Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Mengesampingkan tindakan grup aturan di AWS WAF
Bagian ini menjelaskan cara mengganti tindakan grup aturan.
Saat menambahkan grup aturan ke webACL, Anda dapat mengganti tindakan yang dilakukan saat mencocokkan permintaan web. Mengganti tindakan untuk grup aturan di dalam ACL konfigurasi web Anda tidak mengubah grup aturan itu sendiri. Itu hanya mengubah bagaimana AWS WAF menggunakan kelompok aturan dalam konteks webACL.
Pengesampingan tindakan aturan kelompok aturan
Anda dapat mengganti tindakan aturan di dalam grup aturan ke tindakan aturan yang valid. Saat Anda melakukan ini, permintaan yang cocok ditangani persis seolah-olah tindakan aturan yang dikonfigurasi adalah pengaturan penggantian.
catatan
Tindakan aturan dapat mengakhiri atau tidak mengakhiri. Tindakan penghentian menghentikan ACL evaluasi web permintaan dan memungkinkannya melanjutkan ke aplikasi Anda yang dilindungi atau memblokirnya.
Berikut adalah opsi tindakan aturan:
-
Allow – AWS WAF memungkinkan permintaan diteruskan ke yang dilindungi AWS sumber daya untuk pemrosesan dan respons. Ini adalah tindakan penghentian. Dalam aturan yang Anda tentukan, Anda dapat menyisipkan header khusus ke dalam permintaan sebelum meneruskannya ke sumber daya yang dilindungi.
-
Block – AWS WAF memblokir permintaan. Ini adalah tindakan penghentian. Secara default, Anda dilindungi AWS sumber daya merespons dengan kode HTTP
403 (Forbidden)status. Dalam aturan yang Anda tentukan, Anda dapat menyesuaikan respons. Saat AWS WAF memblokir permintaan, Block pengaturan tindakan menentukan respons yang dikirim kembali oleh sumber daya yang dilindungi ke klien. -
Count – AWS WAF menghitung permintaan tetapi tidak menentukan apakah akan mengizinkan atau memblokirnya. Ini adalah tindakan yang tidak mengakhiri. AWS WAF terus memproses aturan yang tersisa di webACL. Dalam aturan yang Anda tentukan, Anda dapat menyisipkan header khusus ke dalam permintaan dan Anda dapat menambahkan label yang dapat dicocokkan dengan aturan lain.
-
CAPTCHA and Challenge – AWS WAF menggunakan CAPTCHA teka-teki dan tantangan diam untuk memverifikasi bahwa permintaan tidak berasal dari bot, dan AWS WAF menggunakan token untuk melacak respons klien yang berhasil baru-baru ini.
CAPTCHAteka-teki dan tantangan diam hanya dapat berjalan ketika browser mengakses titik akhir. HTTPS Klien browser harus berjalan dalam konteks aman untuk mendapatkan token.
catatan
Anda akan dikenakan biaya tambahan ketika Anda menggunakan CAPTCHA atau Challenge tindakan aturan di salah satu aturan Anda atau sebagai tindakan aturan mengesampingkan dalam kelompok aturan. Untuk informasi selengkapnya, silakan lihat AWS WAF Penetapan harga
. Tindakan aturan ini dapat mengakhiri atau tidak mengakhiri, tergantung pada status token dalam permintaan:
-
Non-terminating untuk token yang valid dan belum kedaluwarsa — Jika token valid dan belum kedaluwarsa sesuai dengan waktu kekebalan yang dikonfigurasi atau menantang, CAPTCHA AWS WAF menangani permintaan yang mirip dengan Count tindakan. AWS WAF terus memeriksa permintaan web berdasarkan aturan yang tersisa di webACL. Mirip dengan Count konfigurasi, dalam aturan yang Anda tentukan, Anda dapat mengonfigurasi tindakan ini secara opsional dengan header khusus untuk disisipkan ke dalam permintaan, dan Anda dapat menambahkan label yang dapat dicocokkan dengan aturan lain.
-
Mengakhiri dengan permintaan yang diblokir untuk token yang tidak valid atau kedaluwarsa - Jika token tidak valid atau stempel waktu yang ditunjukkan kedaluwarsa, AWS WAF mengakhiri inspeksi permintaan web dan memblokir permintaan, mirip dengan Block tindakan. AWS WAF kemudian merespons klien dengan kode respons khusus. Untuk CAPTCHA, jika isi permintaan menunjukkan bahwa browser klien dapat menanganinya, AWS WAF mengirimkan CAPTCHA teka-teki dalam JavaScript interstitial, yang dirancang untuk membedakan klien manusia dari bot. Untuk Challenge tindakan, AWS WAF mengirimkan JavaScript interstitial dengan tantangan diam yang dirancang untuk membedakan browser normal dari sesi yang dijalankan oleh bot.
Untuk informasi tambahan, lihat Penggunaan CAPTCHA and Challenge in AWS WAF.
-
Untuk informasi tentang cara menggunakan opsi ini, lihatMengesampingkan tindakan aturan dalam grup aturan.
Mengesampingkan tindakan aturan untuk Count
Kasus penggunaan yang paling umum untuk penggantian tindakan aturan adalah mengesampingkan beberapa atau semua tindakan aturan ke Count, untuk menguji dan memantau perilaku kelompok aturan sebelum memasukkannya ke dalam produksi.
Anda juga dapat menggunakan ini untuk memecahkan masalah grup aturan yang menghasilkan positif palsu. Positif palsu terjadi ketika grup aturan memblokir lalu lintas yang tidak Anda harapkan untuk diblokir. Jika Anda mengidentifikasi aturan dalam grup aturan yang akan memblokir permintaan yang ingin Anda izinkan, Anda dapat menyimpan penggantian tindakan hitungan pada aturan tersebut, untuk mengecualikannya agar tidak bertindak sesuai permintaan Anda.
Untuk informasi selengkapnya tentang penggunaan penggantian tindakan aturan dalam pengujian, lihatMenguji dan menyetel AWS WAF perlindungan.
JSONdaftar: RuleActionOverrides menggantikan ExcludedRules
Jika Anda menetapkan tindakan aturan grup aturan ke Count dalam ACL konfigurasi web Anda sebelum 27 Oktober 2022, AWS WAF menyimpan penggantian Anda di web ACL JSON sebagai. ExcludedRules Sekarang, JSON pengaturan untuk mengesampingkan aturan untuk Count ada di RuleActionOverrides pengaturan.
Saat Anda menggunakan AWS WAF konsol untuk mengedit pengaturan grup aturan yang ada, konsol secara otomatis mengonversi ExcludedRules pengaturan apa pun di RuleActionOverrides pengaturan JSON to, dengan tindakan penggantian disetel ke Count.
-
Contoh pengaturan saat ini:
"ManagedRuleGroupStatement": { "VendorName": "AWS", "Name": "AWSManagedRulesAdminProtectionRuleSet", "RuleActionOverrides": [ { "Name": "AdminProtection_URIPATH", "ActionToUse": { "Count": {} } } ] -
Contoh pengaturan lama:
OLD SETTING "ManagedRuleGroupStatement": { "VendorName": "AWS", "Name": "AWSManagedRulesAdminProtectionRuleSet", "ExcludedRules": [ { "Name": "AdminProtection_URIPATH" } ] OLD SETTING
Kami menyarankan Anda memperbarui semua ExcludedRules pengaturan Anda di JSON daftar Anda ke RuleActionOverrides pengaturan dengan tindakan yang disetel ke Count. Pengaturan API menerima salah satu, tetapi Anda akan mendapatkan konsistensi dalam JSON daftar Anda, antara pekerjaan konsol Anda dan API pekerjaan Anda, jika Anda hanya menggunakan RuleActionOverrides pengaturan baru.
Tindakan pengembalian grup aturan akan ditimpa Count
Anda dapat mengganti tindakan yang dikembalikan grup aturan, menyetelnya Count.
catatan
Ini bukan pilihan yang baik untuk menguji aturan dalam grup aturan, karena tidak mengubah caranya AWS WAF mengevaluasi kelompok aturan itu sendiri. Hal ini hanya mempengaruhi bagaimana AWS WAF menangani hasil yang dikembalikan ke web ACL dari evaluasi kelompok aturan. Jika Anda ingin menguji aturan dalam grup aturan, gunakan opsi yang dijelaskan di bagian sebelumnya,. Pengesampingan tindakan aturan kelompok aturan
Saat Anda mengganti tindakan grup aturan ke Count, AWS WAF Memproses evaluasi kelompok aturan secara normal.
Jika tidak ada aturan dalam grup aturan yang cocok atau jika semua aturan yang cocok memiliki Count tindakan, maka penggantian ini tidak berpengaruh pada pemrosesan grup aturan atau webACL.
Aturan pertama dalam grup aturan yang cocok dengan permintaan web dan yang menyebabkan tindakan aturan penghentian AWS WAF untuk berhenti mengevaluasi kelompok aturan dan mengembalikan hasil tindakan penghentian ke tingkat ACL evaluasi web. Pada titik ini, dalam ACL evaluasi web, penggantian ini berlaku. AWS WAF mengesampingkan tindakan penghentian sehingga hasil evaluasi kelompok aturan hanya Count tindakan. AWS WAF kemudian terus memproses sisa aturan di webACL.
Untuk informasi tentang cara menggunakan opsi ini, lihatMengesampingkan hasil evaluasi kelompok aturan ke Count.
