Como a rotulagem funciona em AWS WAF - AWS WAF, AWS Firewall Manager, AWS Shield Advanced, e diretor AWS Shield de segurança de rede

Apresentando uma nova experiência de console para AWS WAF

Agora você pode usar a experiência atualizada para acessar a AWS WAF funcionalidade em qualquer lugar do console. Consulte mais detalhes em Trabalhando com a experiência atualizada do console.

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Como a rotulagem funciona em AWS WAF

Esta seção explica como os AWS WAF rótulos funcionam.

Quando uma regra corresponde a uma solicitação da web, se a regra tiver rótulos definidos, AWS WAF adicionará os rótulos à solicitação no final da avaliação da regra. As regras que são avaliadas após a regra correspondente no pacote de proteção (Web ACL) podem corresponder aos rótulos que a regra adicionou.

Quem adiciona rótulos às solicitações

Os componentes do pacote de proteção (Web ACL) que avaliam as solicitações podem adicionar rótulos às solicitações.

  • Qualquer regra que não seja uma instrução de referência de grupo de regras pode adicionar rótulos às solicitações da web correspondentes. Os critérios de rotulagem fazem parte da definição da regra e, quando uma solicitação da Web corresponde à regra, AWS WAF os rótulos da regra são adicionados à solicitação. Para mais informações, consulte AWS WAF regras que adicionam rótulos.

  • A instrução da regra de correspondência geográfica adiciona rótulos de país e região a qualquer solicitação que ela inspeciona, independentemente de a instrução resultar em uma correspondência. Para mais informações, consulte Instrução de regra de correspondência geográfica.

  • As regras AWS gerenciadas para AWS WAF todos adicionam rótulos às solicitações que eles inspecionam. Elas adicionam alguns rótulos com base nas correspondências de regras no grupo de regras e alguns com base nos processos da AWS que os grupos de regras gerenciadas usam, como o rótulo de token adicionado quando você usa um grupo de regras de mitigação de ameaças inteligentes. Para obter informações sobre os rótulos que cada grupo de regras gerenciadas adiciona, consulte AWS Lista de grupos de regras de regras gerenciadas.

Como AWS WAF gerencia rótulos

AWS WAF adiciona os rótulos da regra à solicitação ao final da inspeção da solicitação pela regra. A rotulagem faz parte das atividades de correspondência de uma regra, semelhante à ação.

Os rótulos não persistem com a solicitação da web após o término da avaliação do pacote de proteção (Web ACL). Para que outras regras correspondam a um rótulo adicionado por sua regra, sua ação de regra não deve encerrar a avaliação da solicitação da web pelo pacote de proteção (Web ACL). A ação da regra deve ser definida como Count, CAPTCHA ou Challenge. Quando a avaliação do pacote de proteção (web ACL) não termina, as regras subsequentes no pacote de proteção (web ACL) podem executar seus critérios de correspondência de rótulos em relação à solicitação. Para obter mais informações sobre as ações de regra, consulte Usando ações de regras em AWS WAF.

Acesso às etiquetas durante a avaliação do pacote de proteção (web ACL)

Depois de adicionadas, as etiquetas permanecem disponíveis na solicitação, desde que a solicitação AWS WAF seja avaliada em relação ao pacote de proteção (Web ACL). Qualquer regra em um pacote de proteção (Web ACL) pode acessar rótulos que foram adicionados pelas regras que já foram executadas no mesmo pacote de proteção (Web ACL). Isso inclui regras que são definidas diretamente dentro do pacote de proteção (web ACL) e regras definidas dentro de grupos de regras que são usados no pacote de proteção (web ACL).

  • Você pode fazer uma correspondência com um rótulo nos critérios de inspeção de solicitação da sua regra usando a instrução de correspondência de rótulos. Você pode corresponder com qualquer rótulo anexado à solicitação. Para obter detalhes da instrução, consulte Instrução de regra de correspondência de rótulo.

  • A declaração de correspondência geográfica adiciona rótulos com ou sem correspondência, mas eles só estão disponíveis depois que a regra que contém o pacote de proteção (Web ACL) da declaração tiver concluído a avaliação da solicitação.

    • Você não pode usar uma única regra, por exemplo, uma instrução lógica AND, para executar uma instrução de correspondência geográfica seguida por uma instrução de correspondência de rótulo com os rótulos geográficos. Você deve colocar a instrução de correspondência de rótulos em uma regra separada que é executada após a regra que contém a instrução de correspondência geográfica.

    • Se você usar uma instrução de correspondência geográfica como uma instrução de redução de escopo dentro de uma instrução de regra baseada em intervalos ou instrução de referência de grupo de regras gerenciadas, os rótulos adicionados pela instrução de correspondência geográfica não estarão disponíveis para inspeção pela instrução da regra que a contém. Se você precisar inspecionar a rotulagem geográfica em uma instrução de regra baseada em intervalos ou em um grupo de regras, deverá executar a instrução de correspondência geográfica em uma regra separada que seja executada previamente.

Acesso às informações do rótulo fora da avaliação do pacote de proteção (web ACL)

Os rótulos não persistem com a solicitação da web após o término da avaliação do pacote de proteção (ACL da web), mas AWS WAF registram as informações dos rótulos nos registros e nas métricas.

Sua avaliação do pacote de proteção (web ACL) pode aplicar mais de 100 rótulos a uma solicitação da web e comparar com mais de 100 rótulos, mas registra AWS WAF somente os 100 primeiros nos registros e métricas.