Testar web ACLs - AWS WAF, AWS Firewall Manager, e AWS Shield Advanced
Contar as solicitações da web correspondentes às regras de uma web ACLVisualização de uma amostra das solicitações da web que o API Gateway, o CloudFront ou um Application Load Balancer encaminharam ao AWS WAF Classic

Testar web ACLs

Atenção

O suporte ao AWS WAF Classic terminará em 30 de setembro de 2025.

nota

Essa é a documentação do AWS WAF Classic. Você só deverá usar essa versão se tiver criado recursos do AWS WAF, como regras e web ACLs, no AWS WAF antes de novembro de 2019, e ainda não os tiver migrado para a versão mais recente. Para migrar suas ACLs da Web, consulte Como migrar recursos do AWS WAF Classic para o AWS WAF.

Para obter a versão mais recente do AWS WAF, consulte AWS WAF.

Para evitar que você acidentalmente configure o AWS WAF Classic para bloquear solicitações da web que deseja permitir ou permitir as solicitações que você deseja bloquear, recomendamos que você teste a web ACL totalmente antes de começar a usá-la em seu website ou aplicativo web.

Contar as solicitações da web correspondentes às regras de uma web ACL

Quando você adiciona regras a uma web ACL, especifique se deseja que o AWS WAF Classic permita, bloqueie ou conte as solicitações da web correspondentes a todas as condições dessa regra. Recomendamos que você comece com a seguinte configuração:

  • Configure todas as regras de uma web ACL para contar solicitações da web

  • Defina a ação padrão para a web ACL permitir solicitações

Nesta configuração, o AWS WAF Classic inspeciona cada solicitação da web de acordo com as condições da primeira regra. Se a solicitação da web corresponder a todas as condições dessa regra, o AWS WAF Classic incrementará o contador quanto a essa regra. Em seguida, o AWS WAF Classic inspecionará a solicitação da web de acordo com as condições na próxima regra. Se a solicitação corresponder a todas as condições dessa regra, o AWS WAF Classic incrementará o contador quanto a essa regra. Isso continuará até que o AWS WAF Classic tenha inspecionado a solicitação de acordo com as condições em todas as suas regras.

Depois de configurar todas as regras em uma web ACL para contar solicitações e associar a web ACL com uma API do Amazon API Gateway, distribuição do CloudFront ou Application Load Balancer, você pode visualizar as contagens resultantes em um gráfico do Amazon CloudWatch. Para cada regra em uma web ACL e para todas as solicitações que o API Gateway, o CloudFront ou um Application Load Balancer encaminham ao AWS WAF Classic para uma web ACL, o CloudWatch permite que você:

  • Visualize dados da hora anterior ou das três horas anteriores

  • Altere o intervalo entre os pontos de dados

  • Altere o cálculo que o CloudWatch executa sobre os dados, como máxima, mínima, média ou soma

nota

O AWS WAF Classic com CloudFront é um serviço global, e as métricas só estarão disponíveis quando você escolher a região Leste dos EUA (Norte da Virgínia) no AWS Management Console. Se você escolher outra região, nenhuma métrica no AWS WAF Classic será exibida no console do CloudWatch.

Para visualizar os dados das regras em uma web ACL

  1. Faça login no AWS Management Console e abra o console do CloudWatch em https://console.aws.amazon.com/cloudwatch/.

  2. No painel de navegação, em Métricas, escolha WAF.

  3. Marque a caixa de seleção da web ACL da qual você deseja visualizar os dados.

  4. Altere as configurações aplicáveis:

    Estatística

    Escolha o cálculo que o CloudWatch realiza nos dados.

    Intervalo de tempo

    Escolha se você deseja visualizar dados da hora anterior ou das três horas anteriores.

    Período

    Escolha o intervalo entre pontos de dados no gráfico.

    Regras

    Escolha as regras das quais você deseja visualizar os dados.

    Observe o seguinte:

    • Se você tiver associado uma web ACL a uma API do Gateway API, distribuição do CloudFront ou um Application Load Balancer, poderá precisar esperar alguns minutos para que os dados apareçam no gráfico e ver a métrica da web ACL aparecer na lista de métricas disponíveis.

    • Se você associar mais de uma API do Gateway API, distribuição do CloudFront ou um Application Load Balancer a uma web ACL, os dados do CloudWatch incluirão todas as solicitações para todas as distribuições associadas com a web ACL.

    • Você pode passar o cursor do mouse sobre o ponto de dados para obter mais informações.

    • O gráfico não é automaticamente atualizado. Para atualizar a exibição, escolha o ícone de atualização ( Icon to refresh the Amazon CloudWatch graph ).

  5. (Opcional) Visualize informações detalhadas sobre solicitações individuais que o API Gateway CloudFront ou um Application Load Balancer encaminharam ao AWS WAF Classic. Para ter mais informações, consulte Visualização de uma amostra das solicitações da web que o API Gateway, o CloudFront ou um Application Load Balancer encaminharam ao AWS WAF Classic.

  6. Se você determinar que a regra é interceptar as solicitações que você não quer que sejam interceptadas, altere as configurações aplicáveis. Para ter mais informações, consulte Criar e configurar uma lista de controle de acesso à web (web ACL).

    Quando você estiver satisfeito com todas as suas regras interceptando apenas as solicitações corretas, altere a ação de cada uma delas regras para Allow ou Block. Para ter mais informações, consulte Edição de uma web ACL.

Visualização de uma amostra das solicitações da web que o API Gateway, o CloudFront ou um Application Load Balancer encaminharam ao AWS WAF Classic

No console do AWS WAF Classic, você pode visualizar uma amostra das solicitações que o API Gateway, o CloudFront ou um Application Load Balancer encaminhou ao AWS WAF Classic para inspeção. Para cada solicitação amostrada, você pode exibir dados detalhados sobre a solicitação, como o endereço IP de origem e os cabeçalhos incluídos na solicitação. Você também pode visualizar a solicitação correspondente e se a regra é configurada para permitir ou bloquear solicitações.

Os exemplos contém até 100 solicitações que correspondem a todas as condições em cada regra e outras 100 solicitações para a ação padrão, que se aplica a solicitações que não correspondem a todas as condições em qualquer regra. As solicitações no exemplo vêm de todas as APIs do Gateway API, todos os pontos de presença do CloudFront ou Application Load Balancers que receberam solicitações para seu conteúdo nos últimos 15 minutos.

Para ver uma amostra das solicitações da web que o API Gateway, o CloudFront ou um Application Load Balancer encaminharam para o AWS WAF Classic

  1. Faça login no AWS Management Console e abra o console do AWS WAF em https://console.aws.amazon.com/wafv2/.

    Se você vir Alternar para o AWS WAF Classic no painel de navegação, selecione-o.

  2. No painel de navegação, escolha a web ACL da qual você deseja visualizar as solicitações.

  3. No painel direito, selecione a guia Requests.

    A tabela Sampled requests exibe os seguintes valores para cada solicitação:

    IP de origem

    O endereço IP da qual a solicitação se originou ou, se o visualizador tiver usado um proxy HTTP ou um Application Load Balancer para enviar a solicitação, o endereço IP do proxy ou do Application Load Balancer.

    URI

    O caminho do URI da solicitação, que identifica o recurso, por exemplo, /images/daily-ad.jpg. Isso não inclui a string de consulta ou os componentes de fragmento do URI. Para obter mais informações, consulte Identificador de recurso uniforme (URI): sintaxe genérica.

    Corresponde à regra

    Identifica a primeira regra na web ACL para a qual a solicitação da web correspondeu a todas as condições. Se uma solicitação da web não corresponder a todas as condições em qualquer regra na web ACL, o valor de Matches rule será Default.

    Observe que, quando uma solicitação da web corresponde a todas as condições em uma regra e a ação dessa regra é Contar, o AWS WAF Classic continua inspecionando a solicitação da web com base nas regras subsequentes da web ACL. Neste caso, uma solicitação da web pode aparecer duas vezes na lista de solicitações de amostra: uma vez para a regra que tem uma ação Count e mais uma vez para a regra subsequente ou para a ação padrão.

    Ação

    Indica se a ação para a regra correspondente é Allow, Block ou Count.

    Tempo

    A hora em que o AWS WAF Classic recebeu a solicitação do API Gateway, do CloudFront ou do seu Application Load Balancer.

  4. Para exibir informações adicionais sobre a solicitação, escolha a seta no lado esquerdo do endereço IP dessa solicitação. AWS WAF O Classic exibe as seguintes informações:

    IP de origem

    O mesmo endereço IP como o valor na coluna Source IP da tabela.

    País

    O código de país com duas letras do país do qual a solicitação se originou. Se o visualizador tiver usado um proxy HTTP ou um Application Load Balancer para enviar a solicitação, este será o código de duas letras do país em que o proxy HTTP ou um Application Load Balancer está.

    Para obter uma lista de códigos de país de duas letras e nomes de países correspondentes, consulte a entrada da Wikipédia ISO 3166-1 alfa-2.

    Método

    O método de solicitação HTTP para a solicitação: GET, HEAD, OPTIONS, PUT, POST, PATCH ou DELETE.

    URI

    O mesmo URI como o valor na coluna URI da tabela.

    Cabeçalhos de solicitação

    Os valores do cabeçalho e dos cabeçalhos de solicitação na solicitação.

  5. Para atualizar a lista de solicitações de amostra, escolha Get new samples.