에서 규칙 그룹 작업 재정의 AWS WAF - AWS WAF, AWS Firewall Manager및 AWS Shield Advanced
규칙 그룹 규칙 작업 재정의규칙 그룹 반환 작업을 Count로 재정의

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

에서 규칙 그룹 작업 재정의 AWS WAF

이 섹션에서는 규칙 그룹 작업을 재정의하는 방법을 설명합니다.

웹 ACL에 규칙 그룹을 추가하면 일치하는 웹 요청에 대해 수행하는 작업을 재정의할 수 있습니다. 웹 ACL 구성 내의 규칙 그룹에 대한 작업을 재정의해도 규칙 그룹 자체는 변경되지 않습니다. 웹 ACL의 컨텍스트에서가 규칙 그룹을 AWS WAF 사용하는 방법만 변경됩니다.

규칙 그룹 규칙 작업 재정의

이제 규칙 그룹에 있는 규칙의 작업을 유효한 규칙 작업 중 하나로 재정의할 수 있습니다. 이렇게 하면 구성된 규칙의 작업이 재정의 설정인 것처럼 일치 요청이 정확하게 처리됩니다.

참고

규칙 작업은 종료일 수도 있고 종료되지 않을 수도 있습니다. 종료 작업은 요청의 웹 ACL 평가를 중지하고 보호된 애플리케이션을 계속 실행하도록 허용하거나 차단합니다.

다음은 규칙 작업 옵션입니다.

  • Allow - 처리 및 응답을 위해 보호된 AWS 리소스로 요청을 전달할 수 AWS WAF 있습니다. 이 작업은 종료 작업입니다. 정의한 규칙에서는 요청을 보호된 리소스로 전달하기 전에 사용자 지정 헤더를 요청에 삽입할 수 있습니다.

  • Block - 요청을 AWS WAF 차단합니다. 이 작업은 종료 작업입니다. 기본적으로 보호된 AWS 리소스는 HTTP 403 (Forbidden) 상태 코드로 응답합니다. 정의한 규칙에서 응답을 사용자 지정할 수 있습니다. 가 요청을 AWS WAF 차단하면 Block 작업 설정에 따라 보호된 리소스가 클라이언트로 다시 보내는 응답이 결정됩니다.

  • Count - 요청을 AWS WAF 계산하지만 요청을 허용할지 또는 차단할지는 결정하지 않습니다. 이 작업을 비종료 작업입니다. AWS WAF 는 웹 ACL의 나머지 규칙을 계속 처리합니다. 정의한 규칙에서 요청에 사용자 지정 헤더를 삽입하면 다른 규칙과 일치시킬 수 있는 레이블을 추가할 수 있습니다.

  • CAPTCHA 및 Challenge - CAPTCHA 퍼즐과 자동 챌린지를 AWS WAF 사용하여 요청이 봇에서 오지 않았는지 확인하고 토큰을 AWS WAF 사용하여 최근에 성공한 클라이언트 응답을 추적합니다.

    CAPTCHA 퍼즐 및 자동 문제는 브라우저가 HTTPS 엔드포인트에 액세스하는 경우에만 실행할 수 있습니다. 토큰을 획득하려면 브라우저 클라이언트가 안전한 컨텍스트에서 실행되어야 합니다.

    참고

    규칙 중 하나에서 또는 규칙 그룹 내 규칙 작업 재정의로서 CAPTCHA 또는 Challenge 규칙 작업을 사용하는 경우 추가 요금이 부과됩니다. 자세한 내용은 AWS WAF 요금을 참조하세요.

    이러한 규칙 작업은 요청의 토큰 상태에 따라 종료되거나 종료되지 않을 수 있습니다.

    • 유효하고 만료되지 않은 토큰에 대한 비종료 - 구성된 CAPTCHA 또는 챌린지 면제 시간에 따라 토큰이 유효하고 만료되지 않은 경우는 Count 작업과 유사한 요청을 AWS WAF 처리합니다. AWS WAF 웹 ACL의 나머지 규칙을 기반으로 웹 요청을 계속 검사합니다. Count 구성과 마찬가지로, 정의한 규칙에서도 요청에 삽입할 사용자 지정 헤더를 사용하여 이러한 작업을 선택적으로 구성하고 다른 규칙과 일치시킬 수 있는 레이블을 추가할 수 있습니다.

    • 유효하지 않거나 만료된 토큰에 대한 차단된 요청으로 종료 - 토큰이 유효하지 않거나 표시된 타임스탬프가 만료되면는 Block 작업과 마찬가지로 웹 요청 검사를 AWS WAF 종료하고 요청을 차단합니다. AWS WAF 그런 다음는 사용자 지정 응답 코드로 클라이언트에 응답합니다. CAPTCHA의 경우 요청 콘텐츠가 클라이언트 브라우저에서 처리할 수 있는 콘텐츠로 표시되면 AWS WAF 는 인간 클라이언트를 봇과 구분하기 위해 고안된 JavaScript 중간 광고를 통해 CAPTCHA 퍼즐을 전송합니다. Challenge 작업의 경우는 일반 브라우저를 봇이 실행하는 세션과 구별하도록 설계된 자동 챌린지가 포함된 JavaScript 중간 항목을 AWS WAF 보냅니다.

    자세한 내용은 CAPTCHA 및 Challenge의 AWS WAF 섹션을 참조하세요.

이 옵션을 사용하는 방법에 대한 자세한 방법은 규칙 그룹에 대한 규칙 작업 재정의 섹션을 참조하세요.

규칙 작업을 Count로 재정의

규칙 작업 재정의의 가장 일반적인 사용 사례는 규칙 그룹을 프로덕션 환경에 배치하기 전에 규칙 그룹의 동작을 테스트 및 모니터링하기 위해 규칙 작업의 일부 또는 전체를 Count로 재정의하는 것입니다.

또한 이 방법을 사용하여 거짓 긍정을 생성하는 규칙 그룹의 문제를 해결할 수도 있습니다. 거짓 긍정은 차단될 것으로 예상되지 않는 트래픽을 규칙 그룹에서 차단할 때 발생합니다. 규칙 그룹 내에서 허용하려는 요청을 차단하는 규칙을 식별한 경우 해당 규칙에 대한 계산 작업 재정의를 유지하여 해당 규칙이 요청에 적용되지 않고 제외되도록 할 수 있습니다.

테스트에서 규칙 작업 재정의를 사용하는 방법에 대한 자세한 내용은 AWS WAF 보호 기능 테스트 및 튜닝 섹션을 참조하세요.

JSON 목록: RuleActionOverrides에서 ExcludedRules 대체

2022년 10월 27일 이전에 웹 ACL 구성Count에서 규칙 그룹 규칙 작업을 로 설정하면가 웹 ACL JSON에 재정의를 로 AWS WAF 저장했습니다ExcludedRules. 이제 규칙을 Count로 재정의하기 위한 JSON 설정은 RuleActionOverrides 설정에 있습니다.

작업이 Count로 설정되어 있는 상태에서 JSON 목록의 모든 ExcludedRules 설정을 RuleActionOverrides 설정으로 업데이트하는 것이 좋습니다. API는 두 설정 중 하나를 허용하지만 새 RuleActionOverrides 설정만 사용하는 경우 콘솔 작업과 API 작업 간에 JSON 목록의 일관성이 유지됩니다.

참고

AWS WAF 콘솔에서 웹 ACL 샘플링된 요청 탭에는 이전 설정의 규칙에 대한 샘플이 표시되지 않습니다. 자세한 내용은 웹 요청 샘플 보기 단원을 참조하십시오.

AWS WAF 콘솔을 사용하여 기존 규칙 그룹 설정을 편집하면 콘솔은 재정ExcludedRules의 작업이 로 설정된 상태에서 JSON의 모든 RuleActionOverrides 설정을 설정으로 자동으로 변환합니다Count.

  • 현재 설정 예: 

           "ManagedRuleGroupStatement": {
          "VendorName": "AWS",
          "Name": "AWSManagedRulesAdminProtectionRuleSet",
          "RuleActionOverrides": [
            {
              "Name": "AdminProtection_URIPATH",
              "ActionToUse": {
                "Count": {}
              }
            }
          ]

  • 이전 설정 예: 

    OLD SETTING
       "ManagedRuleGroupStatement": {
          "VendorName": "AWS",
          "Name": "AWSManagedRulesAdminProtectionRuleSet",
          "ExcludedRules": [
            {
              "Name": "AdminProtection_URIPATH"
            }
          ]
OLD SETTING

규칙 그룹 반환 작업을 Count로 재정의

규칙 그룹이 반환하는 작업을 Count로 설정하여 재정의할 수 있습니다.

참고

가 규칙 그룹 자체를 AWS WAF 평가하는 방식을 변경하지 않으므로 규칙 그룹에서 규칙을 테스트하는 데는 좋은 옵션이 아닙니다. 규칙 그룹 평가에서 웹 ACL로 반환되는 결과를가 AWS WAF 처리하는 방식에만 영향을 줍니다. 규칙 그룹의 규칙을 테스트하려면 이전 섹션인 규칙 그룹 규칙 작업 재정의에 설명된 옵션을 사용하십시오.

규칙 그룹 작업을 로 재정의하면는 규칙 그룹 평가를 정상적으로 Count AWS WAF 처리합니다.

규칙 그룹에 일치하는 규칙이 없거나 모든 일치 규칙에 Count 작업이 있는 경우 이 재정의는 규칙 그룹 또는 웹 ACL의 처리에 영향을 주지 않습니다.

웹 요청과 일치하고 종료 규칙 작업이 있는 규칙 그룹의 첫 번째 규칙은 AWS WAF 가 규칙 그룹 평가를 중지하고 종료 작업 결과를 웹 ACL 평가 수준으로 반환합니다. 이 시점에서 웹 ACL 평가에서이 재정의는 effect. AWS WAF overrides the terminating action 따라서 규칙 그룹 평가의 결과는 Count 작업일 뿐입니다. AWS WAF 그런 다음는 웹 ACL의 나머지 규칙을 계속 처리합니다.

이 옵션을 사용하는 방법에 대한 자세한 방법은 규칙 그룹의 평가 결과를 Count로 재정의 섹션을 참조하세요.