**Ti presentiamo una nuova esperienza di console per AWS WAF**
Ora puoi utilizzare l'esperienza aggiornata per accedere alle AWS WAF funzionalità da qualsiasi punto della console. Per ulteriori dettagli, consulta [Lavorare con la console](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html).
Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Regolazione delle impostazioni delle istruzioni delle regole in AWS WAF
Questa sezione descrive le impostazioni che è possibile specificare nelle istruzioni delle regole che esaminano un componente della richiesta web. Per informazioni sull'utilizzo, consulta le singole istruzioni delle regole all'indirizzo[Utilizzo delle istruzioni match rule in AWS WAF](waf-rule-statements-match.md).
Un sottoinsieme di questi componenti di richiesta Web può essere utilizzato anche nelle regole basate sulla frequenza, come chiavi di aggregazione delle richieste personalizzate. Per informazioni, consulta [Regole di aggregazione basate sui tassi in AWS WAF](waf-rule-statement-type-rate-based-aggregation-options.md).
Per le impostazioni del componente di richiesta, specificate il tipo di componente stesso e le eventuali opzioni aggiuntive, a seconda del tipo di componente. Ad esempio, quando ispezionate un tipo di componente che contiene testo, potete applicare trasformazioni di testo ad esso prima di esaminarlo.
**Nota**
Salvo diversa indicazione, se una richiesta Web non ha il componente di richiesta specificato nell'istruzione della regola, AWS WAF valuta la richiesta come non corrispondente ai criteri della regola.
**Contents**
+ [Richiedi componenti in AWS WAF](waf-rule-statement-fields-list.md)
+ [Metodo HTTP](waf-rule-statement-fields-list.md#waf-rule-statement-request-component-http-method)
+ [Intestazione singola](waf-rule-statement-fields-list.md#waf-rule-statement-request-component-single-header)
+ [Tutte le intestazioni](waf-rule-statement-fields-list.md#waf-rule-statement-request-component-headers)
+ [Ordine delle intestazioni](waf-rule-statement-fields-list.md#waf-rule-statement-request-component-header-order)
+ [Cookie](waf-rule-statement-fields-list.md#waf-rule-statement-request-component-cookies)
+ [Frammento URI](waf-rule-statement-fields-list.md#waf-rule-statement-request-component-uri-fragment)
+ [Percorso URI](waf-rule-statement-fields-list.md#waf-rule-statement-request-component-uri-path)
+ [JA3 impronta digitale](waf-rule-statement-fields-list.md#waf-rule-statement-request-component-ja3-fingerprint)
+ [JA4 impronta digitale](waf-rule-statement-fields-list.md#waf-rule-statement-request-component-ja4-fingerprint)
+ [Stringa di query](waf-rule-statement-fields-list.md#waf-rule-statement-request-component-query-string)
+ [Parametro di query singola](waf-rule-statement-fields-list.md#waf-rule-statement-request-component-single-query-param)
+ [Tutti i parametri di query](waf-rule-statement-fields-list.md#waf-rule-statement-request-component-all-query-params)
+ [Body](waf-rule-statement-fields-list.md#waf-rule-statement-request-component-body)
+ [Corpo JSON](waf-rule-statement-fields-list.md#waf-rule-statement-request-component-json-body)
+ [Utilizzo degli indirizzi IP inoltrati in AWS WAF](waf-rule-statement-forwarded-ip-address.md)
+ [Ispezione degli pseudo header HTTP/2 in AWS WAF](waf-rule-statement-request-components-for-http2-pseudo-headers.md)
+ [Utilizzo delle trasformazioni di testo in AWS WAF](waf-rule-statement-transformation.md)
# Richiedi componenti in AWS WAF
Questa sezione descrive i componenti della richiesta Web che è possibile specificare per l'ispezione. Si specifica il componente di richiesta per le istruzioni Match Rule che cercano modelli all'interno della richiesta web. Questi tipi di istruzioni includono string match, regex match, size constraint e istruzioni di attacco SQL injection. Per informazioni su come utilizzare queste impostazioni dei componenti di richiesta, consulta le singole istruzioni delle regole all'indirizzo [Utilizzo delle istruzioni match rule in AWS WAF](waf-rule-statements-match.md)
Salvo diversa indicazione, se una richiesta web non ha il componente di richiesta specificato nell'istruzione della regola, AWS WAF valuta la richiesta come non corrispondente ai criteri della regola.
**Nota**
Si specifica un singolo componente di richiesta per ogni istruzione regola che lo richiede. Per ispezionare più componenti di una richiesta, creare un'istruzione regola per ogni componente.
La documentazione della AWS WAF console e dell'API fornisce indicazioni per le impostazioni del componente di richiesta nelle seguenti posizioni:
+ **Generatore di regole** **sulla console: nelle impostazioni di **Statement** per un tipo di regola normale, scegli il componente che desideri esaminare nella finestra di dialogo Ispeziona in **Richiedi** componenti.**
+ Contenuto della **dichiarazione API**: `FieldToMatch`
Il resto di questa sezione descrive le opzioni relative alla parte della richiesta web da esaminare.
**Topics**
+ [Metodo HTTP](#waf-rule-statement-request-component-http-method)
+ [Intestazione singola](#waf-rule-statement-request-component-single-header)
+ [Tutte le intestazioni](#waf-rule-statement-request-component-headers)
+ [Ordine delle intestazioni](#waf-rule-statement-request-component-header-order)
+ [Cookie](#waf-rule-statement-request-component-cookies)
+ [Frammento URI](#waf-rule-statement-request-component-uri-fragment)
+ [Percorso URI](#waf-rule-statement-request-component-uri-path)
+ [JA3 impronta digitale](#waf-rule-statement-request-component-ja3-fingerprint)
+ [JA4 impronta digitale](#waf-rule-statement-request-component-ja4-fingerprint)
+ [Stringa di query](#waf-rule-statement-request-component-query-string)
+ [Parametro di query singola](#waf-rule-statement-request-component-single-query-param)
+ [Tutti i parametri di query](#waf-rule-statement-request-component-all-query-params)
+ [Body](#waf-rule-statement-request-component-body)
+ [Corpo JSON](#waf-rule-statement-request-component-json-body)
## Metodo HTTP
Ispeziona il metodo HTTP per la richiesta. Il metodo HTTP indica il tipo di operazione che la richiesta Web richiede alla risorsa protetta di eseguire, ad esempio `POST` o`GET`.
## Intestazione singola
Ispeziona una singola intestazione denominata nella richiesta.
Per questa opzione, si specifica il nome dell'intestazione, ad esempio o. `User-Agent` `Referer` La corrispondenza tra stringhe per il nome non fa distinzione tra maiuscole e minuscole e viene eseguita dopo aver tagliato gli spazi iniziali e finali sia dall'intestazione della richiesta che dalla regola.
## Tutte le intestazioni
Ispeziona tutte le intestazioni della richiesta, inclusi i cookie. Puoi applicare un filtro per ispezionare un sottoinsieme di tutte le intestazioni.
Per questa opzione, fornisci le seguenti specifiche:
+ **Match Patterns**: il filtro da utilizzare per ottenere un sottoinsieme di intestazioni da ispezionare. AWS WAF cerca questi pattern nei tasti delle intestazioni.
L'impostazione dei modelli di corrispondenza può essere una delle seguenti:
+ **Tutti**: abbina tutti i tasti. Valuta i criteri di controllo delle regole per tutte le intestazioni.
+ **Intestazioni escluse**: ispeziona solo le intestazioni le cui chiavi non corrispondono a nessuna delle stringhe specificate qui. La corrispondenza tra stringhe per una chiave non fa distinzione tra maiuscole e minuscole. La corrispondenza viene eseguita dopo aver tagliato gli spazi iniziali e finali dall'intestazione della richiesta e dalla regola di corrispondenza.
+ **Intestazioni incluse**: ispeziona solo le intestazioni che hanno una chiave che corrisponde a una delle stringhe specificate qui. La corrispondenza tra stringhe per una chiave non fa distinzione tra maiuscole e minuscole. La corrispondenza viene eseguita dopo aver tagliato gli spazi iniziali e finali dall'intestazione della richiesta e dalla regola di corrispondenza.
+ **Ambito di corrispondenza**: le parti delle intestazioni che AWS WAF devono essere controllate in base ai criteri di ispezione delle regole. È possibile specificare **Chiavi**, **Valori** o **Tutto** per controllare sia le chiavi che i valori per verificare una corrispondenza.
**Tutto** non richiede che venga trovata una corrispondenza nelle chiavi e una corrispondenza nei valori. Richiede la ricerca di una corrispondenza nelle chiavi o nei valori o in entrambi. Per richiedere una corrispondenza nelle chiavi e nei valori, utilizzate un'`AND`istruzione logica per combinare due regole di corrispondenza, una che ispeziona le chiavi e l'altra che ispeziona i valori.
+ **Gestione di dimensioni eccessive**: come gestire AWS WAF le richieste con dati di intestazione più grandi di quelli ispezionabili. AWS WAF AWS WAF può ispezionare al massimo i primi 8 KB (8.192 byte) delle intestazioni delle richieste e al massimo le prime 200 intestazioni. Il contenuto è disponibile per l'ispezione AWS WAF fino al primo limite raggiunto. È possibile scegliere di continuare l'ispezione oppure di saltarla e contrassegnare la richiesta come conforme o non conforme alla regola. Per ulteriori informazioni sulla gestione di contenuti di grandi dimensioni, consulta. [Componenti di richiesta Web di grandi dimensioni in AWS WAF](waf-oversize-request-components.md)
## Ordine delle intestazioni
Ispeziona una stringa contenente l'elenco dei nomi delle intestazioni della richiesta, ordinati così come appaiono nella richiesta web che AWS WAF riceve per l'ispezione. AWS WAF genera la stringa e poi la utilizza come campo per abbinare il componente durante la sua ispezione. AWS WAF separa i nomi delle intestazioni nella stringa con due punti e senza spazi aggiunti, ad esempio. `host:user-agent:accept:authorization:referer`
Per questa opzione, si forniscono le seguenti specifiche:
+ **Gestione sovradimensionata**: come AWS WAF gestire le richieste con dati di intestazione più numerosi o più grandi di quelli che è AWS WAF possibile esaminare. AWS WAF può ispezionare al massimo i primi 8 KB (8.192 byte) delle intestazioni delle richieste e al massimo le prime 200 intestazioni. Il contenuto è disponibile per l'ispezione AWS WAF fino al primo limite raggiunto. Puoi scegliere di continuare a controllare le intestazioni disponibili oppure di saltare l'ispezione e contrassegnare la richiesta come corrispondente o non corrispondente alla regola. Per ulteriori informazioni sulla gestione di contenuti di grandi dimensioni, consulta. [Componenti di richiesta Web di grandi dimensioni in AWS WAF](waf-oversize-request-components.md)
## Cookie
Ispeziona tutti i cookie della richiesta. Puoi applicare un filtro per ispezionare un sottoinsieme di tutti i cookie.
Per questa opzione, fornisci le seguenti specifiche:
+ **Match patterns**: il filtro da utilizzare per ottenere un sottoinsieme di cookie da ispezionare. AWS WAF cerca questi modelli nelle chiavi dei cookie.
L'impostazione dei modelli di corrispondenza può essere una delle seguenti:
+ **Tutti**: abbina tutti i tasti. Valuta i criteri di controllo delle regole per tutti i cookie.
+ **Cookie esclusi**: ispeziona solo i cookie le cui chiavi non corrispondono a nessuna delle stringhe specificate qui. La corrispondenza tra stringhe per una chiave fa distinzione tra maiuscole e minuscole e deve essere esatta.
+ **Cookie inclusi**: ispeziona solo i cookie che hanno una chiave che corrisponde a una delle stringhe specificate qui. La corrispondenza tra stringhe per una chiave fa distinzione tra maiuscole e minuscole e deve essere esatta.
+ **Match scope**: le parti dei cookie che AWS WAF devono essere controllate in base ai criteri di ispezione delle regole. È possibile specificare **Chiavi**, **Valori** o **Tutto sia per le** chiavi che per i valori.
**Tutto** non richiede che venga trovata una corrispondenza nelle chiavi e una corrispondenza nei valori. Richiede la ricerca di una corrispondenza nelle chiavi o nei valori o in entrambi. Per richiedere una corrispondenza nelle chiavi e nei valori, utilizzate un'`AND`istruzione logica per combinare due regole di corrispondenza, una che ispeziona le chiavi e l'altra che ispeziona i valori.
+ **Gestione sovradimensionata**: come AWS WAF gestire le richieste che contengono dati dei cookie più AWS WAF grandi di quelli che è possibile ispezionare. AWS WAF può ispezionare al massimo i primi 8 KB (8.192 byte) dei cookie di richiesta e al massimo i primi 200 cookie. Il contenuto è disponibile per l'ispezione AWS WAF fino al primo limite raggiunto. È possibile scegliere di continuare l'ispezione oppure di saltarla e contrassegnare la richiesta come conforme o non conforme alla regola. Per ulteriori informazioni sulla gestione di contenuti di grandi dimensioni, consulta. [Componenti di richiesta Web di grandi dimensioni in AWS WAF](waf-oversize-request-components.md)
## Frammento URI
**Nota**
L'ispezione dei frammenti di URI è disponibile solo per le CloudFront distribuzioni e gli Application Load Balancer.
Controlla la parte di un URL che segue il simbolo «\$1», fornendo informazioni aggiuntive sulla risorsa, ad esempio \$1section2. Per informazioni, vedere [URI (Uniform Resource Identifier): sintassi generica](https://tools.ietf.org/html/rfc3986#section-3).
Se non utilizzate una trasformazione di testo con questa opzione, AWS WAF non normalizza il frammento URI e lo ispeziona esattamente come lo riceve dal client nella richiesta. Per informazioni sulle trasformazioni del testo, consulta. [Utilizzo delle trasformazioni di testo in AWS WAF](waf-rule-statement-transformation.md)
**Requisiti della dichiarazione delle regole**
È necessario fornire un comportamento di riserva per questa dichiarazione di regola. Il comportamento di fallback è lo stato di corrispondenza che si desidera AWS WAF assegnare alla richiesta Web se manca l'URI, il frammento o il servizio associato non è Application Load Balancer o. CloudFront Se scegli di corrispondere, AWS WAF considera la richiesta come corrispondente all'istruzione della regola e applica l'azione della regola alla richiesta. Se scegli di non corrispondere, AWS WAF considera la richiesta come se non corrispondesse alla dichiarazione della regola.
## Percorso URI
Controlla la parte di un URL che identifica una risorsa, ad esempio. `/images/daily-ad.jpg` Per informazioni, vedere [Uniform Resource Identifier (URI):](https://tools.ietf.org/html/rfc3986#section-3) sintassi generica.
Se non utilizzate una trasformazione di testo con questa opzione, AWS WAF non normalizza l'URI e lo ispeziona esattamente come lo riceve dal client nella richiesta. Per informazioni sulle trasformazioni del testo, consulta. [Utilizzo delle trasformazioni di testo in AWS WAF](waf-rule-statement-transformation.md)
## JA3 impronta digitale
Controlla l'impronta digitale della richiesta. JA3
**Nota**
JA3 l'ispezione delle impronte digitali è disponibile solo per le CloudFront distribuzioni Amazon e gli Application Load Balancer.
L' JA3 impronta digitale è un hash di 32 caratteri derivato dal TLS Client Hello di una richiesta in arrivo. Questa impronta digitale funge da identificatore univoco per la configurazione TLS del client. AWS WAF calcola e registra questa impronta digitale per ogni richiesta che contiene informazioni TLS Client Hello sufficienti per il calcolo. Quasi tutte le richieste web includono queste informazioni.
**Come ottenere l' JA3 impronta digitale di un cliente**
È possibile ottenere l' JA3 impronta digitale per le richieste di un cliente dai log del Protection Pack (Web ACL). Se AWS WAF è in grado di calcolare l'impronta digitale, la include nei log. Per informazioni sui campi di registrazione, vedere. [Campi di registro per il traffico del Protection Pack (Web ACL)](logging-fields.md)
**Requisiti della dichiarazione delle regole**
È possibile controllare l' JA3 impronta digitale solo all'interno di un'istruzione di corrispondenza delle stringhe impostata in modo che corrisponda esattamente alla stringa fornita. Fornisci la stringa di JA3 impronte digitali dai log nella specifica dell'istruzione String Match, in modo che corrisponda a eventuali richieste future con la stessa configurazione TLS. Per informazioni sull'istruzione string match, vedere. [Istruzione regola di corrispondenza stringa](waf-rule-statement-type-string-match.md)
È necessario fornire un comportamento di riserva per questa dichiarazione di regola. Il comportamento di fallback è lo stato della corrispondenza che si desidera AWS WAF assegnare alla richiesta Web se non AWS WAF è possibile calcolare l'impronta digitale. JA3 Se scegli di abbinare, AWS WAF considera la richiesta come corrispondente all'istruzione della regola e applica l'azione della regola alla richiesta. Se scegli di non corrispondere, AWS WAF considera la richiesta come se non corrispondesse alla dichiarazione della regola.
Per utilizzare questa opzione di corrispondenza, è necessario registrare il traffico del Protection Pack (Web ACL). Per informazioni, consulta [Registrazione del traffico del pacchetto di AWS WAF protezione (Web ACL)](logging.md).
## JA4 impronta digitale
Ispeziona l'impronta digitale della richiesta. JA4
**Nota**
JA4 l'ispezione delle impronte digitali è disponibile solo per le CloudFront distribuzioni Amazon e gli Application Load Balancer.
L' JA4 impronta digitale è un hash di 36 caratteri derivato dal TLS Client Hello di una richiesta in arrivo. Questa impronta digitale funge da identificatore univoco per la configurazione TLS del client. JA4 l'impronta digitale è un'estensione dell'impronta digitale che può comportare un minor numero di JA3 impronte digitali uniche per alcuni browser. AWS WAF calcola e registra questa impronta digitale per ogni richiesta che contiene informazioni TLS Client Hello sufficienti per il calcolo. Quasi tutte le richieste web includono queste informazioni.
**Come ottenere l' JA4 impronta digitale di un cliente**
È possibile ottenere l' JA4 impronta digitale per le richieste di un cliente dai log del Protection Pack (Web ACL). Se AWS WAF è in grado di calcolare l'impronta digitale, la include nei log. Per informazioni sui campi di registrazione, vedere. [Campi di registro per il traffico del Protection Pack (Web ACL)](logging-fields.md)
**Requisiti della dichiarazione delle regole**
È possibile controllare l' JA4 impronta digitale solo all'interno di un'istruzione di corrispondenza delle stringhe impostata in modo che corrisponda esattamente alla stringa fornita. Fornisci la stringa di JA4 impronte digitali dai log nella specifica dell'istruzione String Match, in modo che corrisponda a eventuali richieste future con la stessa configurazione TLS. Per informazioni sull'istruzione string match, vedere. [Istruzione regola di corrispondenza stringa](waf-rule-statement-type-string-match.md)
È necessario fornire un comportamento di riserva per questa dichiarazione di regola. Il comportamento di fallback è lo stato della corrispondenza che si desidera AWS WAF assegnare alla richiesta Web se non AWS WAF è possibile calcolare l'impronta digitale. JA4 Se scegli di abbinare, AWS WAF considera la richiesta come corrispondente all'istruzione della regola e applica l'azione della regola alla richiesta. Se scegli di non corrispondere, AWS WAF considera la richiesta come se non corrispondesse alla dichiarazione della regola.
Per utilizzare questa opzione di corrispondenza, è necessario registrare il traffico del Protection Pack (Web ACL). Per informazioni, consulta [Registrazione del traffico del pacchetto di AWS WAF protezione (Web ACL)](logging.md).
## Stringa di query
Controlla la parte dell'URL che appare dopo un `?` carattere, se presente.
**Nota**
**Per le istruzioni match di cross-site scripting, si consiglia di scegliere **Tutti i parametri di query** anziché Query string.** Scegliendo **Tutti i parametri di interrogazione** si aggiunge il 10% WCUs al costo base.
## Parametro di query singola
Ispeziona un singolo parametro di query definito come parte della stringa di query. AWS WAF controlla il valore del parametro specificato.
Per questa opzione, si specifica anche un **argomento Query**. Ad esempio, se l'URL è`www.xyz.com?UserName=abc&SalesRegion=seattle`, è possibile specificare `UserName` o `SalesRegion` per l'argomento della query. La lunghezza massima per il nome dell'argomento è di 30 caratteri. Il nome non fa distinzione tra maiuscole e minuscole, quindi se lo si specifica`UserName`, AWS WAF corrisponde a tutte le varianti di`UserName`, incluso `username` e`UsERName`.
Se la stringa di query contiene più di un'istanza dell'argomento di interrogazione specificato, AWS WAF controlla tutti i valori per individuare una corrispondenza, utilizzando la OR logica. Ad esempio, nell'URL `www.xyz.com?SalesRegion=boston&SalesRegion=seattle`, AWS WAF valuta il nome specificato rispetto a `boston` e `seattle`. Se uno dei due è una corrispondenza, l'ispezione è una corrispondenza.
## Tutti i parametri di query
Ispeziona tutti i parametri di interrogazione nella richiesta. È simile alla scelta del componente del singolo parametro di query, ma AWS WAF controlla i valori di tutti gli argomenti all'interno della stringa di query. Ad esempio, se l'URL è `www.xyz.com?UserName=abc&SalesRegion=seattle`, AWS WAF attiva una corrispondenza se il valore di `UserName` o `SalesRegion` corrisponde ai criteri di ispezione.
La scelta di questa opzione aggiunge il 10% WCUs al costo base.
## Body
Ispeziona il corpo della richiesta, valutato come testo semplice. Puoi anche valutare il corpo come JSON utilizzando il JSON tipo di contenuto.
Il corpo della richiesta è la parte della richiesta che segue immediatamente le intestazioni della richiesta. Contiene tutti i dati aggiuntivi necessari per la richiesta Web, ad esempio i dati di un modulo.
+ Nella console, lo selezioni sotto l'**opzione Request** **Body**, selezionando l'opzione **Tipo di contenuto** **Testo normale**.
+ Nell'API, nelle `FieldToMatch` specifiche della regola, specifichi di `Body` ispezionare il corpo della richiesta come testo semplice.
Per Application Load Balancer and AWS AppSync, AWS WAF può ispezionare i primi 8 KB del corpo di una richiesta. Infatti CloudFront, API Gateway, Amazon Cognito, App Runner e Verified Access, per impostazione predefinita, AWS WAF possono ispezionare i primi 16 KB e puoi aumentare il limite fino a 64 KB nella configurazione del tuo Protection Pack (Web ACL). Per ulteriori informazioni, consulta [Considerazioni per la gestione dell'ispezione degli organi in AWS WAF](web-acl-setting-body-inspection-limit.md).
È necessario specificare la gestione delle dimensioni eccessive per questo tipo di componente. La gestione delle dimensioni eccessive definisce il modo in cui vengono AWS WAF gestite le richieste con dati corporei più grandi di quelli che è AWS WAF possibile esaminare. È possibile scegliere di continuare l'ispezione o di saltare l'ispezione e contrassegnare la richiesta come conforme o non conforme alla regola. Per ulteriori informazioni sulla gestione di contenuti di grandi dimensioni, consulta. [Componenti di richiesta Web di grandi dimensioni in AWS WAF](waf-oversize-request-components.md)
Puoi anche valutare il corpo come JSON analizzato. Per informazioni a riguardo, consulta la sezione che segue.
## Corpo JSON
Ispeziona il corpo della richiesta, valutato come JSON. Puoi anche valutare il corpo come testo semplice.
Il corpo della richiesta è la parte della richiesta che segue immediatamente le intestazioni della richiesta. Contiene tutti i dati aggiuntivi necessari per la richiesta Web, ad esempio i dati di un modulo.
+ Nella console, lo selezioni sotto l'**opzione Request** **Body**, selezionando la scelta del **tipo di contenuto** **JSON**.
+ Nell'API, nelle `FieldToMatch` specifiche della regola, si specifica`JsonBody`.
Per Application Load Balancer and AWS AppSync, AWS WAF può ispezionare i primi 8 KB del corpo di una richiesta. Infatti CloudFront, API Gateway, Amazon Cognito, App Runner e Verified Access, per impostazione predefinita, AWS WAF possono ispezionare i primi 16 KB e puoi aumentare il limite fino a 64 KB nella configurazione del tuo Protection Pack (Web ACL). Per ulteriori informazioni, consulta [Considerazioni per la gestione dell'ispezione degli organi in AWS WAF](web-acl-setting-body-inspection-limit.md).
È necessario specificare la gestione delle dimensioni eccessive per questo tipo di componente. La gestione delle dimensioni eccessive definisce il modo in cui vengono AWS WAF gestite le richieste con dati corporei più grandi di quelli che è AWS WAF possibile esaminare. È possibile scegliere di continuare l'ispezione o di saltare l'ispezione e contrassegnare la richiesta come conforme o non conforme alla regola. Per ulteriori informazioni sulla gestione di contenuti di grandi dimensioni, consulta. [Componenti di richiesta Web di grandi dimensioni in AWS WAF](waf-oversize-request-components.md)
La scelta di questa opzione raddoppia il costo base del match statement. WCUs Ad esempio, se il costo base dell'istruzione match è 5 WCUs senza l'analisi JSON, l'utilizzo dell'analisi JSON raddoppia il costo a 10. WCUs
Per questa opzione, fornisci specifiche aggiuntive, come descritto nella sezione seguente.
**Come AWS WAF gestisce l'ispezione del corpo in JSON**
Quando AWS WAF ispeziona il corpo della richiesta Web come JSON, esegue le operazioni per analizzare il corpo ed estrarre gli elementi JSON per l'ispezione. AWS WAF esegue questi passaggi in base alle scelte di configurazione.
Di seguito sono elencati i passaggi da AWS WAF eseguire.
1. **Analizza il contenuto del corpo**: AWS WAF analizza il contenuto del corpo della richiesta Web per estrarre gli elementi JSON per l'ispezione. AWS WAF fa del suo meglio per analizzare l'intero contenuto del corpo, ma l'analisi può fallire a causa di una serie di stati di errore nei contenuti. Gli esempi includono caratteri non validi, chiavi duplicate, troncamento e contenuto il cui nodo principale non è un oggetto o un array.
L'opzione **Body parsing fallback behavior** determina cosa fare se AWS WAF non riesce ad analizzare completamente il corpo JSON:
+ **Nessuno (comportamento predefinito)**: AWS WAF valuta il contenuto solo fino al punto in cui si è verificato un errore di analisi.
+ **Valuta come stringa**: ispeziona il corpo come testo semplice. AWS WAF applica le trasformazioni del testo e i criteri di ispezione definiti per l'ispezione JSON alla stringa di testo del corpo.
+ **Match**: considera la richiesta Web come se corrispondesse alla dichiarazione della regola. AWS WAF applica l'azione della regola alla richiesta.
+ **Nessuna corrispondenza**: considera la richiesta Web come se non corrispondesse all'istruzione della regola.
**Nota**
Questo comportamento di fallback si attiva solo quando si verifica un errore durante l' AWS WAF analisi della stringa JSON.
**L'analisi non convalida completamente il JSON**
AWS WAF l'analisi non convalida completamente la stringa JSON di input, quindi l'analisi può avere successo anche per JSON non valido.
Ad esempio, AWS WAF analizza il seguente codice JSON non valido senza errori:
+ Virgola mancante: `{"key1":"value1""key2":"value2"}`
+ Due punti mancanti: `{"key1":"value1","key2""value2"}`
+ Colon in eccesso: `{"key1"::"value1","key2""value2"}`
In casi come questi in cui l'analisi ha esito positivo ma il risultato non è un JSON completamente valido, il risultato dei passaggi successivi della valutazione può variare. Nell'estrazione potrebbero mancare alcuni elementi oppure la valutazione della regola potrebbe avere risultati imprevisti. Ti consigliamo di convalidare il codice JSON ricevuto nell'applicazione e di gestire JSON non valido, se necessario.
1. **Estrai gli elementi JSON**: AWS WAF identifica il sottoinsieme di elementi JSON da esaminare in base alle tue impostazioni:
+ L'opzione **JSON match scope** specifica i tipi di elementi nel JSON che devono essere ispezionati. AWS WAF
È possibile specificare **Chiavi, **Valori** o Tutto sia per le chiavi** **che per i** valori.
**Tutto** non richiede che venga trovata una corrispondenza nelle chiavi e una corrispondenza nei valori. Richiede la ricerca di una corrispondenza nelle chiavi o nei valori o in entrambi. Per richiedere una corrispondenza nelle chiavi e nei valori, utilizzate un'`AND`istruzione logica per combinare due regole di corrispondenza, una che ispeziona le chiavi e l'altra che ispeziona i valori.
+ L'opzione **Contenuto da ispezionare** specifica come filtrare l'insieme di elementi impostato sul sottoinsieme che si desidera ispezionare. AWS WAF
È necessario specificare una delle seguenti opzioni:
+ **Contenuto JSON completo**: valuta tutti gli elementi.
+ **Solo elementi inclusi**: valuta solo gli elementi i cui percorsi corrispondono ai criteri del puntatore JSON che fornisci. Non utilizzare questa opzione per indicare *tutti i* percorsi in JSON. Utilizza invece contenuti **JSON completi**.
Per informazioni sulla sintassi di JSON Pointer, consultate la documentazione di Internet Engineering Task Force (IETF) [JavaScript Object Notation](https://tools.ietf.org/html/rfc6901) (JSON) Pointer.
Ad esempio, nella console, è possibile fornire quanto segue:
```
/dogs/0/name
/dogs/1/name
```
Nell'API o nella CLI, puoi fornire quanto segue:
```
"IncludedPaths": ["/dogs/0/name", "/dogs/1/name"]
```
Ad esempio, supponiamo che l'impostazione **Contenuto da ispezionare** sia **Solo elementi inclusi** e che l'impostazione Elementi inclusi sia. `/a/b`
Per il seguente esempio JSON body:
```
{
"a":{
"c":"d",
"b":{
"e":{
"f":"g"
}
}
}
}
```
I set di elementi da controllare AWS WAF per ogni impostazione **JSON Match Scope** sono elencati di seguito. Nota che la chiave`b`, che fa parte del percorso degli elementi inclusi, non viene valutata.
+ **Tutti**:`e`, `f,` e. `g`
+ **Chiavi**: `e` e`f`.
+ **Valori**:`g`.
1. **Ispeziona il set di elementi JSON**: AWS WAF applica tutte le trasformazioni di testo che hai specificato agli elementi JSON estratti e quindi abbina il set di elementi risultante ai criteri di corrispondenza dell'istruzione della regola. Si tratta dello stesso comportamento di trasformazione e valutazione degli altri componenti della richiesta Web. Se uno qualsiasi degli elementi JSON estratti corrisponde, la richiesta web corrisponde alla regola.
# Utilizzo degli indirizzi IP inoltrati in AWS WAF
Questa sezione si applica alle istruzioni delle regole che utilizzano l'indirizzo IP di una richiesta Web. Per impostazione predefinita, AWS WAF utilizza l'indirizzo IP dall'origine della richiesta Web. Tuttavia, se una richiesta Web passa attraverso uno o più proxy o sistemi di bilanciamento del carico, l'origine della richiesta Web conterrà l'indirizzo dell'ultimo proxy e non l'indirizzo di origine del client. In questo caso, l'indirizzo del client di origine viene in genere inoltrato in un'altra intestazione HTTP. Questa intestazione è in genere `X-Forwarded-For` (XFF), ma può essere diversa.
**Dichiarazioni di regole che utilizzano indirizzi IP**
Le istruzioni delle regole che utilizzano gli indirizzi IP sono le seguenti:
+ [Corrispondenza set di IP](waf-rule-statement-type-ipset-match.md)- Controlla che l'indirizzo IP corrisponda agli indirizzi definiti in un set IP.
+ [Corrispondenza geografica](waf-rule-statement-type-geo-match.md)- Utilizza l'indirizzo IP per determinare il paese e la regione di origine e confronta il paese di origine con un elenco di paesi.
+ [Corrispondenza ASN](waf-rule-statement-type-asn-match.md)- Utilizza l'indirizzo IP per determinare l'ASN (Autonomous System Number) e confronta l'ASN con un elenco di. ASNs
+ [Utilizzo di istruzioni di regole basate sulla frequenza](waf-rule-statement-type-rate-based.md)- Può aggregare le richieste in base ai relativi indirizzi IP per garantire che nessun indirizzo IP individuale invii richieste a una velocità troppo elevata. È possibile utilizzare l'aggregazione degli indirizzi IP da sola o in combinazione con altre chiavi di aggregazione.
Puoi indicare di AWS WAF utilizzare un indirizzo IP inoltrato per ognuna di queste istruzioni di regole, dall'`X-Forwarded-For`intestazione o da un'altra intestazione HTTP, invece di utilizzare l'origine della richiesta web. Per i dettagli su come fornire le specifiche, consulta la guida per i singoli tipi di istruzioni delle regole.
**Nota**
Se manca un'intestazione, AWS WAF valuta qualsiasi istruzione che utilizza quell'intestazione come «Nessuna corrispondenza». Se utilizzi un'istruzione NOT con un risultato «Nessuna corrispondenza», AWS WAF converte la valutazione in «Match». Le intestazioni mancanti non attivano il comportamento di fallback, ma solo i valori di intestazione non validi.
**Comportamento di fallback**
Quando si utilizza l'indirizzo IP inoltrato, si indica lo stato di corrispondenza AWS WAF da assegnare alla richiesta web se la richiesta non ha un indirizzo IP valido nella posizione specificata:
+ **MATCH**: considera la richiesta web come se corrispondesse alla dichiarazione della regola. AWS WAF applica l'azione della regola alla richiesta.
+ **NESSUNA CORRISPONDENZA**: considera la richiesta web come se non corrispondesse alla dichiarazione della regola.
**Indirizzi IP utilizzati in AWS WAF Bot Control**
Il gruppo di regole gestito da Bot Control verifica i bot utilizzando gli indirizzi IP di. AWS WAF Se utilizzi Bot Control e hai verificato i bot che effettuano il routing attraverso un proxy o un sistema di bilanciamento del carico, devi consentirli esplicitamente utilizzando una regola personalizzata. Ad esempio, puoi configurare una regola di corrispondenza del set di indirizzi IP personalizzata che utilizza gli indirizzi IP inoltrati per rilevare e consentire i bot verificati. Puoi utilizzare la regola per personalizzare la gestione dei bot in diversi modi. Per maggiori informazioni ed esempi, consulta [AWS WAF Controllo dei bot](waf-bot-control.md).
**Considerazioni generali sull'utilizzo degli indirizzi IP inoltrati**
Prima di utilizzare un indirizzo IP inoltrato, tieni presente le seguenti avvertenze generali:
+ Un'intestazione può essere modificata dai proxy lungo il percorso e i proxy potrebbero gestire l'intestazione in modi diversi.
+ Gli aggressori potrebbero alterare il contenuto dell'intestazione nel tentativo di aggirare le ispezioni. AWS WAF
+ L'indirizzo IP all'interno dell'intestazione può essere malformato o non valido.
+ L'intestazione specificata potrebbe non essere affatto presente in una richiesta.
**Considerazioni sull'utilizzo degli indirizzi IP inoltrati con AWS WAF**
L'elenco seguente descrive i requisiti e le avvertenze per l'utilizzo degli indirizzi IP inoltrati in: AWS WAF
+ Per ogni singola regola, è possibile specificare un'intestazione per l'indirizzo IP inoltrato. La specifica dell'intestazione non fa distinzione tra maiuscole e minuscole.
+ Per le istruzioni delle regole basate sulla frequenza, le istruzioni di scoping annidate non ereditano la configurazione IP inoltrata. Specificate la configurazione per ogni istruzione che utilizza un indirizzo IP inoltrato.
+ Per le regole di corrispondenza geografica, di corrispondenza ASN e basate sulla frequenza, AWS WAF utilizza il primo indirizzo nell'intestazione. Ad esempio, se un'intestazione contiene usi `10.1.1.1, 127.0.0.0, 10.10.10.10` AWS WAF `10.1.1.1`
+ Per IP set match, si indica se corrispondere al primo, all'ultimo o a qualsiasi altro indirizzo nell'intestazione. Se ne specifichi una, AWS WAF controlla tutti gli indirizzi nell'intestazione per verificare se esiste una corrispondenza, fino a 10 indirizzi. Se l'intestazione contiene più di 10 indirizzi, AWS WAF controlla gli ultimi 10.
+ Le intestazioni che contengono più indirizzi devono utilizzare un separatore di virgole tra gli indirizzi. Se una richiesta utilizza un separatore diverso dalla virgola, AWS WAF considera errati gli indirizzi IP nell'intestazione.
+ Se gli indirizzi IP all'interno dell'intestazione non sono corretti o non sono validi, AWS WAF indica che la richiesta Web corrisponde o non corrisponde alla regola, in base al comportamento di fallback specificato nella configurazione IP inoltrata.
+ Se l'intestazione specificata non è presente in una richiesta, AWS WAF non applica affatto la regola alla richiesta. Ciò significa che AWS WAF non applica l'azione della regola e non applica il comportamento di fallback.
+ Una dichiarazione di regola che utilizza un'intestazione IP inoltrata per l'indirizzo IP non utilizzerà l'indirizzo IP riportato dall'origine della richiesta Web.
**Le migliori pratiche per l'utilizzo di indirizzi IP inoltrati con AWS WAF**
Quando utilizzi indirizzi IP inoltrati, utilizza le seguenti best practice:
+ Valuta attentamente tutti i possibili stati delle intestazioni delle richieste prima di abilitare la configurazione IP inoltrata. Potrebbe essere necessario utilizzare più di una regola per ottenere il comportamento desiderato.
+ Per ispezionare più intestazioni IP inoltrate o per ispezionare l'origine della richiesta Web e un'intestazione IP inoltrata, utilizzate una regola per ogni origine dell'indirizzo IP.
+ Per bloccare le richieste Web con un'intestazione non valida, imposta l'azione della regola su block e imposta il comportamento di fallback per la configurazione IP inoltrata in modo che corrisponda.
**Esempio JSON per indirizzi IP inoltrati**
La seguente istruzione geo match corrisponde solo se l'`X-Forwarded-For`intestazione contiene un IP il cui paese di origine è: `US`
```
{
"Name": "XFFTestGeo",
"Priority": 0,
"Action": {
"Block": {}
},
"VisibilityConfig": {
"SampledRequestsEnabled": true,
"CloudWatchMetricsEnabled": true,
"MetricName": "XFFTestGeo"
},
"Statement": {
"GeoMatchStatement": {
"CountryCodes": [
"US"
],
"ForwardedIPConfig": {
"HeaderName": "x-forwarded-for",
"FallbackBehavior": "MATCH"
}
}
}
}
```
La seguente regola basata sulla frequenza aggrega le richieste in base al primo IP nell'intestazione. `X-Forwarded-For` La regola conta solo le richieste che corrispondono all'istruzione geo match annidata e blocca solo le richieste che corrispondono all'istruzione geo match. L'istruzione nested geo match utilizza anche l'`X-Forwarded-For`intestazione per determinare se l'indirizzo IP indica un paese di origine di. `US` In caso affermativo o se l'intestazione è presente ma non valida, l'istruzione geo match restituisce una corrispondenza.
```
{
"Name": "XFFTestRateGeo",
"Priority": 0,
"Action": {
"Block": {}
},
"VisibilityConfig": {
"SampledRequestsEnabled": true,
"CloudWatchMetricsEnabled": true,
"MetricName": "XFFTestRateGeo"
},
"Statement": {
"RateBasedStatement": {
"Limit": "100",
"AggregateKeyType": "FORWARDED_IP",
"ScopeDownStatement": {
"GeoMatchStatement": {
"CountryCodes": [
"US"
],
"ForwardedIPConfig": {
"HeaderName": "x-forwarded-for",
"FallbackBehavior": "MATCH"
}
}
},
"ForwardedIPConfig": {
"HeaderName": "x-forwarded-for",
"FallbackBehavior": "MATCH"
}
}
}
}
```
# Ispezione degli pseudo header HTTP/2 in AWS WAF
Questa sezione spiega come è possibile utilizzare per ispezionare le pseudo intestazioni AWS WAF HTTP/2.
AWS Le risorse protette che supportano il traffico HTTP/2 non inoltrano le pseudo intestazioni HTTP/2 a fini di ispezione, ma forniscono il contenuto delle pseudo intestazioni nei componenti di AWS WAF richiesta Web che vengono ispezionati. AWS WAF
È possibile utilizzare AWS WAF per ispezionare solo le pseudo intestazioni elencate nella tabella seguente.
**I contenuti delle pseudo intestazioni HTTP/2 sono mappati ai componenti della richiesta Web**
| Pseudo intestazione HTTP/2 | Componente di richiesta Web da ispezionare | Documentazione |
| --- | --- | --- |
| `:method` | Metodo HTTP | [Metodo HTTP](waf-rule-statement-fields-list.md#waf-rule-statement-request-component-http-method) |
| `:authority` | `Host` Intestazione | [Intestazione singola](waf-rule-statement-fields-list.md#waf-rule-statement-request-component-single-header) [Tutte le intestazioni](waf-rule-statement-fields-list.md#waf-rule-statement-request-component-headers) |
| `:path`Percorso URI | Percorso URI | [Percorso URI](waf-rule-statement-fields-list.md#waf-rule-statement-request-component-uri-path) |
| Query `:path` | Stringa di query | [Stringa di query](waf-rule-statement-fields-list.md#waf-rule-statement-request-component-query-string) [Parametro di query singola](waf-rule-statement-fields-list.md#waf-rule-statement-request-component-single-query-param) [Tutti i parametri di query](waf-rule-statement-fields-list.md#waf-rule-statement-request-component-all-query-params) |
# Utilizzo delle trasformazioni di testo in AWS WAF
Questa sezione spiega come fornire le trasformazioni da applicare prima AWS WAF di esaminare la richiesta.
Nelle istruzioni che cercano modelli o impostano vincoli, è possibile fornire trasformazioni da applicare prima di AWS WAF esaminare la richiesta. Una trasformazione riformatta una richiesta Web per eliminare alcune formattazioni insolite utilizzate da utenti malintenzionati nel tentativo di escludere AWS WAF.
Quando lo usi con la selezione dei componenti della richiesta del corpo JSON, AWS WAF applica le trasformazioni dopo aver analizzato ed estratto gli elementi da ispezionare dal JSON. Per ulteriori informazioni, consulta [Corpo JSON](waf-rule-statement-fields-list.md#waf-rule-statement-request-component-json-body).
Se si forniscono più trasformazioni, si imposta anche l'ordine utilizzato da AWS WAF per applicarle.
**WCUs**— Ogni trasformazione del testo è 10. WCUs
La documentazione della AWS WAF console e dell'API fornisce inoltre indicazioni per queste impostazioni nelle seguenti posizioni:
+ **Generatore di regole** sulla console: **trasformazione del testo**. Questa opzione è disponibile quando utilizzi componenti di richiesta.
+ **Contenuto della dichiarazione API**: `TextTransformations`Opzioni per trasformazioni del testo
Ogni elenco di trasformazione mostra le specifiche della console e dell'API seguite dalla descrizione.
Base64 decode – `BASE64_DECODE`
AWS WAF decodifica una stringa con codifica Base64.
Base64 decode extension – `BASE64_DECODE_EXT`
AWS WAF decodifica una stringa con codifica Base64, ma utilizza un'implementazione indulgente che ignora i caratteri non validi.
Command line – `CMD_LINE`
Questa opzione mitiga le situazioni in cui gli aggressori potrebbero iniettare un comando dalla riga di comando del sistema operativo e utilizzare una formattazione insolita per mascherare alcuni o tutti i comandi.
Utilizza questa opzione per eseguire le seguenti trasformazioni:
+ Eliminare i seguenti caratteri: `\ " ' ^`
+ Eliminare gli spazi prima dei seguenti caratteri: `/ (`
+ Sostituire i seguenti caratteri con uno spazio: `, ;`
+ Sostituire più spazi con uno spazio
+ Convertire lettere maiuscole, `A-Z`, in minuscole, `a-z`
Compress whitespace – `COMPRESS_WHITE_SPACE`
AWS WAF comprime lo spazio bianco sostituendo più spazi con uno spazio e sostituendo i seguenti caratteri con uno spazio (ASCII 32):
+ Formfeed (ASCII 12)
+ Scheda (ASCII 9)
+ Nuova riga (ASCII 10)
+ Carriage return (ASCII 13)
+ Tabulazione verticale (ASCII 11)
+ Spazio senza interruzioni (ASCII 160)
CSS decode – `CSS_DECODE`
AWS WAF decodifica i caratteri codificati utilizzando le regole di escape CSS 2.x. `syndata.html#characters` Questa funzione utilizza fino a due byte nel processo di decodifica, quindi può aiutare a scoprire caratteri ASCII che sono stati codificati usando la codifica CSS che in genere non verrebbe codificata. È utile anche per contrastare l'evasione, che è una combinazione di una barra rovesciata e caratteri non esadecimali. Ad esempio: `ja\vascript` per `javascript`.
Escape sequences decode – `ESCAPE_SEQ_DECODE`
AWS WAF decodifica le seguenti sequenze di escape ANSI C:`\a`,,,,,`\b`,`\f`,`\n`, `\r``\t`, `\xHH` (esadecimale) `\v` `\\` `\?` `\'``\"`, (ottale). `\0OOO` Le codifiche non valide rimangono nell'output.
Hex decode – `HEX_DECODE`
AWS WAF decodifica una stringa di caratteri esadecimali in un binario.
HTML entity decode – `HTML_ENTITY_DECODE`
AWS WAF sostituisce i caratteri rappresentati in formato `&#xhhhh;` esadecimale o decimale con i caratteri corrispondenti. `&#nnnn;`
AWS WAF sostituisce i seguenti caratteri con codifica HTML con caratteri non codificati. Questo elenco utilizza la codifica HTML minuscola, ma la gestione non fa distinzione tra maiuscole e minuscole, ad esempio e viene trattata allo stesso modo. `&QuOt;` `"`
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/waf/latest/developerguide/waf-rule-statement-transformation.html)
JS decode – `JS_DECODE`
AWS WAF decodifica le sequenze di escape JavaScript . Se un `\uHHHH` codice rientra nell'intervallo di codici ASCII a larghezza intera di`FF01-FF5E`, viene utilizzato il byte superiore per rilevare e regolare il byte inferiore. In caso contrario, viene utilizzato solo il byte più basso e il byte più alto viene azzerato, causando una possibile perdita di informazioni.
Lowercase – `LOWERCASE`
AWS WAF converte le lettere maiuscole (A-Z) in minuscole (a-z).
MD5 – `MD5`
AWS WAF calcola un MD5 hash a partire dai dati in input. L'hash calcolato è in una forma binaria grezza.
None – `NONE`
AWS WAF ispeziona la richiesta web così come è stata ricevuta, senza trasformazioni di testo.
Normalize path – `NORMALIZE_PATH`
AWS WAF normalizza la stringa di input rimuovendo più barre, riferimenti automatici alle directory e riferimenti retrospettivi alle directory che non si trovano all'inizio dell'input.
Normalize path Windows – `NORMALIZE_PATH_WIN`
AWS WAF converte i caratteri della barra rovesciata in barre in avanti e quindi elabora la stringa risultante utilizzando la trasformazione. `NORMALIZE_PATH`
Remove nulls – `REMOVE_NULLS`
AWS WAF rimuove tutti i `NULL` byte dall'input.
Replace comments – `REPLACE_COMMENTS`
AWS WAF sostituisce ogni occorrenza di un commento in stile C (/\$1... \$1/) con un singolo spazio. Non comprime più occorrenze consecutive. Sostituisce i commenti non terminati con uno spazio (ASCII 0x20). Non modifica la terminazione autonoma di un commento (\$1/).
Replace nulls – `REPLACE_NULLS`
AWS WAF sostituisce ogni `NULL` byte dell'input con il carattere spazio (ASCII 0x20).
SQL hex decode – `SQL_HEX_DECODE`
AWS WAF decodifica i dati esadecimali SQL. Ad esempio, AWS WAF decodifica (`0x414243`) in (). `ABC`
URL decode – `URL_DECODE`
AWS WAF decodifica un valore con codifica URL.
URL decode Unicode – `URL_DECODE_UNI`
Tipo`URL_DECODE`, ma con supporto per la codifica specifica di Microsoft`%u`. Se il codice è nell'intervallo di codice ASCII a larghezza intera di `FF01-FF5E`, allora il byte più alto viene utilizzato per rilevare e regolare il byte più basso. Altrimenti, viene utilizzato solo il byte più basso e il byte più alto viene azzerato.
UTF8 to Unicode – `UTF8_TO_UNICODE`
AWS WAF converte tutte le sequenze di caratteri UTF-8 in Unicode. Ciò aiuta a normalizzare l'input e a ridurre al minimo i falsi positivi e i falsi negativi per le lingue diverse dall'inglese.