Criar um pacote de proteção (ACL da Web) no AWS WAF - Administrador de segurança da rede do AWS WAF, AWS Firewall Manager, AWS Shield Advanced e AWS Shield

Apresentação de uma nova experiência de console para o AWS WAF

Agora você pode usar a experiência atualizada para acessar a funcionalidade do AWS WAF em qualquer lugar no console. Consulte mais detalhes em Trabalhar com a experiência atualizada do console.

Criar um pacote de proteção (ACL da Web) no AWS WAF

Using the new console

Esta seção fornece procedimentos para criar pacotes de proteção (ACLs da Web) usando o console da AWS.

Para criar uma novo pacote de proteção (ACL da Web), use o assistente de criação de pacote de proteção (ACL da Web) seguindo o procedimento nesta página.

Risco de tráfego de produção

Antes de implantar alterações no pacote de proteção (ACL da Web) para tráfego de produção, teste-as e ajuste-as em um ambiente de preparação ou teste até se sentir confortável com o impacto potencial em seu tráfego. Em seguida, teste e ajuste suas regras atualizadas no modo de contagem com seu tráfego de produção antes de ativá-las. Para obter orientações, consulte Testar e ajustar suas proteções do AWS WAF.

nota

O uso de mais de 1.500 WCUs em um pacote de proteção (ACL da Web) gera custos além do preço básico do pacote de proteção (ACL da Web). Para obter mais informações, consulte Unidades de capacidade da ACL da Web (WCU) no AWS WAF e Definição de preço do AWS WAF.

  1. Faça login no novo Console de gerenciamento da AWS e abra o console do AWS WAF em https://console.aws.amazon.com/wafv2-pro.

  2. No painel de navegação, escolha Recursos e pacotes de proteção (ACLs da Web).

  3. Na página Recursos e pacotes de proteção (ACLs da Web), escolha Adicionar pacote de proteção (ACL da Web).

  4. Em Fale sobre sua aplicação, em Categoria de aplicação, selecione uma ou mais categorias de aplicação.

  5. Em Origem do tráfego, escolha o tipo de tráfego com o qual a aplicação lida; API, Web ou API e Web.

  6. Em Recursos a proteger, escolha Adicionar recursos.

  7. Escolha a categoria de recurso da AWS que você deseja associar a esse pacote de proteção (ACL da Web): distribuições do Amazon CloudFront ou recursos regionais. Para obter mais informações, consulte Associar ou desassociar um pacote de proteção a um recurso da AWS.

  8. Em Escolher proteções iniciais, selecione seu nível de proteção preferido: Recomendado, Essenciais ou Você o cria.

  9. (Opcional) Se você escolher Você o cria, crie suas regras.

    1. (Opcional) Se você quiser adicionar sua própria regra, na página Adicionar regras, escolha Regra personalizada e, em seguida, escolha Avançar.

      1. Selecione o tipo de regra.

      2. Em Action (Ação), selecione a ação que você deseja que a regra execute quando ela corresponder a uma solicitação da web. Para obter informações sobre suas escolhas, consulte Como usar ações de regras no AWS WAF e Usar pacotes de proteção (ACLs da Web) com regras e grupos de regras no AWS WAF.

        Se for usar a ação CAPTCHA ou Challenge, ajuste a configuração Tempo de imunidade conforme necessário para a regra. Se você não especificar a configuração, a regra a herdará do pacote de proteção (ACL da Web). Para modificar as configurações de tempo de imunidade do pacote de proteção (ACL da Web), edite o pacote de proteção (ACL da Web) depois de criá-lo. Para obter mais informações sobre os tempos de imunidade, consulte Como configurar a expiração de timestamps e tempos de imunidade de token no AWS WAF.

        nota

        São cobradas taxas adicionais quando você usa a ação de regra CAPTCHA ou Challenge em uma de suas regras ou como uma substituição de ação de regra em um grupo de regras. Para obter mais informações, consulte Preços do AWS WAF.

        Se você quiser personalizar a solicitação ou a resposta, escolha as opções para isso e preencha os detalhes da sua personalização. Para obter mais informações, consulte Solicitações e respostas personalizadas da web no AWS WAF.

        Se você quiser que sua regra adicione rótulos às solicitações da web correspondentes, escolha as opções para isso e preencha os detalhes do rótulo. Para obter mais informações, consulte Rotulagem de solicitações da Web no AWS WAF.

      3. Em Nome, insira o nome que deseja usar para identificar esta regra. Não use nomes que comecem com AWS, Shield, PreFM ou PostFM. Essas sequências de caracteres são reservadas ou podem causar confusão com grupos de regras gerenciadas para você por outros serviços.

      4. Digite sua definição de regra, de acordo com suas necessidades. Você pode combinar regras dentro de instruções de regra AND e OR lógicas. O assistente orienta você pelas opções de cada regra, de acordo com o contexto. Para obter informações sobre as opções de regras, consulte AWS WAFRegras do .

      5. Escolha Criar regra.

        nota

        Se você adicionar mais de uma regra a um pacote de proteção (ACL da Web), o AWS WAF avaliará as regras na ordem em que elas estiverem listadas no pacote de proteção (ACL da Web). Para obter mais informações, consulte Usar pacotes de proteção (ACLs da Web) com regras e grupos de regras no AWS WAF.

    2. (Opcional) Se quiser adicionar grupos de regras gerenciadas, na página Adicionar regras escolha Grupo de regras gerenciadas pela AWS ou Grupo de regras do AWS Marketplace e depois escolha Avançar. Faça o seguinte para cada grupo de regras gerenciadas que você deseja adicionar:

      1. Na página Adicionar regras expanda a listagem de grupos de regras gerenciadas da AWS ou para o vendedor do AWS Marketplace.

      2. Escolha a versão do grupo de regras.

      3. Para personalizar como o pacote de proteção (ACL da Web) usa o grupo de regras, escolha Editar. A seguir, são mostradas as configurações de personalização comuns:

        • Reduza o escopo das solicitações da Web que o grupo de regras inspeciona adicionando uma instrução de redução de escopo na seção Inspeção. Para obter mais informações sobre esta opção, consulte Como usar instruções de escopo reduzido no AWS WAF.

        • Substitua as ações da regra para algumas ou todas as regras em Substituições de regra. Se você não definir uma ação de substituição para uma regra, a avaliação usará a ação de regra definida dentro do grupo de regras. Para obter mais informações sobre esta opção, consulte Como substituir ações de grupos de regras no AWS WAF.

        • Alguns grupos de regras gerenciadas exigem que você forneça configurações adicionais. Consulte a documentação do seu provedor de grupos de regras gerenciadas. Para obter informações específicas sobre os grupos de regras das regras gerenciadas da AWS, consulte Regras gerenciadas da AWS para o AWS WAF.

      4. Escolha Próximo.

    3. (Opcional) Se você quiser adicionar seu próprio grupo de regras, na página Adicionar regras, escolha Grupo de regras personalizadas e, em seguida, escolha Avançar. Faça o seguinte para cada grupo de regras que você deseja adicionar:

      1. Em Nome, insira o nome que você deseja usar para a regra do grupo de regras nesse pacote de proteção (ACL da Web). Não use nomes que comecem com AWS, Shield, PreFM ou PostFM. Essas sequências de caracteres são reservadas ou podem causar confusão com grupos de regras gerenciadas para você por outros serviços. Consulte Como reconhecer grupos de regras fornecidos por outros serviços.

      2. Escolha seu grupo de regras na lista.

      3. (Opcional) Em Configuração de regra, escolha uma Substituição de regra. Você pode substituir as ações da regra por qualquer configuração de ação válida, da mesma forma que pode fazer com grupos de regras gerenciadas.

      4. (Opcional) Em Adicionar rótulos, escolha Adicionar rótulo e, em seguida, insira os rótulos que você deseja adicionar às solicitações que correspondam à regra. As regras que são avaliadas posteriormente no mesmo pacote de proteção (ACL da Web) podem referenciar os rótulos que essa regra adiciona.

      5. Escolha Criar regra.

  10. Em Nome e descrição, insira um nome para o pacote de proteção (ACL da Web). Como opção, insira uma descrição.

    nota

    Você não pode alterar o nome depois de criar o pacote de proteção (ACL da Web).

  11. (Opcional) Em Personalizar pacote de proteção (ACL da Web), configure ações de regras, configurações e destino do registro em log padrão:

    1. (Opcional) Em Ações de regra padrão, escolha a ação padrão para o pacote de proteção (ACL da Web). Essa é a ação que o AWS WAF realiza em uma solicitação quando as regras no pacote de proteção (ACL da Web) não realizam uma ação explicitamente. Para obter mais informações, consulte Solicitações e respostas personalizadas da web no AWS WAF.

    2. (Opcional) Em Configuração da regra, personalize as configurações das regras no pacote de proteção (ACL da Web):

      • Limites de taxa padrão: defina limites de taxa para bloquear ataques de negação de serviço (DoS) que podem afetar a disponibilidade, comprometer a segurança ou consumir recursos em excesso. Essa regra de taxa bloqueia solicitações por endereço IP que excedem a taxa permitida para a aplicação. Para obter mais informações, consulte . Como usar instruções de regras baseadas em intervalos no AWS WAF

      • Endereços IP: insira os endereços IP a serem bloqueados ou permitidos. Essa configuração substitui outras regras.

      • Origens em país específico: bloqueie solicitações de países específicos ou conte todo o tráfego.

    3. Em Destino do registro em log, configure o tipo de destino de registro em logo e o local para armazenar os logs. Para obter mais informações, consulte Destinos de logs do AWS WAF.

  12. Revise suas configurações e escolha Adicionar pacote de proteção (ACL da Web).

Using the standard console

Esta seção fornece procedimentos para criar ACLs da Web pelo console AWS.

Para criar uma nova web ACL, use o assistente de criação de web ACL seguindo o procedimento encontrado nesta página.

Risco de tráfego de produção

Antes de implantar alterações em sua web ACL para tráfego de produção, teste-as e ajuste-as em um ambiente de preparação ou teste até se sentir confortável com o impacto potencial em seu tráfego. Em seguida, teste e ajuste suas regras atualizadas no modo de contagem com seu tráfego de produção antes de ativá-las. Para obter orientações, consulte Testar e ajustar suas proteções do AWS WAF.

nota

O uso de mais de 1.500 WCUs em um pacote de proteção (ACL da Web) gera custos além do preço básico do pacote de proteção (ACL da Web). Para obter mais informações, consulte Unidades de capacidade da ACL da Web (WCU) no AWS WAF e Definição de preço do AWS WAF.

Para criar uma web ACL

  1. Faça login no Console de gerenciamento da AWS e abra o console do AWS WAF e em https://console.aws.amazon.com/wafv2/homev2.

  2. Escolha ACLs da Web no painel de navegação e escolha Criar ACL da Web.

  3. Em Nome, insira o nome que deseja usar para identificar esta web ACL.

    nota

    Você não pode alterar o nome depois de criar a web ACL.

  4. (Opcional) Em Descrição: opcional, insira uma descrição mais longa para a web ACL, se desejar.

  5. Em Nome da métrica do CloudWatch, altere o nome padrão, se aplicável. Siga as orientações no console para usar caracteres válidos. O nome não pode conter caracteres especiais, espaços em branco ou nomes de métrica reservados para o AWS WAF, incluindo “All” e “Default_Action”.

    nota

    Você não pode alterar o nome da métrica do CloudWatch depois de criar a web ACL.

  6. Em Tipo de recurso, escolha a categoria de recurso da AWS que você deseja associar a essa web ACL, sejam distribuições do Amazon CloudFront ou recursos regionais. Para obter mais informações, consulte Associar ou desassociar um pacote de proteção a um recurso da AWS.

  7. Em Região, se você escolheu um tipo de recurso regional, selecione a região na qual deseja que o AWS WAF armazene a web ACL.

    Só é necessário escolher essa opção para tipos de recursos regionais. Para distribuições do CloudFront, a região é tem codificação rígida para a Região Leste dos EUA (Norte da Virgínia), us-east-1, para aplicativos globais (CloudFront).

  8. (CloudFront, API Gateway, Amazon Cognito, App Runner e Verified Access) Para Limite de tamanho de inspeção por solicitação da Web (opcional), se você quiser especificar um limite de tamanho de corpo de inspeção diferente, selecione o limite. Como inspecionar tamanhos de corpo acima do padrão de 16 KB pode gerar custos adicionais. Para obter mais informações sobre esta opção, consulte Considerações para gerenciar inspeção de corpo no AWS WAF.

  9. (Opcional) Para recursos associados da AWS: opcional, se você quiser especificar seus recursos agora, escolha Adicionar recursos da AWS. Na caixa de diálogo, escolha os recursos que deseja associar e, em seguida, escolha Adicionar. O AWS WAF retorna você à página Descrever web ACL e recursos da AWS associados.

    nota

    Quando você escolhe associar um Application Load Balancer à ACL da Web, a proteção contra DDoS no nível do recurso é habilitada. Para obter mais informações, consulte Prevenção de negação de serviço distribuída (DDoS) do AWS WAF.

  10. Escolha Próximo.

  11. (Opcional) Se quiser adicionar grupos de regras gerenciadas, na página Add rules and rule groups (Adicionar regras e grupos de regras) escolha Add rules (Adicionar regras), e, em seguida, escolha Add managed rule groups (Adicionar grupos de regras gerenciados). Faça o seguinte para cada grupo de regras gerenciadas que você deseja adicionar:

    1. Na página Add managed rule groups (Adicionar grupos de regras gerenciadas) expanda a listagem para grupos de regras gerenciadas da AWS ou para o vendedor do AWS Marketplace de sua escolha.

    2. Para o grupo de regras que você deseja adicionar, ative a alternância Adicionar à web ACL na coluna Ação .

      Para personalizar como sua web ACL usa o grupo de regras, escolha Editar. A seguir, são mostradas as configurações de personalização comuns:

      • Substitua as ações da regra para algumas ou todas as regras. Se você não definir uma ação de substituição para uma regra, a avaliação usará a ação de regra definida dentro do grupo de regras. Para obter mais informações sobre esta opção, consulte Como substituir ações de grupos de regras no AWS WAF.

      • Reduza o escopo das solicitações da web que o grupo de regras inspeciona adicionando uma instrução de redução de escopo. Para obter mais informações sobre esta opção, consulte Como usar instruções de escopo reduzido no AWS WAF.

      • Alguns grupos de regras gerenciadas exigem que você forneça configurações adicionais. Consulte a documentação do seu provedor de grupos de regras gerenciadas. Para obter informações específicas sobre os grupos de regras das regras gerenciadas da AWS, consulte Regras gerenciadas da AWS para o AWS WAF.

      Ao concluir suas configurações, escolha Salvar regra.

    Escolha Add rules (Adicionar regras) para concluir a adição de regras gerenciadas e retornar à página Add rules and rule groups (Adicionar regras e grupos de regras).

    nota

    Se você adicionar mais de uma regra a uma web ACL, o AWS WAF avaliará as regras na ordem em que elas estiverem listadas na web ACL. Para obter mais informações, consulte Usar pacotes de proteção (ACLs da Web) com regras e grupos de regras no AWS WAF.

  12. (Opcional) Se quiser adicionar seu próprio grupo de regras, na página Add rules and rule groups (Adicionar regras e grupos de regras) escolha Add rules (Adicionar regras), e, em seguida, escolha Add my own rules and rule groups (Adicionar minhas próprias regras e grupos de regras). Faça o seguinte para cada grupo de regras que você deseja adicionar:

    1. Na página Add my own rules and rule groups (Adicionar minhas próprias regras e grupos de regras) escolha Rule group (Grupo de regras).

    2. Em Nome, insira o nome que você deseja usar para a regra do grupo de regras nessa web ACL. Não use nomes que comecem com AWS, Shield, PreFM ou PostFM. Essas sequências de caracteres são reservadas ou podem causar confusão com grupos de regras gerenciadas para você por outros serviços. Consulte Como reconhecer grupos de regras fornecidos por outros serviços.

    3. Escolha seu grupo de regras na lista.

      nota

      Se você quiser substituir as ações de regra de um grupo de regras próprio, primeiro salve-as na ACL da Web e, em seguida, edite a ACL da Web e a instrução de referência do grupo de regras na lista de regras da ACL da Web. Você pode substituir as ações da regra por qualquer configuração de ação válida, da mesma forma que pode fazer com grupos de regras gerenciadas.

    4. Escolha Adicionar regra.

  13. (Opcional) Se você quiser adicionar sua própria regra, na página Add rules and rule groups (Adicionar regras e grupos de regras), escolha Add rules (Adicionar regras), Add my own rules and rule groups (Adicionar minhas próprias regras e grupos de regras), Rule builder (Construtor de regras), e Editor visual de regras.

    nota

    O console Editor visual de regras oferece suporte a um nível de aninhamento. Por exemplo, você pode usar uma única instrução AND ou OR lógica e aninhar um nível de outras instruções dentro dela, mas você não pode aninhar instruções lógicas dentro de instruções lógicas. Para gerenciar instruções de regra mais complexas, use o Editor JSON de regras. Para obter informações sobre todas as opções de regras, consulte AWS WAFRegras do .

    Este procedimento abrange o Editor visual de regras.

    1. Em Nome, insira o nome que deseja usar para identificar esta regra. Não use nomes que comecem com AWS, Shield, PreFM ou PostFM. Essas sequências de caracteres são reservadas ou podem causar confusão com grupos de regras gerenciadas para você por outros serviços.

    2. Digite sua definição de regra, de acordo com suas necessidades. Você pode combinar regras dentro de instruções de regra AND e OR lógicas. O assistente orienta você pelas opções de cada regra, de acordo com o contexto. Para obter informações sobre as opções de regras, consulte AWS WAFRegras do .

    3. Em Action (Ação), selecione a ação que você deseja que a regra execute quando ela corresponder a uma solicitação da web. Para obter informações sobre suas escolhas, consulte Como usar ações de regras no AWS WAF e Usar pacotes de proteção (ACLs da Web) com regras e grupos de regras no AWS WAF.

      Se for usar a ação CAPTCHA ou Challenge, ajuste a configuração Tempo de imunidade conforme necessário para a regra. Se você não especificar a configuração, a regra a herdará da web ACL. Para modificar as configurações de tempo de imunidade da web ACL, edite a web ACL depois de criá-la. Para obter mais informações sobre os tempos de imunidade, consulte Como configurar a expiração de timestamps e tempos de imunidade de token no AWS WAF.

      nota

      São cobradas taxas adicionais quando você usa a ação de regra CAPTCHA ou Challenge em uma de suas regras ou como uma substituição de ação de regra em um grupo de regras. Para obter mais informações, consulte Preços do AWS WAF.

      Se você quiser personalizar a solicitação ou a resposta, escolha as opções para isso e preencha os detalhes da sua personalização. Para obter mais informações, consulte Solicitações e respostas personalizadas da web no AWS WAF.

      Se você quiser que sua regra adicione rótulos às solicitações da web correspondentes, escolha as opções para isso e preencha os detalhes do rótulo. Para obter mais informações, consulte Rotulagem de solicitações da Web no AWS WAF.

    4. Escolha Adicionar regra.

  14. Selecione a ação padrão para a web ACL, Block ou Allow. Essa é a ação que o AWS WAF realiza em uma solicitação quando as regras na web ACL não a permitem ou bloqueiam explicitamente. Para obter mais informações, consulte Definir a ação padrão do pacote de proteção (ACL da Web) no AWS WAF.

    Se você quiser personalizar a ação padrão, escolha as opções para isso e preencha os detalhes da sua personalização. Para obter mais informações, consulte Solicitações e respostas personalizadas da web no AWS WAF.

  15. Você pode definir uma Lista de domínios de tokens para permitir o compartilhamento de tokens entre aplicativos protegidos. Os tokens são usados pelas ações CAPTCHA e Challenge e pelos SDKs de integração de aplicativos que você implementa ao usar os grupos de regras das regras gerenciadas da AWS para o AWS WAF Fraud Control, prevenção contra fraude na criação de contas (ACFP), prevenção contra apropriação de contas (ATP) do AWS WAF Fraud Control e Controle de Bots do AWS WAF.

    Não são permitidos sufixos públicos. Por exemplo, você não pode usar gov.au ou co.uk como um domínio de token.

    Por padrão, AWS WAF só aceita tokens para o domínio do recurso protegido. Se você adicionar domínios de tokens a essa lista, o AWS WAF aceitará tokens para todos os domínios da lista e para o domínio do recurso associado. Para obter mais informações, consulte Configuração da lista de domínios de tokens do pacote de proteção (ACL da Web) no AWS WAF.

  16. Escolha Próximo.

  17. Na página Definir prioridade de regra selecione e mova suas regras e grupos de regras para a ordem em que você deseja que o AWS WAF as processe. O AWS WAF processa regras a partir do topo da lista. Quando você salva a web ACL, o AWS WAF atribui configurações de prioridade numérica às regras, na ordem em que você as listou. Para obter mais informações, consulte Definir prioridade das regras.

  18. Escolha Próximo.

  19. Na página Configurar métricas, revise as opções e aplique as atualizações necessárias. Você pode combinar métricas de várias origens fornecendo o mesmo Nome de métrica do CloudWatch a elas.

  20. Escolha Próximo.

  21. Na página Review and create web ACL (Revisar e criar web ACL) verifique suas definições. Se quiser alterar qualquer área, escolha Edit (Editar) para a área. Isso retorna você à página no assistente de web ACL. Faça quaisquer alterações e, em seguida, escolha Next (Próximo) nas páginas até voltar à página Create web ACL (Revisar e criar web ACL) .

  22. Escolha Criar web ACL. O novo pacote de proteção (ACL da Web) está listado na página ACLs da Web.