Test des listes ACL web - AWS WAF, AWS Firewall Manager, et AWS Shield Advanced
Comptabilisation des demandes web qui correspondent aux règles dans une liste ACL webAffichage d'un échantillon des requêtes Web qu'API Gateway CloudFront ou un Application Load Balancer a transmises à Classic AWS WAF

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Test des listes ACL web

Note

Il s'agit d'une documentation AWS WAF classique. Vous ne devez utiliser cette version que si vous avez créé AWS WAF des ressources, telles que des règles et des ACL Web, AWS WAF avant novembre 2019, et que vous ne les avez pas encore migrées vers la dernière version. Pour migrer vos ressources, veuillez consulter Migration de vos ressources AWS WAF classiques vers AWS WAF.

Pour la dernière version de AWS WAF, voirAWS WAF.

Pour vous assurer de ne pas configurer accidentellement AWS WAF Classic pour bloquer les requêtes Web que vous souhaitez autoriser ou autoriser les demandes que vous souhaitez bloquer, nous vous recommandons de tester minutieusement votre ACL Web avant de commencer à l'utiliser sur votre site Web ou votre application Web.

Comptabilisation des demandes web qui correspondent aux règles dans une liste ACL web

Lorsque vous ajoutez des règles à une ACL Web, vous spécifiez si vous souhaitez que AWS WAF Classic autorise, bloque ou compte les requêtes Web qui répondent à toutes les conditions de cette règle. Nous vous recommandons de commencer par la configuration suivante :

  • Configurer toutes les règles d'une liste ACL web pour compter les requêtes web

  • Définir l'action par défaut pour que la liste ACL autorise les requêtes

Dans cette configuration, AWS WAF Classic inspecte chaque requête Web en fonction des conditions de la première règle. Si la requête Web répond à toutes les conditions de cette règle, AWS WAF Classic incrémente un compteur pour cette règle. AWS WAF Classic inspecte ensuite la requête Web en fonction des conditions de la règle suivante. Si la demande répond à toutes les conditions de cette règle, AWS WAF Classic incrémente un compteur pour la règle. Cela continue jusqu'à ce que AWS WAF Classic ait inspecté la demande en fonction des conditions de toutes vos règles.

Une fois que vous avez configuré toutes les règles d'une ACL Web pour compter les demandes et que vous avez associé l'ACL Web à une API Amazon API Gateway, à une CloudFront distribution ou à un Application Load Balancer, vous pouvez consulter les dénombrements obtenus dans un graphique Amazon CloudWatch. Pour chaque règle d'une ACL Web et pour toutes les demandes qu'API Gateway CloudFront ou un Application Load Balancer transmet à AWS WAF Classic pour une ACL Web, vous pouvez CloudWatch  :

  • d'afficher les données de la dernière heure ou des trois dernières heures ;

  • de modifier l'intervalle entre les points de données ;

  • Modifier le calcul effectué sur CloudWatch les données, tel que le maximum, le minimum, la moyenne ou la somme

Note

AWS WAF Classic with CloudFront est un service mondial et les statistiques ne sont disponibles que lorsque vous choisissez la région USA Est (Virginie du Nord) dans le AWS Management Console. Si vous choisissez une autre région, aucune métrique AWS WAF classique n'apparaîtra dans la CloudWatch console.

Pour afficher les données des règles d'une liste ACL web

  1. Connectez-vous à la CloudWatch console AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/cloudwatch/.

  2. Dans le volet de navigation, sous Metrics, choisissez WAF.

  3. Cochez la case de la liste ACL web dont vous voulez afficher les données.

  4. Modifiez les paramètres applicables :

    Statistique

    Choisissez le calcul à CloudWatch effectuer sur les données.

    Plage horaire

    Choisissez si vous souhaitez afficher les données de la dernière heure ou des trois dernières heures.

    Période

    Choisissez l'intervalle entre les points de données sur le graphique.

    Règles

    Choisissez les règles dont vous souhaitez afficher les données.

    Notez ce qui suit :

    • Si vous venez d'associer une ACL Web à une API API Gateway, à une CloudFront distribution ou à un Application Load Balancer, vous devrez peut-être attendre quelques minutes pour que les données apparaissent dans le graphique et que la métrique de l'ACL Web apparaisse dans la liste des métriques disponibles.

    • Si vous associez plusieurs API API Gateway, CloudFront distributions ou Application Load Balancer à une ACL Web, les CloudWatch données incluront toutes les demandes pour toutes les distributions associées à l'ACL Web.

    • Vous pouvez passer le curseur de la souris sur un point de données pour obtenir plus d'informations.

    • Le graphique n'est pas actualisé automatiquement. Pour mettre à jour l'affichage, cliquez sur l'icône ( Icon to refresh the Amazon CloudWatch graph ).

  5. (Facultatif) Affichez des informations détaillées sur les demandes individuelles qu'API Gateway CloudFront ou un Application Load Balancer a transmises à AWS WAF Classic. Pour plus d’informations, consultez Affichage d'un échantillon des requêtes Web qu'API Gateway CloudFront ou un Application Load Balancer a transmises à Classic AWS WAF.

  6. Si vous déterminez qu'une règle intercepte des requêtes que vous ne voulez pas qu'elle intercepte, modifiez les paramètres applicables. Pour plus d’informations, consultez Création et configuration d'une liste de contrôle d'accès web (liste ACL web).

    Lorsque vous êtes satisfait que toutes vos règles interceptent uniquement les bonnes requêtes, définissez l'action pour chacune de vos règles sur Allow ou Block. Pour plus d’informations, consultez Modification d'une liste ACL web.

Affichage d'un échantillon des requêtes Web qu'API Gateway CloudFront ou un Application Load Balancer a transmises à Classic AWS WAF

Dans la console AWS WAF Classic, vous pouvez consulter un échantillon des demandes qu'API Gateway CloudFront ou un Application Load Balancer a transmises à AWS WAF Classic pour inspection. Pour chaque exemple de requête, vous pouvez afficher des données détaillées sur la requête, telles que l'adresse IP d'origine et les en-têtes inclus dans la requête. Vous pouvez aussi afficher la règle à laquelle correspondait la requête, et si la règle est configurée pour autoriser ou bloquer des requêtes.

L'exemple de requêtes contient jusqu'à 100 demandes qui correspondaient à toutes les conditions de chaque règle et 100 autres demandes pour l'action par défaut, qui s'applique aux demandes qui ne correspondaient pas à toutes les conditions d'une règle. Les demandes présentées dans l'exemple proviennent de toutes les API API Gateway, de tous les sites CloudFront périphériques ou de tous les équilibreurs de charge d'application qui ont reçu des demandes concernant votre contenu au cours des 15 dernières minutes.

Pour consulter un échantillon des requêtes Web qu'API Gateway CloudFront ou un Application Load Balancer a transmises à Classic AWS WAF

  1. Connectez-vous à la AWS WAF console AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/wafv2/.

    Si le bouton Passer à la AWS WAF version classique apparaît dans le volet de navigation, sélectionnez-le.

  2. Dans le volet de navigation, sélectionnez la liste ACL web dont vous souhaitez afficher les requêtes.

  3. Dans le volet droit, choisissez l'onglet Requests.

    Le tableau Sampled requests affiche les valeurs suivantes pour chaque requête :

    IP Source

    Soit l'adresse IP d'origine de la demande, soit, si le lecteur a utilisé un proxy HTTP ou un Application Load Balancer pour envoyer la demande, l'adresse IP du proxy ou de l'Application Load Balancer.

    URI

    Le chemin URI de la demande, qui identifie la ressource, par exemple,/images/daily-ad.jpg. Cela n'inclut pas la chaîne de requête ou les composants du fragment de l'URI. Pour plus d'informations, voir Uniform Resource Identifier (URI) : syntaxe générique.

    Correspond à la règle

    Identifie la première règle dans la liste ACL web pour laquelle la requête web correspondait à toutes les conditions. Si une requête web ne correspond pas à toutes les conditions d'une règle dans la liste ACL web, la valeur de Matches rule est Default.

    Notez que lorsqu'une requête Web répond à toutes les conditions d'une règle et que l'action correspondant à cette règle est Count, AWS WAF Classic continue d'inspecter la demande Web en fonction des règles suivantes de l'ACL Web. Dans ce cas, une requête web peut apparaître deux fois dans la liste des exemples de requêtes : une fois pour la règle qui a une action Count et à nouveau pour une règle suivante ou pour l'action par défaut.

    Action

    Indique si l'action pour la règle correspondante est Allow, Block ou Count.

    Heure

    Heure à laquelle AWS WAF Classic a reçu la demande d'API Gateway CloudFront ou de votre Application Load Balancer.

  4. Pour afficher des informations supplémentaires sur la demande, cliquez sur la flèche située sur le côté gauche de l'adresse IP de cette demande. AWS WAF Classic affiche les informations suivantes :

    IP Source

    La même adresse IP que la valeur dans la colonne Source IP du tableau.

    Pays

    Le code à deux lettres du pays d'où provient la requête. Si le lecteur a utilisé un proxy HTTP ou un Application Load Balancer pour envoyer la demande, il s'agit du code de pays à deux lettres du pays dans lequel se trouve le proxy HTTP ou un Application Load Balancer.

    Pour obtenir une liste des codes de pays à deux lettres et les noms de pays correspondants, consultez la page Wikipédia ISO 3166-1 alpha-2.

    Méthode

    La méthode de requête HTTP pour la requête : GET, HEAD, OPTIONS, PUT, POST, PATCH ou DELETE.

    URI

    Le même URI que la valeur de la colonne URI du tableau.

    En-têtes de demandes

    Les en-têtes de requête et les valeurs d'en-tête de la requête.

  5. Pour actualiser la liste des exemples de requêtes, choisissez Get new samples.