Testar web ACLs - AWS WAF, AWS Firewall Manager, e AWS Shield Advanced
Contar as solicitações da web correspondentes às regras de uma web ACLVisualizando uma amostra das solicitações da web que o API Gateway CloudFront ou um Application Load Balancer encaminharam para o Classic AWS WAF

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Testar web ACLs

nota

Essa é a documentação do AWS WAF Classic. Você só deve usar essa versão se tiver criado AWS WAF recursos, como regras e ACLs da web, AWS WAF antes de novembro de 2019 e ainda não os tiver migrado para a versão mais recente. Para migrar os recursos, consulte Migrando seus recursos AWS WAF clássicos para AWS WAF.

Para obter a versão mais recente do AWS WAF, consulteAWS WAF.

Para garantir que você não configure acidentalmente o AWS WAF Classic para bloquear solicitações da web que você deseja permitir ou permitir solicitações que deseja bloquear, recomendamos que você teste minuciosamente sua ACL da web antes de começar a usá-la em seu site ou aplicativo da web.

Contar as solicitações da web correspondentes às regras de uma web ACL

Ao adicionar regras a uma ACL da web, você especifica se deseja que o AWS WAF Classic permita, bloqueie ou conte as solicitações da web que correspondem a todas as condições dessa regra. Recomendamos que você comece com a seguinte configuração:

  • Configure todas as regras de uma web ACL para contar solicitações da web

  • Defina a ação padrão para a web ACL permitir solicitações

Nessa configuração, o AWS WAF Classic inspeciona cada solicitação da web com base nas condições da primeira regra. Se a solicitação da web corresponder a todas as condições dessa regra, o AWS WAF Classic incrementa um contador para essa regra. Em seguida, o AWS WAF Classic inspeciona a solicitação da web com base nas condições da próxima regra. Se a solicitação corresponder a todas as condições dessa regra, o AWS WAF Classic incrementa um contador para a regra. Isso continua até que o AWS WAF Classic tenha inspecionado a solicitação com base nas condições de todas as suas regras.

Depois de configurar todas as regras em uma ACL da web para contar solicitações e associar a ACL da web a uma API do Amazon API Gateway, CloudFront distribuição ou Application Load Balancer, você pode visualizar as contagens resultantes em um gráfico da Amazon. CloudWatch Para cada regra em uma ACL da web e para todas as solicitações que o API Gateway CloudFront ou um Application Load Balancer encaminha para o Classic AWS WAF para uma CloudWatch ACL da web, você pode:

  • Visualize dados da hora anterior ou das três horas anteriores

  • Altere o intervalo entre os pontos de dados

  • Altere o cálculo que é CloudWatch executado nos dados, como máximo, mínimo, média ou soma

nota

AWS WAF O Classic with CloudFront é um serviço global e as métricas estão disponíveis somente quando você escolhe a região Leste dos EUA (Norte da Virgínia) no AWS Management Console. Se você escolher outra região, nenhuma métrica AWS WAF clássica aparecerá no CloudWatch console.

Para visualizar os dados das regras em uma web ACL

  1. Faça login no AWS Management Console e abra o CloudWatch console em https://console.aws.amazon.com/cloudwatch/.

  2. No painel de navegação, em Métricas, escolha WAF.

  3. Marque a caixa de seleção da web ACL da qual você deseja visualizar os dados.

  4. Altere as configurações aplicáveis:

    Estatística

    Escolha o cálculo que é CloudWatch executado nos dados.

    Intervalo de tempo

    Escolha se você deseja visualizar dados da hora anterior ou das três horas anteriores.

    Período

    Escolha o intervalo entre pontos de dados no gráfico.

    Regras

    Escolha as regras das quais você deseja visualizar os dados.

    Observe o seguinte:

    • Se você acabou de associar uma ACL da web a uma API do API Gateway, CloudFront distribuição ou Application Load Balancer, talvez seja necessário aguardar alguns minutos para que os dados apareçam no gráfico e para que a métrica da ACL da web apareça na lista de métricas disponíveis.

    • Se você associar mais de uma API do API Gateway, CloudFront distribuição ou Application Load Balancer a uma ACL da web, os CloudWatch dados incluirão todas as solicitações de todas as distribuições associadas à ACL da web.

    • Você pode passar o cursor do mouse sobre o ponto de dados para obter mais informações.

    • O gráfico não é automaticamente atualizado. Para atualizar a exibição, escolha o ícone de atualização ( Icon to refresh the Amazon CloudWatch graph ).

  5. (Opcional) Visualize informações detalhadas sobre solicitações individuais que o API Gateway CloudFront ou um Application Load Balancer encaminharam para o Classic. AWS WAF Para ter mais informações, consulte Visualizando uma amostra das solicitações da web que o API Gateway CloudFront ou um Application Load Balancer encaminharam para o Classic AWS WAF.

  6. Se você determinar que a regra é interceptar as solicitações que você não quer que sejam interceptadas, altere as configurações aplicáveis. Para ter mais informações, consulte Criar e configurar uma lista de controle de acesso à web (web ACL).

    Quando você estiver satisfeito com todas as suas regras interceptando apenas as solicitações corretas, altere a ação de cada uma delas regras para Allow ou Block. Para ter mais informações, consulte Edição de uma web ACL.

Visualizando uma amostra das solicitações da web que o API Gateway CloudFront ou um Application Load Balancer encaminharam para o Classic AWS WAF

No console AWS WAF Classic, você pode ver uma amostra das solicitações que o API Gateway CloudFront ou um Application Load Balancer encaminharam ao AWS WAF Classic para inspeção. Para cada solicitação amostrada, você pode exibir dados detalhados sobre a solicitação, como o endereço IP de origem e os cabeçalhos incluídos na solicitação. Você também pode visualizar a solicitação correspondente e se a regra é configurada para permitir ou bloquear solicitações.

Os exemplos contém até 100 solicitações que correspondem a todas as condições em cada regra e outras 100 solicitações para a ação padrão, que se aplica a solicitações que não correspondem a todas as condições em qualquer regra. As solicitações na amostra vêm de todas as APIs do API Gateway, CloudFront pontos de presença ou balanceadores de carga de aplicativos que receberam solicitações para seu conteúdo nos últimos 15 minutos.

Para ver uma amostra das solicitações da web que o API Gateway; CloudFront ou um Application Load Balancer encaminhou para o Classic AWS WAF

  1. Faça login no AWS Management Console e abra o AWS WAF console em https://console.aws.amazon.com/wafv2/.

    Se você ver Alternar para o AWS WAF clássico no painel de navegação, selecione-o.

  2. No painel de navegação, escolha a web ACL da qual você deseja visualizar as solicitações.

  3. No painel direito, selecione a guia Requests.

    A tabela Sampled requests exibe os seguintes valores para cada solicitação:

    IP de origem

    O endereço IP da qual a solicitação se originou ou, se o visualizador tiver usado um proxy HTTP ou um Application Load Balancer para enviar a solicitação, o endereço IP do proxy ou do Application Load Balancer.

    URI

    O caminho do URI da solicitação, que identifica o recurso, por exemplo, /images/daily-ad.jpg. Isso não inclui a string de consulta ou os componentes de fragmento do URI. Para obter mais informações, consulte Identificador de recurso uniforme (URI): sintaxe genérica.

    Corresponde à regra

    Identifica a primeira regra na web ACL para a qual a solicitação da web correspondeu a todas as condições. Se uma solicitação da web não corresponder a todas as condições em qualquer regra na web ACL, o valor de Matches rule será Default.

    Observe que quando uma solicitação da web corresponde a todas as condições em uma regra e a ação dessa regra é Count, o AWS WAF Classic continua inspecionando a solicitação da web com base nas regras subsequentes na ACL da web. Neste caso, uma solicitação da web pode aparecer duas vezes na lista de solicitações de amostra: uma vez para a regra que tem uma ação Count e mais uma vez para a regra subsequente ou para a ação padrão.

    Ação

    Indica se a ação para a regra correspondente é Allow, Block ou Count.

    Time

    A hora em que o AWS WAF Classic recebeu a solicitação do API Gateway CloudFront ou do seu Application Load Balancer.

  4. Para exibir informações adicionais sobre a solicitação, escolha a seta no lado esquerdo do endereço IP dessa solicitação. AWS WAF O Classic exibe as seguintes informações:

    IP de origem

    O mesmo endereço IP como o valor na coluna Source IP da tabela.

    País

    O código de país com duas letras do país do qual a solicitação se originou. Se o visualizador tiver usado um proxy HTTP ou um Application Load Balancer para enviar a solicitação, este será o código de duas letras do país em que o proxy HTTP ou um Application Load Balancer está.

    Para obter uma lista de códigos de país de duas letras e nomes de países correspondentes, consulte a entrada da Wikipédia ISO 3166-1 alfa-2.

    Método

    O método de solicitação HTTP para a solicitação: GET, HEAD, OPTIONS, PUT, POST, PATCH ou DELETE.

    URI

    O mesmo URI como o valor na coluna URI da tabela.

    Cabeçalhos de solicitação

    Os valores do cabeçalho e dos cabeçalhos de solicitação na solicitação.

  5. Para atualizar a lista de solicitações de amostra, escolha Get new samples.