Mengesampingkan tindakan grup aturan di AWS WAF - AWS WAF, AWS Firewall ManagerAWS Shield Advanced, dan direktur keamanan AWS Shield jaringan
Pengesampingan tindakan aturan kelompok aturanTindakan pengembalian grup aturan ditimpa ke Count

Memperkenalkan pengalaman konsol baru untuk AWS WAF

Anda sekarang dapat menggunakan pengalaman yang diperbarui untuk mengakses AWS WAF fungsionalitas di mana saja di konsol. Untuk detail selengkapnya, lihat Bekerja dengan pengalaman konsol yang diperbarui.

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Mengesampingkan tindakan grup aturan di AWS WAF

Bagian ini menjelaskan cara mengganti tindakan grup aturan.

Saat menambahkan grup aturan ke paket perlindungan (web ACL), Anda dapat mengganti tindakan yang dilakukan pada permintaan web yang cocok. Mengganti tindakan untuk grup aturan di dalam konfigurasi paket perlindungan (web ACL) Anda tidak mengubah grup aturan itu sendiri. Ini hanya mengubah cara AWS WAF menggunakan grup aturan dalam konteks paket perlindungan (web ACL).

Pengesampingan tindakan aturan kelompok aturan

Anda dapat mengganti tindakan aturan di dalam grup aturan ke tindakan aturan yang valid. Saat Anda melakukan ini, permintaan yang cocok ditangani persis seolah-olah tindakan aturan yang dikonfigurasi adalah pengaturan penggantian.

catatan

Tindakan aturan dapat mengakhiri atau tidak mengakhiri. Tindakan penghentian menghentikan evaluasi paket perlindungan (web ACL) atas permintaan dan memungkinkannya melanjutkan ke aplikasi Anda yang dilindungi atau memblokirnya.

Berikut adalah opsi tindakan aturan:

  • Allow— AWS WAF memungkinkan permintaan diteruskan ke AWS sumber daya yang dilindungi untuk diproses dan direspon. Ini adalah tindakan penghentian. Dalam aturan yang Anda tentukan, Anda dapat menyisipkan header khusus ke dalam permintaan sebelum meneruskannya ke sumber daya yang dilindungi.

  • Block— AWS WAF memblokir permintaan. Ini adalah tindakan penghentian. Secara default, AWS sumber daya Anda yang dilindungi merespons dengan kode 403 (Forbidden) status HTTP. Dalam aturan yang Anda tentukan, Anda dapat menyesuaikan respons. Saat AWS WAF memblokir permintaan, pengaturan Block tindakan menentukan respons yang dikirim kembali oleh sumber daya yang dilindungi ke klien.

  • Count— AWS WAF menghitung permintaan tetapi tidak menentukan apakah akan mengizinkan atau memblokirnya. Ini adalah tindakan yang tidak mengakhiri. AWS WAF terus memproses aturan yang tersisa dalam paket perlindungan (web ACL). Dalam aturan yang Anda tentukan, Anda dapat menyisipkan header khusus ke dalam permintaan dan Anda dapat menambahkan label yang dapat dicocokkan dengan aturan lain.

  • CAPTCHAdan Challenge — AWS WAF menggunakan teka-teki CAPTCHA dan tantangan diam untuk memverifikasi bahwa permintaan tersebut tidak berasal dari bot, dan AWS WAF menggunakan token untuk melacak respons klien yang berhasil baru-baru ini.

    Teka-teki CAPTCHA dan tantangan diam hanya dapat berjalan ketika browser mengakses titik akhir HTTPS. Klien browser harus berjalan dalam konteks aman untuk mendapatkan token.

    catatan

    Anda akan dikenakan biaya tambahan ketika Anda menggunakan tindakan CAPTCHA atau Challenge aturan di salah satu aturan Anda atau sebagai penggantian tindakan aturan dalam grup aturan. Untuk informasi selengkapnya, silakan lihat Harga AWS WAF.

    Tindakan aturan ini dapat mengakhiri atau tidak mengakhiri, tergantung pada status token dalam permintaan:

    • Non-terminating untuk token yang valid dan belum kedaluwarsa — Jika token valid dan belum kedaluwarsa sesuai dengan CAPTCHA yang dikonfigurasi atau waktu kekebalan tantangan, AWS WAF menangani permintaan yang serupa dengan tindakan. Count AWS WAF terus memeriksa permintaan web berdasarkan aturan yang tersisa dalam paket perlindungan (web ACL). Mirip dengan Count konfigurasi, dalam aturan yang Anda tentukan, Anda dapat mengonfigurasi tindakan ini secara opsional dengan header khusus untuk dimasukkan ke dalam permintaan, dan Anda dapat menambahkan label yang dapat dicocokkan dengan aturan lain.

    • Mengakhiri dengan permintaan yang diblokir untuk token yang tidak valid atau kedaluwarsa - Jika token tidak valid atau stempel waktu yang ditunjukkan kedaluwarsa, AWS WAF menghentikan pemeriksaan permintaan web dan memblokir permintaan, mirip dengan tindakan. Block AWS WAF kemudian merespons klien dengan kode respons khusus. SebabCAPTCHA, jika isi permintaan menunjukkan bahwa browser klien dapat menanganinya, AWS WAF mengirimkan teka-teki CAPTCHA dalam JavaScript interstisial, yang dirancang untuk membedakan klien manusia dari bot. Untuk Challenge aksinya, AWS WAF kirimkan JavaScript pengantara dengan tantangan diam yang dirancang untuk membedakan browser normal dari sesi yang dijalankan oleh bot.

    Untuk informasi tambahan, lihat CAPTCHAdan Challenge di AWS WAF.

Untuk informasi tentang cara menggunakan opsi ini, lihatMengesampingkan tindakan aturan dalam grup aturan.

Mengesampingkan tindakan aturan untuk Count

Kasus penggunaan yang paling umum untuk penggantian tindakan aturan adalah mengesampingkan beberapa atau semua tindakan aturan keCount, untuk menguji dan memantau perilaku kelompok aturan sebelum memasukkannya ke dalam produksi.

Anda juga dapat menggunakan ini untuk memecahkan masalah grup aturan yang menghasilkan positif palsu. Positif palsu terjadi ketika grup aturan memblokir lalu lintas yang tidak Anda harapkan untuk diblokir. Jika Anda mengidentifikasi aturan dalam grup aturan yang akan memblokir permintaan yang ingin Anda izinkan, Anda dapat menyimpan penggantian tindakan hitungan pada aturan tersebut, untuk mengecualikannya agar tidak bertindak sesuai permintaan Anda.

Untuk informasi selengkapnya tentang penggunaan penggantian tindakan aturan dalam pengujian, lihatMenguji dan menyetel perlindungan Anda AWS WAF.

Daftar JSON: menggantikan RuleActionOverridesExcludedRules

Jika Anda menetapkan tindakan aturan grup aturan ke Count dalam konfigurasi paket perlindungan (web ACL) sebelum 27 Oktober 2022, AWS WAF menyimpan penggantian Anda dalam paket perlindungan (web ACL) JSON sebagai. ExcludedRules Sekarang, pengaturan JSON untuk mengganti aturan Count ada di pengaturan. RuleActionOverrides

Kami menyarankan Anda memperbarui semua ExcludedRules pengaturan Anda di daftar JSON Anda ke RuleActionOverrides pengaturan dengan tindakan yang disetel keCount. API menerima salah satu pengaturan, tetapi Anda akan mendapatkan konsistensi dalam daftar JSON Anda, antara pekerjaan konsol Anda dan pekerjaan API Anda, jika Anda hanya menggunakan setelan baruRuleActionOverrides.

catatan

Di AWS WAF konsol, tab permintaan sampel paket perlindungan (web ACL) tidak menampilkan sampel untuk aturan dengan pengaturan lama. Untuk informasi selengkapnya, lihat Melihat contoh permintaan web.

Saat Anda menggunakan AWS WAF konsol untuk mengedit pengaturan grup aturan yang ada, konsol secara otomatis mengonversi ExcludedRules pengaturan apa pun di JSON ke RuleActionOverrides pengaturan, dengan tindakan penggantian disetel ke. Count

  • Contoh pengaturan saat ini: 

           "ManagedRuleGroupStatement": {
          "VendorName": "AWS",
          "Name": "AWSManagedRulesAdminProtectionRuleSet",
          "RuleActionOverrides": [
            {
              "Name": "AdminProtection_URIPATH",
              "ActionToUse": {
                "Count": {}
              }
            }
          ]

  • Contoh pengaturan lama: 

    OLD SETTING
       "ManagedRuleGroupStatement": {
          "VendorName": "AWS",
          "Name": "AWSManagedRulesAdminProtectionRuleSet",
          "ExcludedRules": [
            {
              "Name": "AdminProtection_URIPATH"
            }
          ]
OLD SETTING

Tindakan pengembalian grup aturan ditimpa ke Count

Anda dapat mengganti tindakan yang dikembalikan grup aturan, menyetelnya. Count

catatan

Ini bukan pilihan yang baik untuk menguji aturan dalam kelompok aturan, karena tidak mengubah cara AWS WAF mengevaluasi kelompok aturan itu sendiri. Ini hanya mempengaruhi bagaimana AWS WAF menangani hasil yang dikembalikan ke paket perlindungan (web ACL) dari evaluasi kelompok aturan. Jika Anda ingin menguji aturan dalam grup aturan, gunakan opsi yang dijelaskan di bagian sebelumnya,. Pengesampingan tindakan aturan kelompok aturan

Saat Anda mengganti tindakan grup aturanCount, AWS WAF memproses evaluasi grup aturan secara normal.

Jika tidak ada aturan dalam grup aturan yang cocok atau jika semua aturan yang cocok memiliki Count tindakan, maka penggantian ini tidak berpengaruh pada pemrosesan grup aturan atau paket perlindungan (web ACL).

Aturan pertama dalam grup aturan yang cocok dengan permintaan web dan yang memiliki tindakan aturan penghentian AWS WAF menyebabkan berhenti mengevaluasi grup aturan dan mengembalikan hasil tindakan penghentian ke tingkat evaluasi paket perlindungan (web ACL). Pada titik ini, dalam evaluasi paket perlindungan (web ACL), penggantian ini berlaku. AWS WAF mengesampingkan tindakan penghentian sehingga hasil evaluasi kelompok aturan hanyalah tindakan. Count AWS WAF kemudian terus memproses sisa aturan dalam paket perlindungan (web ACL).

Untuk informasi tentang cara menggunakan opsi ini, lihatMengesampingkan hasil evaluasi kelompok aturan ke Count.