Como AWS WAF manipula as ações de regras e grupos de regras em uma ACL da web - AWS WAF, AWS Firewall Manager, e AWS Shield Advanced

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Como AWS WAF manipula as ações de regras e grupos de regras em uma ACL da web

Ao configurar suas regras e grupos de regras, você escolhe como deseja AWS WAF lidar com as solicitações da web correspondentes:

  • Allow e Block estão encerrando ações: as ações Allow e Block interrompem todos os outros processamentos da web ACL na solicitação da web correspondente. Se uma regra em uma ACL da web encontrar uma correspondência para uma solicitação e a ação da regra for Allow ouBlock, essa correspondência determinará a disposição final da solicitação da web para a ACL da web. AWS WAF não processa nenhuma outra regra na ACL da web que venha depois da correspondente. Isso é verdadeiro para regras que você adiciona diretamente à web ACL e às regras que estão dentro de um grupo de regras adicionado. Com a ação Block, o recurso protegido não recebe nem processa a solicitação da web.

  • Count não é uma ação de encerramento: quando uma regra com uma ação Count corresponde a uma solicitação, o AWS WAF conta a solicitação e, em seguida, continua processando as regras que seguem no conjunto de regras da web ACL.

  • CAPTCHAe Challenge podem ser ações de encerramento ou encerramento — quando uma regra com uma dessas ações corresponde a uma solicitação, AWS WAF verifica o status do token. Se a solicitação tiver um token válido, AWS WAF tratará a correspondência de forma semelhante a uma Count correspondência e, em seguida, continuará processando as regras que seguem no conjunto de regras da Web ACL. Se a solicitação não tiver um token válido, AWS WAF encerra a avaliação e envia ao cliente um quebra-cabeça CAPTCHA ou um desafio silencioso de uma sessão de cliente em segundo plano para resolver.

Se a avaliação da regra não resultar em nenhuma ação de encerramento, AWS WAF aplicará a ação padrão da Web ACL à solicitação. Para mais informações, consulte A ação padrão da web ACL.

Na sua web ACL, você pode substituir as configurações de ação das regras dentro de um grupo de regras e substituir a ação retornada por um grupo de regras. Para mais informações, consulte Opções de substituição de ação para grupos de regras.

Interação entre ações e configurações de prioridade

As ações que AWS WAF se aplicam a uma solicitação da web são afetadas pelas configurações de prioridade numérica das regras na ACL da web. Por exemplo, digamos que sua web ACL tenha uma regra com ação Allow e uma prioridade numérica de 50 e outra regra com ação Count e uma prioridade numérica de 100. O AWS WAF avalia as regras em uma web ACL na ordem de prioridade, começando pela configuração mais baixa, para que avalie a regra de permissão antes da regra de contagem. Uma solicitação da web que corresponda às duas regras corresponderá primeiro à regra de permissão. Como Allow é uma ação de encerramento, AWS WAF interromperá a avaliação nesta partida e não avaliará a solicitação de acordo com a regra de contagem.

  • Se você quiser incluir apenas solicitações que não correspondam à regra de permissão nas métricas da regra de contagem, as configurações de prioridade das regras funcionarão.

  • Por outro lado, se você quiser contar métricas da regra de contagem, mesmo para solicitações que correspondam à regra de permissão, precisará atribuir à regra de contagem uma configuração de prioridade numérica menor do que a regra de permissão, para que ela seja executada primeiro.

Para obter mais informações sobre configurações de prioridade, consulte Ordem de processamento de regras e grupos de regras em uma web ACL.