Como usar instruções de regra no AWS WAF - AWS WAF, AWS Firewall Manager, e AWS Shield Advanced

Como usar instruções de regra no AWS WAF

Esta seção explica como as instruções de regras funcionam.

As instruções de regra são a parte de uma regra que informa ao AWS WAF como inspecionar uma solicitação da Web. Quando o AWS WAF encontra os critérios de inspeção em uma solicitação da Web, dizemos que a solicitação da Web corresponde à instrução. Cada instrução de regra especifica o que procurar e como, de acordo com o tipo de instrução.

Cada regra no AWS WAF tem uma única instrução de regra de nível superior, que pode conter outras instruções. As instruções de regras podem ser muito simples. Por exemplo, você pode ter uma instrução que forneça um conjunto de países de origem para inspecionar suas solicitações da web ou você pode ter uma instrução de regra em uma web ACL que apenas faça referência a um grupo de regras. As instruções de regras também podem ser muito complexas. Por exemplo, você pode ter uma instrução que combina muitas outras instruções com instruções lógicas AND, OR, and NOT.

Para a maioria das regras, você pode adicionar rótulos personalizados do AWS WAF às solicitações correspondentes. As regras dos grupos de regras das regras gerenciadas da AWS adicionam rótulos às solicitações correspondentes. Os rótulos que uma regra adiciona fornecem informações sobre a solicitação às regras que são avaliadas posteriormente na ACL da Web e também em logs e métricas do AWS WAF. Para obter informações sobre rotulagem, consulte Como usar rótulos em solicitações da Web no AWS WAF e Instrução de regra de correspondência de rótulo.

Como aninhar instruções de regra

O AWS WAF oferece suporte ao aninhamento de várias instruções de regra, mas não todas. Por exemplo, você não pode aninhar uma instrução de grupo de regras dentro de outra instrução. Você precisa usar o aninhamento em alguns cenários, como instruções de redução de escopo e instruções lógicas. As listas de instruções de regras e os detalhes das regras a seguir descrevem os recursos e requisitos de aninhamento de cada categoria e regra.

O editor visual de regras no console oferece suporte a apenas um nível de aninhamento para instruções de regras. Por exemplo, você pode aninhar muitos tipos de instruções dentro de uma regra lógica AND ou OR, mas não pode aninhar outra regra AND ou OR, porque isso requer um segundo nível de aninhamento. Para implementar vários níveis de aninhamento, forneça a definição da regra em JSON, seja por meio do editor de regras JSON no console ou por meio das APIs.

Tópicos