Configuration AWS WAF et ses composants - AWS WAF, AWS Firewall Manager, et AWS Shield Advanced
Étape 1 : Configurer AWS WAFÉtape 2 : Création d'un site Web ACLÉtape 3 : Ajouter une règle de correspondance de chaîneÉtape 4 : Ajoutez un AWS Groupe de règles géréesÉtape 5 : terminer votre ACL configuration WebÉtape 6 : Nettoyer vos ressources

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Configuration AWS WAF et ses composants

Ce didacticiel montre comment utiliser AWS WAF pour effectuer les tâches suivantes :

  • Configuration AWS WAF.

  • Créez une liste de contrôle d'accès Web (WebACL) à l'aide de l'assistant du AWS WAF console.

  • Cliquez sur l'onglet AWS les ressources que vous souhaitez AWS WAF pour inspecter les requêtes Web pour. Ce didacticiel décrit les étapes à suivre pour Amazon CloudFront. Le processus est essentiellement le même pour un Amazon API Gateway RESTAPI, un Application Load Balancer, un AWS AppSync GraphQLAPI, un groupe d'utilisateurs Amazon Cognito, un AWS App Runner un service, ou AWS Instance d'accès vérifié.

  • Ajoutez les règles et les groupes de règles que vous souhaitez utiliser pour filtrer les demandes web. Par exemple, vous pouvez spécifier les adresses IP d'où proviennent les demandes et spécifier des valeurs dans la demande qui ne sont utilisées que par les attaquants. Pour chaque règle, vous spécifiez comment traiter les requêtes Web correspondantes. Vous pouvez faire des choses comme les bloquer ou les compter et vous pouvez lancer des défis de bot tels queCAPTCHA. Vous définissez une action pour chaque règle que vous définissez dans un site Web ACL et pour chaque règle que vous définissez dans un groupe de règles.

  • Spécifiez une action par défaut pour le WebACL, soit Block or Allow. C'est l'action qui AWS WAF prend en charge une demande lorsque les règles du Web ACL ne l'autorisent ou ne la bloquent pas explicitement.

Note

AWS vous facture généralement moins de 0,25 USD par jour pour les ressources que vous créez au cours de ce didacticiel. Lorsque vous avez terminé les opérations dans le cadre de ce didacticiel, nous vous recommandons de supprimer les ressources pour éviter de générer des frais supplémentaires.

Étape 1 : Configurer AWS WAF

Si vous n'avez pas encore suivi les étapes générales de configurationConfiguration de votre compte pour utiliser les services, faites-le maintenant.

Étape 2 : Création d'un site Web ACL

Le AWS WAF la console vous guide tout au long du processus de configuration AWS WAF pour bloquer ou autoriser les requêtes Web en fonction de critères que vous spécifiez, tels que les adresses IP d'où proviennent les demandes ou les valeurs contenues dans les demandes. Au cours de cette étape, vous allez créer un site WebACL. Pour plus d'informations sur AWS WAF webACLs, voirUtilisation du Web ACLs dans AWS WAF.

Pour créer un site Web ACL

  1. Connectez-vous au AWS Management Console et ouvrez le AWS WAF console à https://console.aws.amazon.com/wafv2/.

  2. À partir du AWS WAF page d'accueil, choisissez Create web ACL.

  3. Dans Nom, entrez le nom que vous souhaitez utiliser pour identifier ce site WebACL.

    Note

    Vous ne pouvez pas modifier le nom après avoir créé le site WebACL.

  4. (Facultatif) Pour Description : facultatif, entrez une description plus longue pour le Web ACL si vous le souhaitez.

  5. Pour le nom de la CloudWatch métrique, modifiez le nom par défaut le cas échéant. Suivez les instructions sur la console pour connaître les caractères valides. Le nom ne peut pas contenir de caractères spéciaux, d'espaces blancs ou de noms de métriques réservés à AWS WAF, y compris « All » et « Default_Action ».

    Note

    Vous ne pouvez pas modifier le nom de la CloudWatch métrique après avoir créé le WebACL.

  6. Pour Type de ressource, choisissez CloudFrontles distributions. La région est automatiquement renseignée en Global (CloudFront) pour les CloudFront distributions.

  7. (Facultatif) Pour Associated AWS ressources - facultatif, choisissez Ajouter AWS ressources. Dans la boîte de dialogue, choisissez les ressources que vous souhaitez associer, puis choisissez Ajouter. AWS WAF vous renvoie au site Web Describe ACL et aux pages associées AWS page de ressources.

  8. Choisissez Suivant.

Étape 3 : Ajouter une règle de correspondance de chaîne

Dans cette étape, vous créez une règle avec une instruction de correspondance de chaîne et indiquez ce qu'il faut faire avec les demandes de correspondance. Une déclaration de règle de correspondance de chaînes identifie les chaînes que vous souhaitez AWS WAF à rechercher dans une demande. En général, une chaîne est composée de ASCII caractères imprimables, mais vous pouvez spécifier n'importe quel caractère, de l'hexadécimal 0x00 à 0xFF (décimal 0 à 255). Outre la chaîne à rechercher, vous spécifiez le composant de requête Web que vous souhaitez rechercher, tel qu'un en-tête, une chaîne de requête ou le corps de la demande.

Ce type d'instruction fonctionne sur un composant de requête Web et nécessite les paramètres de composant de demande suivants :

  • Composant de demande : partie de la requête Web destinée à inspecter, par exemple, une chaîne de requête ou le corps de la requête.

    Avertissement

    Si vous inspectez le corps, le JSONcorps, les en-têtes ou les cookies des composants de la demande, renseignez-vous sur les limites relatives à la quantité de contenu AWS WAF peut inspecter àGestion des composants de requête Web surdimensionnés dans AWS WAF.

    Pour plus d'informations sur les composants des requêtes Web, consultezRéglage des paramètres des instructions de règle dans AWS WAF.

  • Transformations de texte facultatives : transformations souhaitées AWS WAF à exécuter sur le composant de requête avant de l'inspecter. Par exemple, vous pouvez passer en minuscules ou normaliser les espaces blancs. Si vous spécifiez plusieurs transformations, AWS WAF les traite dans l'ordre indiqué. Pour plus d’informations, veuillez consulter Utilisation de transformations de texte dans AWS WAF.

Pour plus d'informations sur AWS WAF règles, voirUtilisation AWS WAF rules.

Pour créer une instruction de règle de correspondance de chaîne

  1. Sur la page Ajouter des règles et des groupes de règles, choisissez Ajouter des règles, Ajouter mes propres règles et groupes de règles, Générateur de règles, puis Éditeur visuel de règles.

    Note

    La console fournit l'éditeur visuel de règles ainsi qu'un JSONéditeur de règles. L'JSONéditeur vous permet de copier facilement des configurations entre le Web ACLs et est nécessaire pour les ensembles de règles plus complexes, tels que ceux comportant plusieurs niveaux d'imbrication.

    Cette procédure utilise l' éditeur visuel de règles.

  2. Dans la zone Nom, entrez le nom que vous souhaitez utiliser pour identifier cette règle.

  3. Pour Type choisissez Règle régulière.

  4. Pour Si une demande choisissez correspond à l'instruction.

    Les autres options concernent les types d'instructions de règles logiques. Vous pouvez les utiliser pour combiner ou annuler les résultats d'autres déclarations de règles.

  5. Dans Statement, pour Inspect, ouvrez le menu déroulant et choisissez le composant de requête Web que vous souhaitez AWS WAF pour inspecter. Pour cet exemple, choisissez En-tête unique.

    Lorsque vous choisissez En-tête unique, vous spécifiez également l'en-tête que vous souhaitez AWS WAF pour inspecter. Saisissez User-Agent. Cette valeur n'est pas sensible à la casse.

  6. Pour Type de correspondance, choisissez l'endroit où la chaîne spécifiée doit apparaître dans l'en-tête User-Agent.

    Pour cet exemple, choisissez Exactly matches string (Correspond exactement à la chaîne). Cela indique que AWS WAF inspecte l'en-tête de l'agent utilisateur de chaque demande Web à la recherche d'une chaîne identique à la chaîne que vous spécifiez.

  7. Pour que String corresponde, spécifiez la chaîne que vous souhaitez AWS WAF pour rechercher. La longueur maximale de String to match (Chaîne de correspondance) est 200 caractères. Si vous souhaitez spécifier une valeur codée en base64, vous pouvez spécifier jusqu'à 200 caractères avant l'encodage.

    Pour cet exemple, entrez MyAgent. AWS WAF inspectera la valeur de l'User-Agenten-tête dans les requêtes WebMyAgent.

  8. Laissez Text transformation (Transformation de texte) définie sur None (Aucun).

  9. Pour Action, sélectionnez l'action que vous souhaitez que la règle exécute lorsqu'elle correspond à une requête Web. Pour cet exemple, choisissez Count et laissez les autres choix tels quels. L'action de comptage crée des métriques pour les requêtes Web conformes à la règle, mais n'a aucune incidence sur le fait que la demande soit autorisée ou bloquée. Pour plus d'informations sur les choix d'action, reportez-vous Utilisation des actions liées aux règles dans AWS WAF aux sections etUtilisation du Web ACLs avec des règles et des groupes de règles dans AWS WAF.

  10. Choisissez Ajouter une règle.

Étape 4 : Ajoutez un AWS Groupe de règles gérées

AWS Managed Rules propose un ensemble de groupes de règles gérés que vous pouvez utiliser, dont la plupart sont gratuits pour AWS WAF clients. Pour de plus amples informations sur les groupes de correctifs, veuillez consulter Utilisation AWS WAF groupes de règles. Nous allons ajouter un AWS Groupe de règles gérées sur ce site WebACL.

Pour ajouter un AWS Groupe de règles gérées

  1. Dans la page Ajouter des règles et des groupes de règles, choisissez Ajouter des règles, puis Ajouter des groupes de règles gérées.

  2. Sur la page Ajouter des groupes de règles gérés, développez la liste des AWS groupes de règles gérés. (Vous verrez également les annonces proposées pour AWS Marketplace vendeurs. Vous pouvez vous abonner à leurs offres puis les utiliser de la même manière que pour AWS Règles gérées (groupes de règles)

  3. Pour le groupe de règles que vous souhaitez ajouter, procédez comme suit :

    1. Dans la colonne Action, activez le ACL bouton Ajouter au Web.

    2. Sélectionnez Modifier et, dans la liste des règles du groupe de règles, ouvrez le menu déroulant Annuler toutes les actions des règles et sélectionnez Count. Cela définit l'action pour toutes les règles du groupe de règles de manière à ce qu'elles soient prises en compte uniquement. Cela vous permet de voir comment toutes les règles du groupe de règles se comportent avec vos requêtes Web avant de les utiliser.

    3. Choisissez Enregistrer la règle.

  4. Sur la page Ajouter des groupes de règles gérés, sélectionnez Ajouter des règles. Cela vous renvoie à la page Ajouter des règles et des groupes de règles.

Étape 5 : terminer votre ACL configuration Web

Lorsque vous avez terminé d'ajouter des règles et des groupes de règles à votre ACL configuration Web, terminez en gérant la priorité des règles sur le Web ACL et en configurant des paramètres tels que les métriques, le balisage et la journalisation.

Pour terminer votre ACL configuration Web

  1. Dans la page Ajouter des règles et des groupes de règles, choisissez Suivant.

  2. Sur la page Définir la priorité des règles, vous pouvez voir l'ordre de traitement des règles et des groupes de règles sur le WebACL. AWS WAF les traite en commençant par le haut de la liste. Vous pouvez modifier l'ordre de traitement en déplaçant les règles vers le haut ou vers le bas. Pour ce faire, sélectionnez-en une dans la liste et choisissez Déplacer vers le haut ou Déplacer vers le bas. Pour plus d'informations sur la priorité des règles, consultez Définition de la priorité des règles sur un site Web ACL.

  3. Choisissez Suivant.

  4. Sur la page Configurer les métriques, pour les CloudWatchmétriques Amazon, vous pouvez voir les métriques planifiées pour vos règles et groupes de règles, ainsi que les options d'échantillonnage des requêtes Web. Pour plus d'informations sur l'affichage des exemples de demandes, consultezAffichage d'un exemple de demandes web. Pour plus d'informations sur CloudWatch les métriques Amazon, consultezSurveillance avec Amazon CloudWatch.

    Vous pouvez accéder aux résumés des statistiques du trafic Web sur la page ACL Web dans le AWS WAF console, sous l'onglet Vue d'ensemble du trafic. Les tableaux de bord de la console fournissent des résumés en temps quasi réel des statistiques ACL Amazon CloudWatch du Web. Pour de plus amples informations, veuillez consulter Tableaux de bord de présentation du trafic Web ACL.

  5. Choisissez Suivant.

  6. Sur la ACL page Réviser et créer, vérifiez vos paramètres, puis choisissez Créer un site Web ACL.

L'assistant vous renvoie à la ACL page Web où votre nouveau site Web ACL est répertorié.

Étape 6 : Nettoyer vos ressources

Vous avez maintenant terminé le didacticiel. Pour éviter que votre compte n'accumule des sommes supplémentaires AWS WAF charge, nettoyez le AWS WAF objets que vous avez créés. Vous pouvez également modifier la configuration pour qu'elle corresponde aux requêtes Web que vous souhaitez réellement gérer à l'aide de AWS WAF.

Note

AWS vous facture généralement moins de 0,25 USD par jour pour les ressources que vous créez au cours de ce didacticiel. Lorsque vous avez terminé, nous vous recommandons de supprimer les ressources pour éviter de générer des frais supplémentaires.

Pour supprimer les objets qui AWS WAF frais pour

  1. Sur la ACL page Web, sélectionnez votre site Web ACL dans la liste et choisissez Modifier.

  2. À propos de l'Associated AWS onglet ressources, pour chaque ressource associée, sélectionnez le bouton radio à côté du nom de la ressource, puis choisissez Dissocier. Cela dissocie le Web ACL de votre AWS ressources.

  3. Dans chacun des écrans suivants, choisissez Next jusqu'à ce que vous reveniez à la ACL page Web.

    Sur la ACL page Web, sélectionnez votre site Web ACL dans la liste et choisissez Supprimer.

Les règles et les instructions de règles n'existent pas en dehors des groupes de règles et des ACL définitions Web. Si vous supprimez un site WebACL, toutes les règles individuelles que vous avez définies sur le Web ACL sont supprimées. Lorsque vous supprimez un groupe de règles d'un site WebACL, il vous suffit de supprimer la référence à celui-ci.