Configuração AWS WAF e seus componentes - AWS WAF, AWS Firewall Manager e AWS Shield Advanced
Etapa 1: Configurar AWS WAFEtapa 2: criar uma Web ACLEtapa 3: Adicionar uma regra de correspondência de stringEtapa 4: adicionar um AWS Grupo de regras de regras gerenciadasEtapa 5: Concluir sua ACL configuração da webEtapa 6: Limpar os recursos

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Configuração AWS WAF e seus componentes

Este tutorial mostra como usar AWS WAF para realizar as seguintes tarefas:

  • Configurar AWS WAF.

  • Crie uma lista de controle de acesso à web (webACL) usando o assistente no AWS WAF console.

  • Selecione o AWS recursos que você deseja AWS WAF para inspecionar solicitações da web para. Este tutorial aborda as etapas da Amazon CloudFront. O processo é essencialmente o mesmo para um Amazon API Gateway RESTAPI, um Application Load Balancer, um AWS AppSync GraphQLAPI, um grupo de usuários do Amazon Cognito, um AWS App Runner serviço, ou um AWS Instância de acesso verificado.

  • Adicione as regras e os grupos de regras que deseja usar para filtrar solicitações da web. Por exemplo, você pode especificar os endereços IP dos quais se originam as solicitações e os valores na solicitação que são usados apenas por invasores. Para cada regra, especifique como lidar com solicitações da web correspondentes. Você pode fazer coisas como bloqueá-las ou contá-las, além de executar desafios de bots, comoCAPTCHA. Você define uma ação para cada regra que você define dentro de uma web ACL e para cada regra que você define dentro de um grupo de regras.

  • Especifique uma ação padrão para a webACL, ou Block ou Allow. Essa é a ação que AWS WAF aceita uma solicitação quando as regras na web ACL não a permitem ou bloqueiam explicitamente.

nota

AWS normalmente cobra menos de USD 0,25 por dia pelos recursos que você cria durante este tutorial. Quando você tiver concluído o tutorial, recomendamos que exclua os recursos para impedir cobranças desnecessárias.

Etapa 1: Configurar AWS WAF

Se você ainda não seguiu as etapas gerais de configuração em Configurando sua conta para usar os serviços, faça isso agora.

Etapa 2: criar uma Web ACL

A ferramenta AWS WAF o console orienta você pelo processo de configuração AWS WAF para bloquear ou permitir solicitações da Web com base nos critérios que você especifica, como os endereços IP dos quais as solicitações se originam ou os valores nas solicitações. Nesta etapa, você cria uma webACL. Para obter mais informações sobre AWS WAF webACLs, vejaUsando a web ACLs em AWS WAF.

Para criar uma web ACL

  1. Faça login no AWS Management Console e abra o AWS WAF console em https://console.aws.amazon.com/wafv2/.

  2. Do AWS WAF página inicial, escolha Criar web ACL.

  3. Em Nome, insira o nome que você deseja usar para identificar essa webACL.

    nota

    Você não pode alterar o nome depois de criar a webACL.

  4. (Opcional) Em Descrição - opcional, insira uma descrição mais longa para a Web, ACL se quiser.

  5. Para nome da CloudWatch métrica, altere o nome padrão, se aplicável. Siga as orientações no console para usar caracteres válidos. O nome não pode conter caracteres especiais, espaços em branco ou nomes métricos reservados para AWS WAF, incluindo “All” e “Default_Action”.

    nota

    Você não pode alterar o nome da CloudWatch métrica depois de criar a webACL.

  6. Em Tipo de recurso, escolha CloudFrontdistribuições. A região é preenchida automaticamente como Global (CloudFront) para CloudFront distribuições.

  7. (Opcional) Para Associado AWS recursos - opcional, escolha Adicionar AWS recursos. Na caixa de diálogo, escolha os recursos que você deseja associar e, em seguida, escolha Adicionar. AWS WAF retorna você para a web Descreve ACL e associa AWS página de recursos.

  8. Escolha Próximo.

Etapa 3: Adicionar uma regra de correspondência de string

Nesta etapa, você cria uma regra com uma instrução de correspondência de string e indica o que fazer com as solicitações correspondentes. Uma declaração de regra de correspondência de strings identifica as cadeias de caracteres que você deseja AWS WAF para pesquisar em uma solicitação. Normalmente, uma string consiste em ASCII caracteres imprimíveis, mas você pode especificar qualquer caractere de hexadecimal 0x00 a 0xFF (decimal 0 a 255). Além de especificar a string a ser pesquisada, você especifica o componente de solicitação da web que deseja pesquisar, como um cabeçalho, uma string de consulta ou o corpo da solicitação.

Esse tipo de instrução opera em um componente de solicitação da web e requer as seguintes configurações do componente de solicitação:

  • Componente de solicitação: a parte da solicitação da web para inspecionar, por exemplo, uma string de consulta ou o corpo.

    Atenção

    Se você inspecionar os componentes da solicitação Corpo, JSONCorpo, Cabeçalhos ou Cookies, leia sobre as limitações da quantidade de conteúdo AWS WAF pode inspecionar em. Lidando com componentes de solicitação da Web de tamanho grande em AWS WAF

    Para informações sobre componentes de solicitação da web, consulte Ajustando as configurações da declaração de regra em AWS WAF.

  • Transformações de texto opcionais — Transformações que você deseja AWS WAF para executar no componente de solicitação antes de inspecioná-lo. Por exemplo, você pode transformar para minúsculas ou normalizar o espaço em branco. Se você especificar mais de uma transformação, AWS WAF os processa na ordem listada. Para ter mais informações, consulte Usando transformações de texto em AWS WAF.

Para obter informações adicionais sobre AWS WAF regras, vejaO uso do AWS WAF regras.

Para criar uma instrução de regra de correspondência de string

  1. Na página Adicionar regras e grupos de regras escolha Adicionar regras, Adicionar minhas próprias regras e grupos de regras, Construtor de regras e Editor visual de regras.

    nota

    O console fornece o editor visual de regras e também um JSONeditor de regras. O JSON editor facilita a cópia de configurações entre a Web ACLs e é necessário para conjuntos de regras mais complexos, como aqueles com vários níveis de aninhamento.

    Este procedimento usa o Editor visual de regras.

  2. Em Nome, insira o nome que deseja usar para identificar esta regra.

  3. Em Type (Tipo), escolha Regular rule (Regra regular).

  4. Para If a request (Se uma solicitação), escolha matches the statement (corresponder à instrução).

    As outras opções são para os tipos de instrução de regra lógica. Você pode usá-las para combinar ou negar os resultados de outras instruções de regras.

  5. Em Statement, para Inspecionar, abra a lista suspensa e escolha o componente de solicitação da web que você deseja AWS WAF para inspecionar. Para este exemplo, escolha Cabeçalho único.

    Ao escolher Cabeçalho único, você também especifica qual cabeçalho deseja AWS WAF para inspecionar. Digite User-Agent. Esse valor não diferencia maiúsculas de minúsculas.

  6. Em Match type (Tipo de correspondência), escolha onde a string especificada deve aparecer no cabeçalho User-Agent.

    Para este exemplo, escolha Exactly matches string (Correspondência exata). Isso indica que AWS WAF inspeciona o cabeçalho do agente de usuário em cada solicitação da web em busca de uma string idêntica à string especificada.

  7. Para que String corresponda, especifique uma string que você deseja AWS WAF para pesquisar. O tamanho máximo de String to match (String a corresponder) é 200 caracteres. Se você quiser especificar um valor codificado em base64, poderá especificar até 200 caracteres antes da codificação.

    Neste exemplo, insira MyAgent. AWS WAF inspecionará o User-Agent cabeçalho nas solicitações da web em busca do valorMyAgent.

  8. Deixe o campo Text transformation (Transformação de texto) definido como None (Nenhuma).

  9. Em Ação, selecione a ação que você deseja que a regra execute quando ela corresponder a uma solicitação da web. Neste exemplo, escolha Contar e deixe as outras opções como estão. Isso cria métricas para solicitações da web que correspondem à regra, mas não determina se a regra é permitida ou bloqueada. Para obter mais informações sobre essas opções, consulte Usando ações de regras em AWS WAF e Usando a web ACLs com regras e grupos de regras em AWS WAF.

  10. Escolha Adicionar regra.

Etapa 4: adicionar um AWS Grupo de regras de regras gerenciadas

AWS O Managed Rules oferece um conjunto de grupos de regras gerenciados para seu uso, a maioria dos quais é gratuita para AWS WAF clientes. Para obter mais informações sobre grupos de regras, consulte O uso do AWS WAF grupos de regras. Vamos adicionar um AWS Grupo de regras de regras gerenciadas para esta webACL.

Para adicionar um AWS Grupo de regras de regras gerenciadas

  1. Na página Add rules and rule groups (Adicionar regras e grupos de regras), escolha Add rules (Adicionar regras) e, em seguida, escolha Add managed rule groups (Adicionar grupos de regras gerenciados).

  2. Na página Adicionar grupos de regras gerenciadas, expanda a lista do AWS grupos de regras gerenciados. (Você também verá anúncios oferecidos para AWS Marketplace vendedores. Você pode assinar suas ofertas e usá-las da mesma forma que para AWS Grupos de regras de regras gerenciadas.)

  3. Para cada grupo de regras que você deseja adicionar, faça o seguinte:

    1. Na coluna Ação, ative o ACL botão Adicionar à web.

    2. Selecione Editar e, na lista de regras do grupo de regras, abra o menu suspenso Substituir todas as ações da regra e selecione Count. Isso define a ação para que todas as regras no grupo de regras sejam contadas somente. Isso permite que você veja como todas as regras no grupo de regras lidam com suas solicitações da web antes de serem implementadas.

    3. Escolha Salvar regras.

  4. Na página Adicionar grupos de regras gerenciadas, escolha Adicionar regras. Isso levará você de volta à página Adicionar regras e grupos de regras.

Etapa 5: Concluir sua ACL configuração da web

Quando terminar de adicionar regras e grupos de regras à sua ACL configuração da web, termine gerenciando a prioridade das regras na web ACL e definindo configurações como métricas, marcação e registro.

Para finalizar sua ACL configuração da web

  1. Na página Add rules and rule groups (Adicionar regras e grupos de regras), escolha Next (Próximo).

  2. Na página Definir prioridade da regra, você pode ver a ordem de processamento das regras e grupos de regras na webACL. AWS WAF os processa começando do topo da lista. Você pode alterar a ordem de processamento movendo as regras para cima e para baixo. Para isso, selecione uma regra na lista e escolha Move up (Mover para cima) ou Move down (Mover para baixo). Para obter mais informações sobre prioridade de regra, consulte Definindo a prioridade das regras em uma web ACL.

  3. Escolha Próximo.

  4. Na página Configurar métricas, para CloudWatchmétricas da Amazon, você pode ver as métricas planejadas para suas regras e grupos de regras e você pode ver as opções de amostragem de solicitações na web. Para obter informações sobre como visualizar solicitações de exemplo, consulte Visualizar um exemplo de solicitações da web. Para obter informações sobre CloudWatch as métricas da Amazon, consulteMonitoramento com a Amazon CloudWatch.

    Você pode acessar resumos das métricas de tráfego da web na página ACL da web no AWS WAF console, na guia Visão geral do tráfego. Os painéis do console fornecem resumos quase em tempo real das métricas da ACL Amazon CloudWatch na web. Para obter mais informações, consulte Painéis de visão geral do tráfego de web ACL.

  5. Escolha Próximo.

  6. Na ACL página Revisar e criar, revise suas configurações e escolha Criar web ACL.

O assistente retorna você à ACL página da Web, onde sua nova Web ACL está listada.

Etapa 6: Limpar os recursos

Você concluiu com êxito o tutorial. Para evitar que sua conta acumule mais AWS WAF cobranças, limpe o AWS WAF objetos que você criou. Como alternativa, você pode alterar a configuração para corresponder às solicitações da web que você realmente deseja gerenciar usando AWS WAF.

nota

AWS normalmente cobra menos de USD 0,25 por dia pelos recursos que você cria durante este tutorial. Quando você tiver terminado, recomendamos excluir os recursos para impedir que cobranças desnecessárias.

Para excluir os objetos que AWS WAF cobranças por

  1. Na ACL página da Web, selecione sua Web na ACL lista e escolha Editar.

  2. Sobre o Associado AWS guia de recursos, para cada recurso associado, selecione o botão de rádio ao lado do nome do recurso e escolha Desassociar. Isso desassocia a web ACL do seu AWS recursos.

  3. Em cada uma das telas a seguir, escolha Avançar até retornar à ACL página da Web.

    Na ACL página da Web, selecione sua Web na ACL lista e escolha Excluir.

Regras e declarações de regras não existem fora do grupo de regras e das ACL definições da web. Se você excluir uma webACL, isso excluirá todas as regras individuais que você definiu na webACL. Ao remover um grupo de regras de uma webACL, basta remover a referência a ele.