Como AWS WAF lida com as ações de regras e grupos de regras - AWS WAF, AWS Firewall Manager, AWS Shield Advanced, e diretor AWS Shield de segurança de rede

Apresentando uma nova experiência de console para AWS WAF

Agora você pode usar a experiência atualizada para acessar a AWS WAF funcionalidade em qualquer lugar do console. Consulte mais detalhes em Trabalhando com a experiência atualizada do console.

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Como AWS WAF lida com as ações de regras e grupos de regras

Esta seção explica como AWS WAF usa regras e grupos de regras para lidar com ações.

Ao configurar suas regras e grupos de regras, você escolhe como deseja AWS WAF lidar com as solicitações da web correspondentes:

  • Allowe Block estão encerrando ações — Allow e as Block ações interrompem todos os outros processamentos do pacote de proteção ou da ACL da web na solicitação da web correspondente. Se uma regra em um pacote de proteção ou ACL da web encontrar uma correspondência para uma solicitação e a ação da regra for Allow ouBlock, essa correspondência determinará a disposição final da solicitação da web para o pacote de proteção ou a ACL da web. AWS WAF não processa nenhuma outra regra no pacote de proteção ou na ACL da web que venha depois da correspondente. Isso vale para regras que você adiciona diretamente ao pacote de proteção ou ACL da web e regras que estão dentro de um grupo de regras adicionado. Com a ação Block, o recurso protegido não recebe nem processa a solicitação da web.

  • Counté uma ação sem encerramento — quando uma regra com uma Count ação corresponde a uma solicitação, AWS WAF conta a solicitação e continua processando as regras que seguem no pacote de proteção ou no conjunto de regras da Web ACL.

  • CAPTCHAe Challenge podem ser ações de encerramento ou encerramento — quando uma regra com uma dessas ações corresponde a uma solicitação, AWS WAF verifica o status do token. Se a solicitação tiver um token válido, AWS WAF tratará a correspondência de forma semelhante a uma Count correspondência e, em seguida, continuará processando as regras que seguem no pacote de proteção ou no conjunto de regras da Web ACL. Se a solicitação não tiver um token válido, AWS WAF encerra a avaliação e envia ao cliente um quebra-cabeça CAPTCHA ou um desafio silencioso de uma sessão de cliente em segundo plano para resolver.

Se a avaliação da regra não resultar em nenhuma ação de encerramento, AWS WAF aplique o pacote de proteção ou a ação padrão da Web ACL à solicitação. Para mais informações, consulte Definindo a ação padrão do pacote de proteção ou da ACL da web em AWS WAF.

Em seu pacote de proteção ou ACL da web, você pode substituir as configurações de ação das regras dentro de um grupo de regras e pode substituir a ação retornada por um grupo de regras. Para mais informações, consulte Substituindo ações do grupo de regras em AWS WAF.

Interação entre ações e configurações de prioridade

As ações que AWS WAF se aplicam a uma solicitação da web são afetadas pelas configurações de prioridade numérica das regras no pacote de proteção ou na ACL da web. Por exemplo, digamos que seu pacote de proteção ou ACL da web tenha uma regra com Allow ação e uma prioridade numérica de 50 e outra regra com Count ação e uma prioridade numérica de 100. AWS WAF avalia as regras em um pacote de proteção ou ACL da web na ordem de prioridade, começando pela configuração mais baixa, portanto, avaliará a regra de permissão antes da regra de contagem. Uma solicitação da web que corresponda às duas regras corresponderá primeiro à regra de permissão. Como Allow é uma ação de encerramento, AWS WAF interromperá a avaliação nesta partida e não avaliará a solicitação de acordo com a regra de contagem.

  • Se você quiser incluir apenas solicitações que não correspondam à regra de permissão nas métricas da regra de contagem, as configurações de prioridade das regras funcionarão.

  • Por outro lado, se você quiser contar métricas da regra de contagem, mesmo para solicitações que correspondam à regra de permissão, precisará atribuir à regra de contagem uma configuração de prioridade numérica menor do que a regra de permissão, para que ela seja executada primeiro.

Para obter mais informações sobre configurações de prioridade, consulte Definindo a prioridade da regra.