Action de la règle

L'action de règle indique AWS WAF ce qu'il faut faire avec une requête Web lorsqu'elle répond aux critères définis dans la règle. Vous pouvez éventuellement ajouter un comportement personnalisé à chaque action de règle.

Note

Les actions relatives aux règles peuvent être terminales ou non. Une action de terminaison arrête l'évaluation ACL Web de la demande et la laisse continuer vers votre application protégée ou la bloque.

Voici les options d'action de la règle :

• Allow— AWS WAF permet à la demande d'être transmise à la AWS ressource protégée pour traitement et réponse. Il s'agit d'une action terminale. Dans les règles que vous définissez, vous pouvez insérer des en-têtes personnalisés dans la demande avant de la transmettre à la ressource protégée.

• Block— AWS WAF bloque la demande. Il s'agit d'une action terminale. Par défaut, votre AWS ressource protégée répond par un code d'403 (Forbidden)état HTTP. Dans les règles que vous définissez, vous pouvez personnaliser la réponse. En cas de AWS WAF blocage d'une demande, les paramètres Block d'action déterminent la réponse que la ressource protégée renvoie au client.

• Count— AWS WAF compte la demande mais ne détermine pas s'il faut l'autoriser ou la bloquer. Il s'agit d'une action sans fin. AWS WAF continue de traiter les règles restantes dans l'ACL Web. Dans les règles que vous définissez, vous pouvez insérer des en-têtes personnalisés dans la demande et ajouter des libellés auxquels d'autres règles peuvent correspondre.

• CAPTCHAet Challenge — AWS WAF utilise des puzzles CAPTCHA et des défis silencieux pour vérifier que la demande ne provient pas d'un bot, et AWS WAF utilise des jetons pour suivre les récentes réponses positives des clients.

  Note

  Des frais supplémentaires vous sont facturés lorsque vous utilisez l'action CAPTCHA ou la Challenge règle dans l'une de vos règles ou en tant que dérogation d'action de règle dans un groupe de règles. Pour plus d’informations, consultez Tarification d’AWS WAF.

  Ces actions de règles peuvent être terminales ou non, selon l'état du jeton dans la demande :

  • Non résiliable pour un jeton valide et non expiré : si le jeton est valide et non expiré conformément au CAPTCHA configuré ou à la durée d'immunité au défi, AWS WAF gère la demande de la même manière que l'action. Count AWS WAF continue d'inspecter la requête Web en fonction des règles restantes de l'ACL Web. Comme pour la Count configuration, dans les règles que vous définissez, vous pouvez éventuellement configurer ces actions avec des en-têtes personnalisés à insérer dans la demande, et vous pouvez ajouter des étiquettes auxquelles d'autres règles peuvent correspondre.

  • Terminer par une demande bloquée pour un jeton non valide ou expiré — Si le jeton n'est pas valide ou si l'horodatage indiqué est expiré, AWS WAF met fin à l'inspection de la requête Web et bloque la demande, comme dans le cas de l'action. Block AWS WAF répond ensuite au client avec un code de réponse personnalisé. En CAPTCHA effet, si le contenu de la demande indique que le navigateur client peut la gérer, AWS WAF envoie un casse-tête CAPTCHA dans un JavaScript interstitiel, conçu pour distinguer les clients humains des robots. Pour l'Challengeaction, AWS WAF envoie un JavaScript interstitiel avec un défi silencieux conçu pour distinguer les navigateurs normaux des sessions exécutées par des robots.

  Pour plus d’informations, consultez CAPTCHAet Challenge dans AWS WAF.

Pour plus d'informations sur la personnalisation des demandes et des réponses, consultezDemandes et réponses Web personnalisées dans AWS WAF.

Pour plus d'informations sur l'ajout d'étiquettes aux demandes correspondantes, consultezAWS WAF libellés sur les requêtes Web.

Pour plus d'informations sur la façon dont l'ACL Web et les paramètres des règles interagissent, consultezÉvaluation des règles ACL Web et des groupes de règles.