Sovrascrivere le azioni del gruppo di regole in AWS WAF - AWS WAF, AWS Firewall ManagerAWS Shield Advanced, e direttore AWS Shield della sicurezza di rete
L'azione delle regole del gruppo di regole ha la precedenza sull'azione delle regoleL'azione di restituzione del gruppo di regole viene sostituita da Count

Ti presentiamo una nuova esperienza di console per AWS WAF

Ora puoi utilizzare l'esperienza aggiornata per accedere alle AWS WAF funzionalità da qualsiasi punto della console. Per ulteriori dettagli, consulta Utilizzo dell'esperienza console aggiornata.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Sovrascrivere le azioni del gruppo di regole in AWS WAF

Questa sezione spiega come sovrascrivere le azioni del gruppo di regole.

Quando aggiungi un gruppo di regole al tuo protection pack (Web ACL), puoi sovrascrivere le azioni eseguite sulle richieste Web corrispondenti. La sovrascrittura delle azioni per un gruppo di regole all'interno della configurazione del Protection Pack (Web ACL) non altera il gruppo di regole stesso. Modifica solo il modo in cui AWS WAF utilizza il gruppo di regole nel contesto del protection pack (Web ACL).

L'azione delle regole del gruppo di regole ha la precedenza sull'azione delle regole

È possibile sostituire le azioni delle regole all'interno di un gruppo di regole con qualsiasi azione valida. Quando si esegue questa operazione, le richieste corrispondenti vengono gestite esattamente come se l'azione della regola configurata fosse l'impostazione di override.

Nota

Le azioni delle regole possono essere terminative o non terminative. Un'azione di interruzione interrompe la valutazione del Protection Pack (Web ACL) della richiesta e consente alla richiesta di continuare verso l'applicazione protetta oppure la blocca.

Di seguito sono riportate le opzioni dell'operazione delle regole:

  • Allow— AWS WAF consente di inoltrare la richiesta alla AWS risorsa protetta per l'elaborazione e la risposta. Si tratta di un'azione terminativa. Nelle regole che definisci, puoi inserire intestazioni personalizzate nella richiesta prima di inoltrarla alla risorsa protetta.

  • Block— AWS WAF blocca la richiesta. Si tratta di un'azione terminativa. Per impostazione predefinita, la AWS risorsa protetta risponde con un codice di 403 (Forbidden) stato HTTP. Nelle regole che definisci, puoi personalizzare la risposta. Quando AWS WAF blocca una richiesta, le impostazioni dell'Blockazione determinano la risposta che la risorsa protetta invia al client.

  • Count— AWS WAF conta la richiesta ma non determina se consentirla o bloccarla. Si tratta di un'azione non terminante. AWS WAF continua a elaborare le regole rimanenti nel pacchetto di protezione (Web ACL). Nelle regole che definisci, puoi inserire intestazioni personalizzate nella richiesta e aggiungere etichette con cui altre regole possono corrispondere.

  • CAPTCHAe Challenge — AWS WAF utilizza i puzzle CAPTCHA e le sfide silenziose per verificare che la richiesta non provenga da un bot e AWS WAF utilizza i token per tenere traccia delle recenti risposte positive dei clienti.

    I puzzle CAPTCHA e le sfide silenziose possono essere eseguiti solo quando i browser accedono agli endpoint HTTPS. I browser client devono funzionare in contesti sicuri per acquisire i token.

    Nota

    Ti vengono addebitati costi aggiuntivi quando utilizzi l'azione CAPTCHA or Challenge in una delle tue regole o come eccezione a un'azione di regola in un gruppo di regole. Per ulteriori informazioni, consultare AWS WAF Prezzi.

    Queste azioni sulle regole possono terminare o non terminare, a seconda dello stato del token nella richiesta:

    • Non terminazione per un token valido e non scaduto: se il token è valido e non è scaduto in base al CAPTCHA configurato o al tempo di immunità alla sfida, gestisce la richiesta in modo simile all'azione. AWS WAF Count AWS WAF continua a esaminare la richiesta Web in base alle regole rimanenti del pacchetto di protezione (Web ACL). Analogamente alla Count configurazione, nelle regole che definisci, puoi facoltativamente configurare queste azioni con intestazioni personalizzate da inserire nella richiesta e puoi aggiungere etichette alle quali altre regole possono corrispondere.

    • Terminazione con una richiesta bloccata per un token non valido o scaduto: se il token non è valido o il timestamp indicato è scaduto, AWS WAF interrompe l'ispezione della richiesta Web e blocca la richiesta, analogamente all'azione. Block AWS WAF quindi risponde al client con un codice di risposta personalizzato. InfattiCAPTCHA, se il contenuto della richiesta indica che il browser del client è in grado di gestirla, AWS WAF invia un puzzle CAPTCHA in formato JavaScript interstiziale, progettato per distinguere i client umani dai bot. Per l'Challengeazione, AWS WAF invia un messaggio JavaScript interstitial con una sfida silenziosa progettata per distinguere i browser normali dalle sessioni gestite dai bot.

    Per ulteriori informazioni, consulta CAPTCHAe Challenge in AWS WAF.

Per informazioni su come utilizzare questa opzione, consulta. Sovrascrivere le azioni delle regole in un gruppo di regole

Sovrascrivere l'azione della regola in Count

Il caso d'uso più comune per sostituire le azioni delle regole consiste nel sovrascrivere alcune o tutte le azioni delle regole per Count testare e monitorare il comportamento di un gruppo di regole prima di metterlo in produzione.

Puoi anche usarlo per risolvere i problemi di un gruppo di regole che genera falsi positivi. I falsi positivi si verificano quando un gruppo di regole blocca il traffico che non ti aspetti che blocchi. Se identifichi una regola all'interno di un gruppo di regole che bloccherebbe le richieste che desideri consentire l'accesso, puoi mantenere l'azione count override su quella regola, per escluderla dall'agire sulle tue richieste.

Per ulteriori informazioni sull'utilizzo della regola Action Override nei test, consulta. Test e ottimizzazione delle protezioni AWS WAF

Elenco JSON: sostituisce RuleActionOverridesExcludedRules

Se hai impostato le azioni relative alle regole del gruppo di regole Count nella configurazione del Protection Pack (Web ACL) prima del 27 ottobre 2022, AWS WAF hai salvato le sostituzioni nel Protection Pack (Web ACL) in formato JSON come. ExcludedRules Ora, l'impostazione JSON per sovrascrivere una regola si trova nelle impostazioni. Count RuleActionOverrides

Ti consigliamo di aggiornare tutte le ExcludedRules impostazioni nelle tue inserzioni JSON alle RuleActionOverrides impostazioni con l'azione impostata su. Count L'API accetta entrambe le impostazioni, ma se utilizzi solo la nuova RuleActionOverrides impostazione, otterrai la coerenza nelle tue inserzioni JSON tra il funzionamento della console e il funzionamento dell'API.

Nota

Nella AWS WAF console, la scheda Richieste campionate del Protection Pack (Web ACL) non mostra esempi di regole con la vecchia impostazione. Per ulteriori informazioni, consulta Visualizzazione di un esempio di richieste Web.

Quando si utilizza la AWS WAF console per modificare le impostazioni esistenti del gruppo di regole, la console converte automaticamente tutte ExcludedRules le impostazioni nel formato JSON in RuleActionOverrides impostazioni, con l'azione override impostata su. Count

  • Esempio di impostazione corrente: 

           "ManagedRuleGroupStatement": {
          "VendorName": "AWS",
          "Name": "AWSManagedRulesAdminProtectionRuleSet",
          "RuleActionOverrides": [
            {
              "Name": "AdminProtection_URIPATH",
              "ActionToUse": {
                "Count": {}
              }
            }
          ]

  • Vecchio esempio di impostazione: 

    OLD SETTING
       "ManagedRuleGroupStatement": {
          "VendorName": "AWS",
          "Name": "AWSManagedRulesAdminProtectionRuleSet",
          "ExcludedRules": [
            {
              "Name": "AdminProtection_URIPATH"
            }
          ]
OLD SETTING

L'azione di restituzione del gruppo di regole viene sostituita da Count

È possibile sovrascrivere l'azione restituita dal gruppo di regole, impostandola su. Count

Nota

Questa non è una buona opzione per testare le regole in un gruppo di regole, perché non altera il modo in cui AWS WAF valuta il gruppo di regole stesso. Influisce solo sul modo in cui AWS WAF gestisce i risultati restituiti al protection pack (Web ACL) dalla valutazione del gruppo di regole. Se vuoi testare le regole in un gruppo di regole, usa l'opzione descritta nella sezione precedente,. L'azione delle regole del gruppo di regole ha la precedenza sull'azione delle regole

Quando si sostituisce l'azione del gruppo di regole suCount, AWS WAF elabora normalmente la valutazione del gruppo di regole.

Se nessuna regola nel gruppo di regole corrisponde o se tutte le regole di corrispondenza hanno un'Countazione, questa sostituzione non ha alcun effetto sull'elaborazione del gruppo di regole o del protection pack (ACL web).

La prima regola del gruppo di regole che corrisponde a una richiesta Web e che presenta un'azione di terminazione causa AWS WAF l'interruzione della valutazione del gruppo di regole e riporta il risultato dell'azione di interruzione al livello di valutazione del protection pack (Web ACL). A questo punto, nella valutazione del Protection Pack (Web ACL), questo override ha effetto. AWS WAF sovrascrive l'azione di terminazione in modo che il risultato della valutazione del gruppo di regole sia solo un'azione. Count AWS WAF quindi continua a elaborare il resto delle regole nel pacchetto di protezione (Web ACL).

Per informazioni su come utilizzare questa opzione, vedereSovrascrivere il risultato della valutazione di un gruppo di regole con Count.