Usando a web ACLs em AWS WAF - AWS WAF, AWS Firewall Manager, e AWS Shield Advanced

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Usando a web ACLs em AWS WAF

Esta página explica o que é uma lista de controle de acesso à web (webACL) e como ela funciona.

Uma web ACL oferece um controle refinado sobre todas as HTTP (S) solicitações da web às quais seu recurso protegido responde. Você pode proteger a Amazon CloudFront, o Amazon API Gateway, o Application Load Balancer, AWS AppSync, Amazon Cognito, AWS App Runner e AWS Recursos de acesso verificado.

Você pode usar critérios como os seguintes para permitir ou bloquear solicitações:

  • Origem do endereço IP da solicitação

  • País de origem da solicitação

  • Correspondência de string ou correspondência de expressão regular (regex) em uma parte da solicitação

  • Tamanho de uma parte específica da solicitação

  • Detecção de SQL códigos ou scripts maliciosos

Você também pode testar qualquer combinação dessas condições. Você pode bloquear ou contar solicitações da web que não apenas atendam às condições especificadas, mas também excedam um número específico de solicitações em um único minuto. Você pode combinar condições usando operadores lógicos. Você também pode executar CAPTCHA quebra-cabeças e desafios silenciosos de sessões de clientes contra solicitações.

Você fornece seus critérios de correspondência e a ação a ser tomada nas partidas em AWS WAF declarações de regras. Você pode definir declarações de regras diretamente na sua web ACL e em grupos de regras reutilizáveis que você usa na sua web. ACL Para obter uma lista completa das opções, consulte Usando declarações de regras em AWS WAF e Usando ações de regras em AWS WAF.

Ao criar uma WebACL, você especifica os tipos de recursos com os quais deseja usá-la. Para ter mais informações, consulte Criando uma web ACL em AWS WAF. Depois de definir uma webACL, você pode associá-la aos seus recursos para começar a fornecer proteção para eles. Para obter mais informações, consulte Associando ou desassociando uma web com um ACL AWS recurso.

nota

Em algumas ocasiões, AWS WAF pode encontrar um erro interno que atrasa a resposta ao associado AWS recursos sobre se uma solicitação deve ser permitida ou bloqueada. Nessas ocasiões, CloudFront normalmente permite a solicitação ou veicula o conteúdo, enquanto os serviços regionais normalmente negam a solicitação e não veiculam o conteúdo.

Risco de tráfego de produção

Antes de implantar alterações em sua web ACL para tráfego de produção, teste-as e ajuste-as em um ambiente de preparação ou teste até se sentir confortável com o impacto potencial em seu tráfego. Em seguida, teste e ajuste suas regras atualizadas no modo de contagem com seu tráfego de produção antes de ativá-las. Para obter orientações, consulte Testando e ajustando seu AWS WAF proteções.

nota

Usar mais de 1.500 WCUs em uma web ACL incorre em custos além do preço básico da webACL. Para obter mais informações, consulte Entendendo as unidades ACL de capacidade da web (WCUs) em AWS WAF e AWS WAF Preços.

Inconsistências temporárias durante as atualizações

Quando você cria ou altera uma web ACL ou outra AWS WAF recursos, as mudanças demoram um pouco para se propagar em todas as áreas em que os recursos estão armazenados. O tempo de propagação pode ser de alguns segundos a alguns minutos.

Os seguintes são exemplos de inconsistências temporárias com as quais você pode se deparar durante a propagação da alteração:

  • Depois de criar uma WebACL, se você tentar associá-la a um recurso, poderá receber uma exceção indicando que a Web não ACL está disponível.

  • Depois de adicionar um grupo de regras a uma webACL, as novas regras do grupo de regras podem entrar em vigor em uma área em que a web ACL é usada e não em outra.

  • Depois de alterar uma configuração de ação de regra, você pode se deparar com a ação antiga em alguns lugares e a nova ação em outros.

  • Ou, se você adicionar um endereço IP a um conjunto de IP que esteja em uso em uma regra de bloqueio, o novo endereço poderá ser brevemente bloqueado em uma área, enquanto ainda é permitido em outra.

Tópicos