Configurazione AWS WAF e i suoi componenti

Questo tutorial mostra come usare AWS WAF per eseguire le seguenti operazioni:

• Configurazione AWS WAF.

• Creare una lista di controllo degli accessi Web (webACL) utilizzando la procedura guidata in AWS WAF console.

• Seleziona AWS le risorse che desideri AWS WAF per esaminare le richieste web di. Questo tutorial illustra i passaggi per Amazon CloudFront. Il processo è essenzialmente lo stesso per un Amazon API Gateway RESTAPI, un Application Load Balancer, un AWS AppSync GraphQLAPI, un pool di utenti Amazon Cognito, un AWS App Runner servizio o un AWS Istanza di Verified Access.

• Aggiungere le regole e i gruppi di regole che si desidera utilizzare per filtrare le richieste Web. Ad esempio, puoi specificare gli indirizzi IP da cui provengono le richieste e specificare i valori nella richiesta che vengono utilizzati solo dagli aggressori. Per ogni regola, si specifica come gestire le richieste Web corrispondenti. Puoi fare cose come bloccarle o contarle e puoi eseguire sfide bot comeCAPTCHA. Definisci un'azione per ogni regola che definisci all'interno di un Web ACL e per ogni regola che definisci all'interno di un gruppo di regole.

• Specificate un'azione predefinita per il WebACL, oppure Block oppure Allow. Questa è l'azione che AWS WAF esegue una richiesta quando le regole del Web ACL non la consentono o la bloccano esplicitamente.

Nota

AWS in genere ti fattura meno di 0,25 USD al giorno per le risorse che crei durante questo tutorial. Una volta completato il tutorial, ti consigliamo di eliminare le risorse per evitare di incorrere in spese non necessarie.

Fase 1: configurazione AWS WAF

Se non hai già seguito la procedura di configurazione generale descritta in precedenzaConfigurazione dell'account per l'utilizzo dei servizi, fallo ora.

Passaggio 2: creare un Web ACL

Il AWS WAF la console guida l'utente attraverso il processo di configurazione AWS WAF per bloccare o consentire le richieste Web in base a criteri specificati dall'utente, ad esempio gli indirizzi IP da cui provengono le richieste o i valori nelle richieste. In questo passaggio, crei un WebACL. Per ulteriori informazioni sull' AWS WAF webACLs, vediUsare il web ACLs in AWS WAF.

Per creare un sito web ACL

1. Accedi a AWS Management Console e apri il AWS WAF console presso https://console.aws.amazon.com/wafv2/.

2. Dal AWS WAF home page, scegli Crea web ACL.

3. Per Nome, inserisci il nome che desideri utilizzare per identificare questo sito webACL.

   Nota

   Non puoi modificare il nome dopo aver creato il WebACL.

4. (Facoltativo) Per Descrizione: facoltativo, inserisci una descrizione più lunga per il Web, ACL se lo desideri.

5. Per il nome della CloudWatch metrica, modifica il nome predefinito, se applicabile. Seguire le linee guida sulla console per i caratteri validi. Il nome non può contenere caratteri speciali, spazi bianchi o nomi di metriche riservati a AWS WAF, inclusi «All» e «Default_Action».

   Nota

   Non puoi modificare il nome della CloudWatch metrica dopo aver creato il Web. ACL

6. Per Tipo di risorsa, scegli le CloudFrontdistribuzioni. La regione viene compilata automaticamente in Global (CloudFront) per CloudFront le distribuzioni.

7. (Facoltativo) Per Associato AWS risorse: facoltativo, scegli Aggiungi AWS risorse. Nella finestra di dialogo, scegliete le risorse da associare, quindi scegliete Aggiungi. AWS WAF vi riporta alla pagina Descrivi web ACL e le associa AWS pagina delle risorse.

8. Scegli Next (Successivo).

Fase 3: aggiungere una regola di corrispondenza stringa

In questa fase, viene creata una regola con un'istruzione di corrispondenza stringa e indicato cosa fare con le richieste corrispondenti. Una dichiarazione della regola di corrispondenza delle stringhe identifica le stringhe desiderate AWS WAF da cercare in una richiesta. In genere, una stringa è composta da ASCII caratteri stampabili, ma è possibile specificare qualsiasi carattere da 0x00 a 0xFF (decimale da 0 a 255). Oltre a specificare la stringa da cercare, specificate il componente della richiesta Web in cui desiderate cercare, ad esempio un'intestazione, una stringa di query o il corpo della richiesta.

Questo tipo di istruzione funziona su un componente di richiesta Web e richiede le seguenti impostazioni del componente di richiesta:

• Componente di richiesta: la parte della richiesta Web per ispezionare, ad esempio, una stringa di query o il corpo.

  avvertimento

  Se controlli i componenti della richiesta Body, JSONbody, Headers o Cookies, leggi le limitazioni relative alla quantità di contenuto AWS WAF può ispezionare a. Gestione di componenti di richieste Web di grandi dimensioni in AWS WAF

  Per informazioni sui componenti delle richieste Web, vedereRegolazione delle impostazioni delle istruzioni delle regole in AWS WAF.

• Trasformazioni di testo opzionali: le trasformazioni desiderate AWS WAF da eseguire sul componente richiesto prima di ispezionarlo. Ad esempio, è possibile trasformare in lettere minuscole o normalizzare lo spazio bianco. Se specificate più di una trasformazione, AWS WAF le elabora nell'ordine elencato. Per informazioni, consultare Utilizzo delle trasformazioni di testo in AWS WAF.

Per ulteriori informazioni su AWS WAF regole, vediUtilizzo AWS WAF rules.

Per creare un'istruzione regola di corrispondenza stringa

1. Nella pagina Add rules and rule groups (Aggiungi regole e gruppi di regole), scegliere Add rules (Aggiungi regole), Add my own rules and rule groups (Aggiungi le mie regole e i miei gruppi di regole), Rule builder (Generatore di regole), quindi Rule visual editor (Editor visivo delle regole).

   Nota

   La console fornisce l'editor visivo delle regole e anche un JSONeditor di regole. L'JSONeditor semplifica la copia delle configurazioni tra Web ACLs ed è necessario per set di regole più complessi, come quelli con più livelli di annidamento.

   Questa procedura utilizza Rule visual editor (Editor visivo delle regole).

2. In Name (Nome), immettere il nome che si desidera utilizzare per identificare questa regola.

3. In Type (Tipo), scegliere Regular rule (Regola normale).

4. In If a request (Se una richiesta), scegliere matches the statement (corrisponde all'istruzione).

   Le altre opzioni riguardano i tipi di istruzioni delle regole logiche. È possibile utilizzarle per combinare o annullare i risultati di altre istruzioni di regole.

5. In Statement, per Inspect, apri il menu a discesa e scegli il componente di richiesta web che desideri AWS WAF ispezionare. Per questo esempio, scegli Intestazione singola.

   Quando scegli Intestazione singola, specifichi anche l'intestazione che desideri AWS WAF ispezionare. Specificare User-Agent. Questo valore non prevede la distinzione tra lettere maiuscole e minuscole.

6. Per Match type (Tipo di corrispondenza), scegliere la posizione in cui visualizzare la stringa specificata nell'intestazione User-Agent.

   Per questo esempio, scegliere Exactly matches string (Corrispondenza stringa esatta). Questo indica che AWS WAF esamina l'intestazione user-agent in ogni richiesta Web alla ricerca di una stringa identica alla stringa specificata.

7. Affinché String corrisponda, specificate la stringa che desiderate AWS WAF da cercare. La lunghezza massima di String to match (Stringa da abbinare) è di 200 caratteri. Se si desidera specificare un valore con codifica base64, è possibile specificare fino a 200 caratteri prima della codifica.

   In questo esempio, inserisci MyAgent. AWS WAF esaminerà l'User-Agentintestazione nelle richieste web per verificare il valore. MyAgent

8. Lasciare Text transformation (Trasformazione del testo) impostata su None (Nessuno).

9. In Azione, seleziona l'azione che desideri che la regola esegua quando corrisponde a una richiesta web. Per questo esempio, scegli Count e lascia le altre scelte invariate. L'azione Count crea metriche per le richieste Web che corrispondono alla regola, ma non influisce sul fatto che la richiesta sia consentita o bloccata. Per ulteriori informazioni sulle scelte di azione, consulta Utilizzo delle azioni delle regole in AWS WAF eUtilizzo del Web ACLs con regole e gruppi di regole in AWS WAF.

10. Scegli Aggiungi regola.

Fase 4: Aggiungere un AWS Gruppo di regole Managed Rules

AWS Managed Rules offre una serie di gruppi di regole gestiti da utilizzare, la maggior parte dei quali sono gratuiti per AWS WAF clienti. Per ulteriori informazioni sui gruppi di regole, consulta Utilizzo AWS WAF gruppi di regole. Aggiungeremo un AWS Gruppo di regole Managed Rules a questo sito WebACL.

Per aggiungere un AWS Gruppo di regole Managed Rules

1. Nella pagina Add rules and rule groups (Aggiungi regole e gruppi di regole), scegliere Add rules (Aggiungi regole), quindi Add managed rule groups (Aggiungi gruppi di regole gestite).

2. Nella pagina Aggiungi gruppi di regole gestite, espandi l'elenco per AWS gruppi di regole gestiti. (Vedrai anche gli annunci offerti per Marketplace AWS venditori. Puoi iscriverti alle loro offerte e poi utilizzarle nello stesso modo in cui AWS Gruppi di regole gestite.)

3. Per il gruppo di regole da aggiungere, procedi come segue:

   1. Nella colonna Azione, attiva l'ACLinterruttore Aggiungi al web.

   2. Seleziona Modifica e, nell'elenco delle regole del gruppo di regole, apri il menu a discesa Sostituisci tutte le azioni delle regole e seleziona Count. Ciò imposta il conteggio delle azioni relative a tutte le regole del gruppo di regole. In questo modo puoi vedere come si comportano tutte le regole del gruppo di regole con le tue richieste web prima di utilizzarle.

   3. Scegli Salva regola.

4. Nella pagina Aggiungi gruppi di regole gestiti, scegli Aggiungi regole. Verrà visualizzata nuovamente la pagina Aggiungi regole e gruppi di regole.

Passaggio 5: Completare la ACL configurazione web

Quando hai finito di aggiungere regole e gruppi di regole alla tua ACL configurazione web, finisci gestendo la priorità delle regole sul Web ACL e configurando impostazioni come metriche, tag e registrazione.

Per completare la configurazione web ACL

1. Nella pagina Add rules and rule groups (Aggiungi regole e gruppi di regole), scegliere Next (Avanti).

2. Nella pagina Imposta la priorità delle regole, puoi vedere l'ordine di elaborazione delle regole e dei gruppi di regole sul WebACL. AWS WAF li elabora partendo dall'inizio dell'elenco. È possibile modificare l'ordine di elaborazione spostando le regole verso l'alto o verso il basso. A questo scopo, selezionarne uno nell'elenco e scegliere Move up (Sposta verso l'alto) o Move down (Sposta verso il basso). Per ulteriori informazioni sulla priorità delle regole, consulta Impostazione della priorità delle regole in un Web ACL.

3. Scegli Next (Successivo).

4. Nella pagina Configura metriche, per i parametri di Amazon, puoi vedere i CloudWatch parametri pianificati per le tue regole e i tuoi gruppi di regole e puoi vedere le opzioni di campionamento delle richieste web. Per informazioni sulla visualizzazione delle richieste campionate, consulta. Visualizzazione di un esempio di richieste Web Per informazioni sui CloudWatch parametri di Amazon, consultaMonitoraggio con Amazon CloudWatch.

   Puoi accedere ai riepiloghi delle metriche del traffico web nella pagina ACL Web nel AWS WAF console, nella scheda Panoramica del traffico. Le dashboard della console forniscono riepiloghi quasi in tempo reale delle metriche ACL Amazon CloudWatch del Web. Per ulteriori informazioni, consulta Dashboard di panoramica sul traffico ACL Web.

5. Scegli Next (Successivo).

6. Nella ACL pagina Web Rivedi e crea, rivedi le impostazioni, quindi scegli Crea web. ACL

La procedura guidata ti riporta alla ACL pagina Web, in cui ACL è elencato il tuo nuovo sito Web.

Fase 6: eliminare le risorse

Il tutorial è stato completato con successo. Per evitare che il tuo account accumuli ulteriori AWS WAF addebiti, pulisci il AWS WAF oggetti che hai creato. In alternativa, puoi modificare la configurazione in modo che corrisponda alle richieste Web che desideri realmente gestire utilizzando AWS WAF.

Nota

AWS in genere ti addebita meno di 0,25 USD al giorno per le risorse che crei durante questo tutorial. Al termine, ti consigliamo di eliminare le risorse per evitare di incorrere in spese non necessarie.

Per eliminare gli oggetti che AWS WAF addebiti per

1. Nella ACL pagina Web, seleziona il tuo sito Web ACL dall'elenco e scegli Modifica.

2. Nella sezione Associato AWS nella scheda risorse, per ogni risorsa associata, seleziona il pulsante di opzione accanto al nome della risorsa, quindi scegli Dissocia. Questo dissocia il Web dal tuo ACL AWS risorse.

3. In ognuna delle schermate seguenti, scegliete Avanti fino a tornare alla ACL pagina Web.

   Nella ACL pagina Web, seleziona il tuo sito Web ACL dall'elenco e scegli Elimina.

Le regole e le istruzioni delle regole non esistono al di fuori dei gruppi di regole e delle ACL definizioni web. Se elimini un WebACL, vengono eliminate tutte le singole regole che hai definito nel WebACL. Quando rimuovi un gruppo di regole da un WebACL, rimuovi semplicemente il riferimento ad esso.