Como usar rótulos em solicitações da Web no AWS WAF - AWS WAF, AWS Firewall Manager, e AWS Shield Advanced

Como usar rótulos em solicitações da Web no AWS WAF

Esta seção explica o que são os rótulos do AWS WAF.

Os rótulos são metadados adicionados a uma solicitação da Web por uma regra quando a regra é correspondente à solicitação. Depois de adicionados, os rótulos permanecem disponíveis na solicitação até que a avaliação da ACL da Web termine. Você pode acessar rótulos em regras que serão executadas posteriormente na avaliação da web ACL usando uma instrução de correspondência de rótulos. Para obter detalhes, consulte Instrução de regra de correspondência de rótulo.

Rótulos em solicitações da web geram métricas de rótulos do Amazon CloudWatch. Para obter uma lista das métricas e dimensões, consulte Métricas e dimensões do rótulo. Para obter informações sobre como acessar métricas e resumos de métricas por meio do CloudWatch e do console do AWS WAF, consulte Como monitorar e ajustar suas proteções do AWS WAF.

Casos de uso de rótulos

Entre os casos de uso comuns para os rótulos AWS WAF estão os seguintes:

  • Avaliação de uma solicitação da web em relação a várias instruções de regra antes de agir sobre a solicitação:Depois que uma correspondência for encontrada com uma regra em uma web ACL, o AWS WAF continua avaliando a solicitação em relação à web ACL se a ação da regra não encerrar a avaliação da web ACL. Você pode usar rótulos para avaliar e coletar informações de várias regras antes de decidir permitir ou bloquear a solicitação. Para fazer isso, altere as ações de suas regras existentes para Count e configure-as para adicionar rótulos às solicitações correspondentes. Em seguida, adicione uma ou mais novas regras para serem executadas após as outras regras e configure-as para avaliar os rótulos e gerenciar as solicitações de acordo com as combinações de correspondência de rótulo.

  • Gerenciamento de solicitações da web por região geográfica:Você pode usar somente a regra de correspondência geográfica para gerenciar solicitações da web por país de origem. Para ajustar a localização até o nível da região, você usa a regra de correspondência geográfica com uma ação Count seguida por uma regra de correspondência de rótulo. Para obter informações sobre regras de geo correspondência, consulte Instrução de regra de correspondência geográfica.

  • Reutilização da lógica em várias regras:Se você precisar reutilizar a mesma lógica em várias regras, poderá usar rótulos para criar uma única fonte da lógica e apenas testar os resultados. Quando você tem várias regras complexas que usam um subconjunto comum de instruções de regras aninhadas, duplicar o conjunto de regras comuns em suas regras complexas pode ser demorado e propenso a erros. Com rótulos, você pode criar uma nova regra com o subconjunto de regras comuns que conta as solicitações correspondentes e adiciona um rótulo a elas. Você adiciona a nova regra à sua web ACL para que ela seja executada antes das regras complexas originais. Em seguida, nas regras originais, você substitui o subconjunto de regras compartilhadas por uma única regra que verifica o rótulo.

    Por exemplo, digamos que você tenha várias regras que deseja aplicar somente aos seus caminhos de login. Em vez de fazer com que cada regra especifique a mesma lógica para corresponder a possíveis caminhos de login, você pode implementar uma única nova regra que contenha essa lógica. Faça com que a nova regra adicione um rótulo às solicitações correspondentes para indicar que a solicitação está em um caminho de login. Em sua web ACL, atribua a essa nova regra uma configuração de prioridade numérica menor do que as regras originais para que ela seja executada primeiro. Em seguida, nas regras originais, substitua a lógica compartilhada por uma verificação da presença do rótulo. Para obter mais informações sobre as configurações de prioridade, consulte Como definir a prioridade da regra em uma ACL da Web.

  • Criação de exceções às regras em grupos de regras:Essa opção é particularmente útil para grupos de regras gerenciadas, que você não pode visualizar nem alterar. Muitas regras de grupos de regras gerenciadas adicionam rótulos às solicitações da web correspondentes, para indicar as regras que corresponderam e, possivelmente, para fornecer informações adicionais sobre a correspondência. Ao usar um grupo de regras que adiciona rótulos às solicitações, você pode substituir as regras do grupo de regras para contar as correspondências e, em seguida, executar uma regra após o grupo de regras que trata a solicitação da web com base nos rótulos do grupo de regras. Todas as regras gerenciadas da AWS adicionam rótulos às solicitações da web correspondentes. Para obter detalhes, consulte as descrições da regra em Lista de grupos de regras das regras gerenciadas da AWS.

  • Usando métricas de rótulos para monitorar padrões de tráfego:Você pode acessar métricas para rótulos que você adiciona por meio de suas regras e para métricas adicionadas por qualquer grupo de regras gerenciadas que você usa em sua web ACL. Todos os grupos de regras das regras gerenciadas da AWS adicionam rótulos às solicitações da web que eles avaliam. Para obter uma lista das métricas e dimensões, consulte Métricas e dimensões do rótulo. Você pode acessar métricas e resumos de métricas através do CloudWatch e da página da web ACL no console do AWS WAF. Para ter mais informações, consulte Como monitorar e ajustar suas proteções do AWS WAF.