várias vezes, por exemplo, dois cabeçalhos ou três namespaces de rótulo.

    • Namespace de rótulo: usar um namespace de rótulo como chave de agregação. Cada nome de rótulo distinto totalmente qualificado que tem o namespace de rótulo especificado contribui para a instância de agregação. Se você usar apenas um namespace de rótulo como chave personalizada, cada nome de rótulo definirá totalmente uma instância de agregação.

      A regra baseada em taxas usa somente rótulos que foram adicionados à solicitação por regras que são avaliadas previamente no pacote de proteção (ACL da Web).

      Para obter mais informações sobre namespaces, consulte Requisitos de sintaxe de rótulos e nomenclatura no AWS WAF.

    • Cabeçalho: usar um cabeçalho nomeado como chave de agregação. Cada valor distinto no cabeçalho contribui para a instância de agregação.

      O cabeçalho usa uma transformação de texto opcional. Consulte Como usar transformações de texto no AWS WAF.

    • Cookie: usar um cookie nomeado como chave de agregação. Cada valor distinto no cookie contribui para a instância de agregação.

      O cookie faz uma transformação de texto opcional. Consulte Como usar transformações de texto no AWS WAF.

    • Argumento de consulta: usar um único argumento de consulta na solicitação como uma chave agregada. Cada valor distinto para o argumento de consulta nomeado contribui para a instância de agregação.

      O argumento de consulta usa uma transformação de texto opcional. Consulte Como usar transformações de texto no AWS WAF.

    • String de consulta: use toda a string de consulta na solicitação como uma chave agregada. Cada string de consulta distinta contribui para a instância de agregação. Você pode usar esse tipo de chave uma vez.

      A string de consulta usa uma transformação de texto opcional. Consulte Como usar transformações de texto no AWS WAF.

    • Caminho do URI: usar o caminho do URI na solicitação como uma chave agregada. Cada caminho de URI distinto contribui para a instância de agregação. Você pode usar esse tipo de chave uma vez.

      O caminho do URI usa uma transformação de texto opcional. Consulte Como usar transformações de texto no AWS WAF.

    • Impressão digital JA3: use a impressão digital JA3 na solicitação como uma chave agregada. Cada impressão digital JA3 distinta contribui para a instância de agregação. Você pode usar esse tipo de chave uma vez.

    • Impressão digital JA4: use a impressão digital JA4 na solicitação como uma chave agregada. Cada impressão digital JA4 distinta contribui para a instância de agregação. Você pode usar esse tipo de chave uma vez.

    • Método HTTP: usar o método HTTP da solicitação como uma chave agregada. Cada método HTTP distinto contribui para a instância de agregação. Você pode usar esse tipo de chave uma vez.

    • Endereço IP: agregar usando o endereço IP da origem da solicitação da web em combinação com outras chaves.

      Pode não conter o endereço do cliente de origem. Se uma solicitação da web passar por um ou mais proxies ou balanceadores de carga, ela conterá o endereço do último proxy.

    • Endereço IP no cabeçalho: agregar usando o endereço do cliente em um cabeçalho HTTP em combinação com outras chaves. Isso também é conhecido como endereço IP encaminhado.

      Tenha cuidado com essa opção, pois os cabeçalhos podem ser tratados de forma inconsistente por proxies e podem ser modificados para ignorar a inspeção. Para obter informações adicionais e práticas recomendadas, consulte Como usar endereços IP encaminhados no AWS WAF.