Criando um pacote de proteção (web ACL) no AWS WAF - AWS WAF, AWS Firewall Manager, AWS Shield Advanced, e diretor AWS Shield de segurança de rede

Apresentando uma nova experiência de console para AWS WAF

Agora você pode usar a experiência atualizada para acessar a AWS WAF funcionalidade em qualquer lugar do console. Consulte mais detalhes em Trabalhando com a experiência atualizada do console.

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Criando um pacote de proteção (web ACL) no AWS WAF

Using the new console

Esta seção fornece procedimentos para criar pacotes de proteção (web ACLs) por meio do novo AWS console.

Para criar um novo pacote de proteção (web ACL), use o assistente de criação do pacote de proteção (web ACL) seguindo o procedimento nesta página.

Risco de tráfego de produção

Antes de implantar alterações em seu pacote de proteção (Web ACL) para tráfego de produção, teste-as e ajuste-as em um ambiente de preparação ou teste até se sentir confortável com o impacto potencial em seu tráfego. Em seguida, teste e ajuste suas regras atualizadas no modo de contagem com seu tráfego de produção antes de ativá-las. Para obter orientações, consulte Testando e ajustando suas AWS WAF proteções.

nota

Usar mais de 1.500 WCUs em um pacote de proteção (Web ACL) gera custos além do preço do pacote de proteção básico (Web ACL). Para obter mais informações, consulte Unidades de capacidade do Web ACL (WCUs) em AWS WAF e Definição de preço do AWS WAF.

  1. Faça login no novo AWS Management Console e abra o AWS WAF console em https://console.aws.amazon.com/wafv2-pro.

  2. No painel de navegação, escolha Recursos e pacotes de proteção (web ACLs).

  3. Na página Recursos e pacotes de proteção (web ACLs), escolha Adicionar pacote de proteção (web ACL).

  4. Em Conte-nos sobre seu aplicativo, em Categoria de aplicativo, selecione uma ou mais categorias de aplicativos.

  5. Em Origem do tráfego, escolha o tipo de tráfego com o qual o aplicativo se envolve; API, Web ou API e Web.

  6. Em Recursos para proteger, escolha Adicionar recursos.

  7. Escolha a categoria de AWS recurso que você deseja associar a esse pacote de proteção (web ACL), CloudFront distribuições da Amazon ou recursos regionais. Para obter mais informações, consulte Associar ou desassociar a proteção a um recurso AWS.

  8. Em Escolher proteções iniciais, selecione seu nível de proteção preferido: Recomendado, Essencial ou Você o criou.

  9. (Opcional) Se você escolher Você cria, crie suas regras.

    1. (Opcional) Se você quiser adicionar sua própria regra, na página Adicionar regras, escolha Regra personalizada e escolha Avançar.

      1. Escolha o tipo de regra.

      2. Em Action (Ação), selecione a ação que você deseja que a regra execute quando ela corresponder a uma solicitação da web. Para obter informações sobre suas escolhas, consulte Usando ações de regras em AWS WAF e Usando pacotes de proteção (web ACLs) com regras e grupos de regras no AWS WAF.

        Se você estiver usando a ação Challenge ou CAPTCHA, ajuste a configuração do Tempo de imunidade conforme necessário para a regra. Se você não especificar a configuração, a regra a herdará do pacote de proteção (Web ACL). Para modificar as configurações de tempo de imunidade do pacote de proteção (web ACL), edite o pacote de proteção (web ACL) depois de criá-lo. Para obter mais informações sobre os tempos de imunidade, consulte Definindo a expiração do carimbo de data/hora e os tempos de imunidade do token em AWS WAF.

        nota

        São cobradas taxas adicionais quando você usa a ação de regra CAPTCHA ou Challenge em uma de suas regras ou como uma substituição de ação de regra em um grupo de regras. Para obter mais informações, consulte AWS WAF Preço.

        Se você quiser personalizar a solicitação ou a resposta, escolha as opções para isso e preencha os detalhes da sua personalização. Para obter mais informações, consulte Solicitações e respostas personalizadas da web no AWS WAF.

        Se você quiser que sua regra adicione rótulos às solicitações da web correspondentes, escolha as opções para isso e preencha os detalhes do rótulo. Para obter mais informações, consulte Rotulagem de solicitações da Web em AWS WAF.

      3. Em Nome, insira o nome que deseja usar para identificar esta regra. Não use nomes que comecem com AWS, Shield, PreFM ou PostFM. Essas sequências de caracteres são reservadas ou podem causar confusão com grupos de regras gerenciadas para você por outros serviços.

      4. Digite sua definição de regra, de acordo com suas necessidades. Você pode combinar regras dentro de instruções de regra AND e OR lógicas. O assistente orienta você pelas opções de cada regra, de acordo com o contexto. Para obter informações sobre as opções de regras, consulte AWS WAF regras.

      5. Escolha Criar regra.

        nota

        Se você adicionar mais de uma regra a um pacote de proteção (Web ACL), AWS WAF avalia as regras na ordem em que estão listadas para o pacote de proteção (Web ACL). Para obter mais informações, consulte Usando pacotes de proteção (web ACLs) com regras e grupos de regras no AWS WAF.

    2. (Opcional) Se você quiser adicionar grupos de regras gerenciados, na página Adicionar regras, escolha AWS-managed rule group ou AWS Marketplace rule group e escolha Avançar. Faça o seguinte para cada grupo de regras gerenciadas que você deseja adicionar:

      1. Na página Adicionar regras, expanda a lista para grupos de regras AWS gerenciados ou para o AWS Marketplace vendedor.

      2. Escolha a versão do grupo de regras.

      3. Para personalizar como seu pacote de proteção (Web ACL) usa o grupo de regras, escolha Editar. A seguir, são mostradas as configurações de personalização comuns:

        • Reduza o escopo das solicitações da web que o grupo de regras inspeciona adicionando uma declaração de redução de escopo na seção Inspeção. Para obter mais informações sobre esta opção, consulte Usando declarações de escopo reduzido em AWS WAF.

        • Substitua as ações de regra para algumas ou todas as regras em Substituições de regras. Se você não definir uma ação de substituição para uma regra, a avaliação usará a ação de regra definida dentro do grupo de regras. Para obter mais informações sobre esta opção, consulte Substituindo ações do grupo de regras em AWS WAF.

        • Alguns grupos de regras gerenciadas exigem que você forneça configurações adicionais. Consulte a documentação do seu provedor de grupos de regras gerenciadas. Para obter informações específicas sobre os grupos de regras de regras AWS gerenciadas, consulteAWS Regras gerenciadas para AWS WAF.

      4. Escolha Próximo.

    3. (Opcional) Se você quiser adicionar seu próprio grupo de regras, na página Adicionar regras, escolha Grupo de regras personalizado e escolha Avançar. Faça o seguinte para cada grupo de regras que você deseja adicionar:

      1. Em Nome, digite o nome que você deseja usar para a regra do grupo de regras neste pacote de proteção (web ACL). Não use nomes que comecem com AWS, Shield, PreFM ou PostFM. Essas sequências de caracteres são reservadas ou podem causar confusão com grupos de regras gerenciadas para você por outros serviços. Consulte Como reconhecer grupos de regras fornecidos por outros serviços.

      2. Escolha seu grupo de regras na lista.

      3. (Opcional) Em Configuração de regra, escolha uma substituição de regra. Você pode substituir as ações da regra por qualquer configuração de ação válida, da mesma forma que pode fazer com grupos de regras gerenciadas.

      4. (Opcional) Em Adicionar rótulos, escolha Adicionar rótulo e insira os rótulos que você deseja adicionar às solicitações que correspondam à regra. As regras que são avaliadas posteriormente no mesmo pacote de proteção (Web ACL) podem fazer referência aos rótulos que essa regra adiciona.

      5. Escolha Criar regra.

  10. Em Nome e descrição, insira um nome para seu pacote de proteção (Web ACL). Como opção, insira uma descrição.

    nota

    Você não pode alterar o nome depois de criar o pacote de proteção (Web ACL).

  11. (Opcional) Em Personalizar pacote de proteção (Web ACL), configure ações de regras, configurações e destino de registro padrão:

    1. (Opcional) Em Ações de regra padrão, escolha a ação padrão para o pacote de proteção (Web ACL). Essa é a ação executada em uma solicitação quando as regras no pacote de proteção (Web ACL) não realizam uma ação explícita. AWS WAF Para obter mais informações, consulte Solicitações e respostas personalizadas da web no AWS WAF.

    2. (Opcional) Em Configuração da regra, personalize as configurações das regras no pacote de proteção (Web ACL):

      • Limites de taxa padrão - Defina limites de taxa para bloquear ataques de negação de serviço (DoS) que possam afetar a disponibilidade, comprometer a segurança ou consumir recursos excessivos. Essa taxa de regra bloqueia solicitações por endereço IP que excedem a taxa permitida para seu aplicativo. Para obter mais informações, consulte Usando declarações de regras baseadas em taxas em AWS WAF.

      • Endereços IP - Insira endereços IP para bloquear ou permitir. Essa configuração substitui outras regras.

      • Origens específicas do país - bloqueie solicitações de países específicos ou conte todo o tráfego.

    3. Em Destino de registro, configure o tipo de destino de registro e o local para armazenar registros. Para obter mais informações, consulte AWS WAF destinos de registro.

  12. Revise suas configurações e escolha Adicionar pacote de proteção (Web ACL).

Using the standard console

Esta seção fornece procedimentos para criar a web ACLs por meio do AWS console.

Para criar uma nova web ACL, use o assistente de criação de web ACL seguindo o procedimento encontrado nesta página.

Risco de tráfego de produção

Antes de implantar alterações em sua web ACL para tráfego de produção, teste-as e ajuste-as em um ambiente de preparação ou teste até se sentir confortável com o impacto potencial em seu tráfego. Em seguida, teste e ajuste suas regras atualizadas no modo de contagem com seu tráfego de produção antes de ativá-las. Para obter orientações, consulte Testando e ajustando suas AWS WAF proteções.

nota

Usar mais de 1.500 WCUs em um pacote de proteção (Web ACL) gera custos além do preço do pacote de proteção básico (Web ACL). Para obter mais informações, consulte Unidades de capacidade do Web ACL (WCUs) em AWS WAF e Definição de preço do AWS WAF.

Para criar uma ACL da web

  1. Faça login no AWS Management Console e abra o AWS WAF console em https://console.aws.amazon.com/wafv2/homev2.

  2. Escolha web ACLs no painel de navegação e, em seguida, escolha Criar ACL da web.

  3. Em Nome, insira o nome que deseja usar para identificar esta web ACL.

    nota

    Você não pode alterar o nome depois de criar a web ACL.

  4. (Opcional) Em Descrição: opcional, insira uma descrição mais longa para a web ACL, se desejar.

  5. Em Nome da métrica do CloudWatch , altere o nome padrão, se aplicável. Siga as orientações no console para usar caracteres válidos. O nome não pode conter caracteres especiais, espaços em branco ou nomes de métricas reservados para AWS WAF, incluindo “All” e “Default_Action”.

    nota

    Você não pode alterar o nome da CloudWatch métrica depois de criar a Web ACL.

  6. Em Tipo de recurso, escolha a categoria de AWS recurso que você deseja associar a essa ACL da web, CloudFront distribuições da Amazon ou recursos regionais. Para obter mais informações, consulte Associar ou desassociar a proteção a um recurso AWS.

  7. Em Região, se você escolheu um tipo de recurso regional, escolha a região em que deseja armazenar AWS WAF a ACL da web.

    Só é necessário escolher essa opção para tipos de recursos regionais. Para CloudFront distribuições, a região é codificada para a região Leste dos EUA (Norte da Virgínia),us-east-1, para aplicativos globais (). CloudFront

  8. (CloudFront, API Gateway, Amazon Cognito, App Runner e Verified Access) Para o limite de tamanho de inspeção por solicitação na Web - opcional, se você quiser especificar um limite de tamanho de inspeção corporal diferente, selecione o limite. Como inspecionar tamanhos de corpo acima do padrão de 16 KB pode gerar custos adicionais. Para obter mais informações sobre esta opção, consulte Gerenciando os limites de tamanho da inspeção corporal para AWS WAF.

  9. (Opcional) Para AWS Recursos associados - opcional, se você quiser especificar seus recursos agora, escolha Adicionar AWS recursos. Na caixa de diálogo, escolha os recursos que você deseja associar e escolha Adicionar. AWS WAF retorna à página Descrever a ACL da web e AWS os recursos associados.

    nota

    Quando você escolhe associar um Application Load Balancer à sua ACL da web, a proteção S em nível de recurso é ativada DDo. Para obter mais informações, consulte AWS WAF Prevenção distribuída de negação de serviço (DDoS).

  10. Escolha Próximo.

  11. (Opcional) Se quiser adicionar grupos de regras gerenciadas, na página Add rules and rule groups (Adicionar regras e grupos de regras) escolha Add rules (Adicionar regras), e, em seguida, escolha Add managed rule groups (Adicionar grupos de regras gerenciados). Faça o seguinte para cada grupo de regras gerenciadas que você deseja adicionar:

    1. Na página Adicionar grupos de regras gerenciadas, expanda a lista para grupos de regras AWS gerenciadas ou para o AWS Marketplace vendedor de sua escolha.

    2. Para o grupo de regras que você deseja adicionar, ative a alternância Adicionar à web ACL na coluna Ação .

      Para personalizar como sua web ACL usa o grupo de regras, escolha Editar. A seguir, são mostradas as configurações de personalização comuns:

      • Substitua as ações da regra para algumas ou todas as regras. Se você não definir uma ação de substituição para uma regra, a avaliação usará a ação de regra definida dentro do grupo de regras. Para obter mais informações sobre esta opção, consulte Substituindo ações do grupo de regras em AWS WAF.

      • Reduza o escopo das solicitações da web que o grupo de regras inspeciona adicionando uma instrução de redução de escopo. Para obter mais informações sobre esta opção, consulte Usando declarações de escopo reduzido em AWS WAF.

      • Alguns grupos de regras gerenciadas exigem que você forneça configurações adicionais. Consulte a documentação do seu provedor de grupos de regras gerenciadas. Para obter informações específicas sobre os grupos de regras de regras AWS gerenciadas, consulteAWS Regras gerenciadas para AWS WAF.

      Ao concluir suas configurações, escolha Salvar regra.

    Escolha Add rules (Adicionar regras) para concluir a adição de regras gerenciadas e retornar à página Add rules and rule groups (Adicionar regras e grupos de regras).

    nota

    Se você adicionar mais de uma regra a uma ACL da web, AWS WAF avalia as regras na ordem em que estão listadas para a ACL da web. Para obter mais informações, consulte Usando pacotes de proteção (web ACLs) com regras e grupos de regras no AWS WAF.

  12. (Opcional) Se quiser adicionar seu próprio grupo de regras, na página Add rules and rule groups (Adicionar regras e grupos de regras) escolha Add rules (Adicionar regras), e, em seguida, escolha Add my own rules and rule groups (Adicionar minhas próprias regras e grupos de regras). Faça o seguinte para cada grupo de regras que você deseja adicionar:

    1. Na página Add my own rules and rule groups (Adicionar minhas próprias regras e grupos de regras) escolha Rule group (Grupo de regras).

    2. Em Nome, insira o nome que você deseja usar para a regra do grupo de regras nessa web ACL. Não use nomes que comecem com AWS, Shield, PreFM ou PostFM. Essas sequências de caracteres são reservadas ou podem causar confusão com grupos de regras gerenciadas para você por outros serviços. Consulte Como reconhecer grupos de regras fornecidos por outros serviços.

    3. Escolha seu grupo de regras na lista.

      nota

      Se você quiser substituir as ações de regra de um grupo de regras próprio, primeiro salve-as na ACL da Web e, em seguida, edite a ACL da Web e a instrução de referência do grupo de regras na lista de regras da ACL da Web. Você pode substituir as ações da regra por qualquer configuração de ação válida, da mesma forma que pode fazer com grupos de regras gerenciadas.

    4. Escolha Adicionar regra.

  13. (Opcional) Se você quiser adicionar sua própria regra, na página Add rules and rule groups (Adicionar regras e grupos de regras), escolha Add rules (Adicionar regras), Add my own rules and rule groups (Adicionar minhas próprias regras e grupos de regras), Rule builder (Construtor de regras), e Editor visual de regras.

    nota

    O console Editor visual de regras oferece suporte a um nível de aninhamento. Por exemplo, você pode usar uma única instrução AND ou OR lógica e aninhar um nível de outras instruções dentro dela, mas você não pode aninhar instruções lógicas dentro de instruções lógicas. Para gerenciar instruções de regra mais complexas, use o Editor JSON de regras. Para obter informações sobre todas as opções de regras, consulte AWS WAF regras.

    Este procedimento abrange o Editor visual de regras.

    1. Em Nome, insira o nome que deseja usar para identificar esta regra. Não use nomes que comecem com AWS, Shield, PreFM ou PostFM. Essas sequências de caracteres são reservadas ou podem causar confusão com grupos de regras gerenciadas para você por outros serviços.

    2. Digite sua definição de regra, de acordo com suas necessidades. Você pode combinar regras dentro de instruções de regra AND e OR lógicas. O assistente orienta você pelas opções de cada regra, de acordo com o contexto. Para obter informações sobre as opções de regras, consulte AWS WAF regras.

    3. Em Action (Ação), selecione a ação que você deseja que a regra execute quando ela corresponder a uma solicitação da web. Para obter informações sobre suas escolhas, consulte Usando ações de regras em AWS WAF e Usando pacotes de proteção (web ACLs) com regras e grupos de regras no AWS WAF.

      Se você estiver usando a ação Challenge ou CAPTCHA, ajuste a configuração do Tempo de imunidade conforme necessário para a regra. Se você não especificar a configuração, a regra a herdará da web ACL. Para modificar as configurações de tempo de imunidade da web ACL, edite a web ACL depois de criá-la. Para obter mais informações sobre os tempos de imunidade, consulte Definindo a expiração do carimbo de data/hora e os tempos de imunidade do token em AWS WAF.

      nota

      São cobradas taxas adicionais quando você usa a ação de regra CAPTCHA ou Challenge em uma de suas regras ou como uma substituição de ação de regra em um grupo de regras. Para obter mais informações, consulte AWS WAF Preço.

      Se você quiser personalizar a solicitação ou a resposta, escolha as opções para isso e preencha os detalhes da sua personalização. Para obter mais informações, consulte Solicitações e respostas personalizadas da web no AWS WAF.

      Se você quiser que sua regra adicione rótulos às solicitações da web correspondentes, escolha as opções para isso e preencha os detalhes do rótulo. Para obter mais informações, consulte Rotulagem de solicitações da Web em AWS WAF.

    4. Escolha Adicionar regra.

  14. Selecione a ação padrão para a web ACL, Block ou Allow. Essa é a ação que AWS WAF ocorre em uma solicitação quando as regras na ACL da web não a permitem ou bloqueiam explicitamente. Para obter mais informações, consulte Definindo a ação padrão do pacote de proteção (Web ACL) em AWS WAF.

    Se você quiser personalizar a ação padrão, escolha as opções para isso e preencha os detalhes da sua personalização. Para obter mais informações, consulte Solicitações e respostas personalizadas da web no AWS WAF.

  15. Você pode definir uma Lista de domínios de tokens para permitir o compartilhamento de tokens entre aplicativos protegidos. Os tokens são usados pelas Challenge ações CAPTCHA e pela integração de aplicativos SDKs que você implementa ao usar os grupos de regras de regras AWS gerenciadas para controle de AWS WAF fraudes, criação de contas, prevenção de fraudes (ACFP), controle de AWS WAF fraudes, prevenção de aquisição de contas (ATP) e controle de bots. AWS WAF

    Não são permitidos sufixos públicos. Por exemplo, você não pode usar gov.au ou co.uk como um domínio de token.

    Por padrão, AWS WAF aceita tokens somente para o domínio do recurso protegido. Se você adicionar domínios de token nessa lista, AWS WAF aceitará tokens para todos os domínios na lista e para o domínio do recurso associado. Para obter mais informações, consulte AWS WAF configuração da lista de domínios de token do pacote de proteção (web ACL).

  16. Escolha Próximo.

  17. Na página Definir prioridade da regra, selecione e mova suas regras e grupos de regras para a ordem em que você AWS WAF deseja processá-los. AWS WAF processa regras começando do topo da lista. Quando você salva a web ACL, o AWS WAF atribui configurações de prioridade numérica às regras, na ordem em que você as listou. Para obter mais informações, consulte Definindo a prioridade da regra.

  18. Escolha Próximo.

  19. Na página Configurar métricas, revise as opções e aplique as atualizações necessárias. Você pode combinar métricas de várias fontes fornecendo o mesmo nome de CloudWatch métrica para elas.

  20. Escolha Próximo.

  21. Na página Review and create web ACL (Revisar e criar web ACL) verifique suas definições. Se quiser alterar qualquer área, escolha Edit (Editar) para a área. Isso retorna você à página no assistente de web ACL. Faça quaisquer alterações e, em seguida, escolha Next (Próximo) nas páginas até voltar à página Create web ACL (Revisar e criar web ACL) .

  22. Escolha Criar web ACL. Sua nova ACL da web está listada na ACLs página da web.