**Apresentando uma nova experiência de console para AWS WAF**

Agora você pode usar a experiência atualizada para acessar a AWS WAF funcionalidade em qualquer lugar do console. Para obter mais detalhes, consulte [Trabalhando com o console](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html). 

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Usando pacotes de proteção (web ACLs) com regras e grupos de regras no AWS WAF
<a name="web-acl-processing"></a>

Esta seção apresenta como os pacotes de proteção (web ACLs) e a web ACLs funcionam com regras e grupos de regras.

A maneira como um pacote de proteção (ACL da Web) trata uma solicitação da Web depende do seguinte: 
+ As configurações de prioridade numérica das regras no pacote de proteção (ACL da Web) e dentro dos grupos de regras
+ As configurações de ação nas regras e no pacote de proteção (ACL da Web)
+ Todas as substituições que você colocar nas regras e grupos de regras que você adicionar

Para obter uma lista das configurações de ação de regra, consulte [Usando ações de regras em AWS WAF](waf-rule-action.md). 

Agora você pode personalizar o tratamento das solicitações e respostas nas configurações de ação da regra e nas configurações de ação padrão do pacote de proteção (ACL da Web). Para mais informações, consulte [Solicitações e respostas personalizadas da web em AWS WAF](waf-custom-request-response.md).

**Topics**
+ [

# Definir prioridade das regras
](web-acl-processing-order.md)
+ [

# Como AWS WAF lida com as ações de regras e grupos de regras
](web-acl-rule-actions.md)
+ [

# Substituindo ações do grupo de regras em AWS WAF
](web-acl-rule-group-override-options.md)

# Definir prioridade das regras
<a name="web-acl-processing-order"></a>

Esta seção explica como AWS WAF usa as configurações de prioridade numérica para definir a ordem de avaliação das regras.

Em um pacote de proteção (ACL da Web) e em qualquer grupo de regras, você determina a ordem de avaliação das regras usando configurações de prioridade numérica. Você deve atribuir a cada regra em um pacote de proteção (ACL da Web) uma configuração de prioridade exclusiva dentro desse pacote de proteção (ACL da Web) e deve dar a cada regra em um grupo de regras uma configuração de prioridade exclusiva dentro desse grupo de regras. 

**nota**  
Quando você gerencia grupos de regras, os pacotes de proteção (web ACLs) por meio do console AWS WAF atribuem configurações de prioridade numérica exclusivas para você com base na ordem das regras na lista. AWS WAF atribui a prioridade numérica mais baixa à regra na parte superior da lista e a prioridade numérica mais alta à regra na parte inferior. 

Ao AWS WAF avaliar qualquer grupo de regras, pacote de proteção (web ACL) em relação a uma solicitação da web, ele avalia as regras desde a configuração de prioridade numérica mais baixa até encontrar uma correspondência que encerre a avaliação ou esgote todas as regras.

Por exemplo, digamos que você tenha as seguintes regras e grupos de regras em seu pacote de proteção (ACL da Web), priorizados conforme mostrado:
+ Regra1: prioridade 0
+ RuleGroupA — prioridade 100
  + RegraA1: prioridade 10.000
  + RegraA2: prioridade 20.000
+ Regra2: prioridade 200
+ RuleGroupB — prioridade 300
  + RegraB1: prioridade 0
  + RegraB2: prioridade 1

AWS WAF avaliaria as regras desse pacote de proteção (web ACL) na seguinte ordem:
+ Rule1
+ RuleGroupUma regra A1
+ RuleGroupUma regra A2
+ Rule2
+ RuleGroupPor RuleB1
+ RuleGroupPor RuleB2

# Como AWS WAF lida com as ações de regras e grupos de regras
<a name="web-acl-rule-actions"></a>

Esta seção explica como AWS WAF usa regras e grupos de regras para lidar com ações.

Ao configurar suas regras e grupos de regras, você escolhe como deseja AWS WAF lidar com as solicitações da web correspondentes: 
+ **Allow e Block são ações de encerramento**: as ações Allow e Block interrompem todos os outros processamentos do pacote de proteção (ACL da Web) na solicitação da Web correspondente. Se uma regra em um pacote de proteção (web ACL) encontrar uma correspondência para uma solicitação e a ação da regra for Allow ouBlock, essa correspondência determinará a disposição final da solicitação da web para o pacote de proteção (web ACL). AWS WAF não processa nenhuma outra regra no pacote de proteção (web ACL) que vem depois da correspondente. Isso é verdadeiro para as regras que você adiciona diretamente ao pacote de proteção (ACL da Web) e para as regras dentro de um grupo de regras adicionado. Com a ação Block, o recurso protegido não recebe nem processa a solicitação da web.
+ **Count não é uma ação de encerramento**: quando uma regra com uma ação Count corresponde a uma solicitação, o AWS WAF conta a solicitação e, em seguida, continua processando as regras que vêm a seguir no conjunto de regras do pacote de proteção (ACL da Web). 
+ **CAPTCHAe Challenge podem ser ações de encerramento ou encerramento** — quando uma regra com uma dessas ações corresponde a uma solicitação, AWS WAF verifica o status do token. Se a solicitação tiver um token válido, AWS WAF tratará a correspondência de forma semelhante a uma Count correspondência e, em seguida, continuará processando as regras que seguem o conjunto de regras do pacote de proteção (Web ACL). Se a solicitação não tiver um token válido, AWS WAF encerra a avaliação e envia ao cliente um quebra-cabeça CAPTCHA ou um desafio silencioso de uma sessão de cliente em segundo plano para resolver. 

Se a avaliação da regra não resultar em nenhuma ação de encerramento, AWS WAF aplique a ação padrão do pacote de proteção (Web ACL) à solicitação. Para mais informações, consulte [Definindo a ação padrão do pacote de proteção (Web ACL) em AWS WAF](web-acl-default-action.md).

No pacote de proteção (ACL da Web), você pode substituir as configurações de ação das regras de um grupo de regras e substituir a ação retornada por um grupo de regras. Para mais informações, consulte [Substituindo ações do grupo de regras em AWS WAF](web-acl-rule-group-override-options.md). 

**Interação entre ações e configurações de prioridade**  
As ações que AWS WAF se aplicam a uma solicitação da web são afetadas pelas configurações de prioridade numérica das regras no pacote de proteção (Web ACL). Por exemplo, digamos que o pacote de proteção (ACL da Web) tenha uma regra com ação Allow e uma prioridade numérica de 50 e outra regra com a ação Count e uma prioridade numérica de 100. O AWS WAF avalia as regras em um pacote de proteção (ACL da Web) na ordem de prioridade, começando pela configuração mais baixa, então ele avaliará a regra de permissão antes da regra de contagem. Uma solicitação da web que corresponda às duas regras corresponderá primeiro à regra de permissão. Como Allow é uma ação de encerramento, AWS WAF interromperá a avaliação nesta partida e não avaliará a solicitação de acordo com a regra de contagem. 
+ Se você quiser incluir apenas solicitações que não correspondam à regra de permissão nas métricas da regra de contagem, as configurações de prioridade das regras funcionarão. 
+ Por outro lado, se você quiser contar métricas da regra de contagem, mesmo para solicitações que correspondam à regra de permissão, precisará atribuir à regra de contagem uma configuração de prioridade numérica menor do que a regra de permissão, para que ela seja executada primeiro. 

Para saber mais sobre configurações de prioridade, consulte [Definir prioridade das regras](web-acl-processing-order.md). 

# Substituindo ações do grupo de regras em AWS WAF
<a name="web-acl-rule-group-override-options"></a>

Esta seção explica como substituir ações de grupos de regras.

Ao adicionar um grupo de regras ao pacote de proteção (ACL da Web), você pode substituir as ações que ele executa nas solicitações da Web que correspondem. Substituir as ações de um grupo de regras dentro da configuração do pacote de proteção (ACL da Web) não altera o grupo de regras em si. Ele só altera a forma como o grupo de regras é AWS WAF usado no contexto do pacote de proteção (Web ACL). 

## Substituições de ações de regras de grupos de regras
<a name="web-acl-rule-group-override-options-rules"></a>

Você pode substituir as ações das regras dentro de um grupo de regras por qualquer ação de regra válida. Quando você faz isso, as solicitações correspondentes são tratadas exatamente como se a ação da regra configurada fosse a configuração de substituição. 

**nota**  
As ações de regra podem ser de encerramento ou não. Uma ação de encerramento interrompe a avaliação do pacote de proteção (ACL da Web) da solicitação e permite que ela continue na aplicação protegida ou a bloqueia. 

Veja as opções da ação da regra: 
+ **Allow**— AWS WAF permite que a solicitação seja encaminhada ao AWS recurso protegido para processamento e resposta. Essa é uma ação de encerramento. Nas regras que define, você pode inserir cabeçalhos personalizados na solicitação antes de encaminhá-la para o recurso protegido.
+ **Block**— AWS WAF bloqueia a solicitação. Essa é uma ação de encerramento. Por padrão, seu AWS recurso protegido responde com um código de `403 (Forbidden)` status HTTP. Nas regras que você define, você pode personalizar a resposta. Quando AWS WAF bloqueia uma solicitação, as configurações da Block ação determinam a resposta que o recurso protegido envia de volta ao cliente. 
+ **Count**— AWS WAF conta a solicitação, mas não determina se ela deve ser permitida ou bloqueada. Essa não é uma ação de encerramento, o AWS WAF continua processando as regras restantes no pacote de proteção (ACL da Web). Nas regras que você define, você pode inserir cabeçalhos personalizados na solicitação e adicionar rótulos com os quais outras regras possam corresponder.
+ **CAPTCHAe Challenge** — AWS WAF usa quebra-cabeças de CAPTCHA e desafios silenciosos para verificar se a solicitação não vem de um bot e AWS WAF usa tokens para rastrear as respostas recentes bem-sucedidas dos clientes. 

  Os códigos CAPTCHA e os desafios silenciosos só podem ser executados quando os navegadores estão acessando endpoints HTTPS. Os clientes do navegador devem estar sendo executados em contextos seguros para adquirir tokens. 
**nota**  
São cobradas taxas adicionais quando você usa a ação de regra CAPTCHA ou Challenge em uma de suas regras ou como uma substituição de ação de regra em um grupo de regras. Para obter mais informações, consulte [AWS WAF Preço](https://aws.amazon.com/waf/pricing/).

  Essas ações de regra podem ser terminais ou não, dependendo do estado do token na solicitação: 
  + **Não encerramento para token válido e não expirado — Se o token** for válido e não expirado de acordo com o CAPTCHA configurado ou o tempo de imunidade de desafio, AWS WAF tratará a solicitação de forma semelhante à ação. Count AWS WAF continua inspecionando a solicitação da web com base nas regras restantes no pacote de proteção (Web ACL). Semelhante à configuração de Count, nas regras que define, você pode, opcionalmente, configurar essas ações com cabeçalhos personalizados para inserir na solicitação e adicionar rótulos aos quais outras regras possam corresponder. 
  + ** AWS WAF Encerramento com solicitação bloqueada de token inválido ou expirado** — Se o token for inválido ou a data e hora indicada expirar, encerra a inspeção da solicitação da web e bloqueia a solicitação, semelhante à ação. Block AWS WAF em seguida, responde ao cliente com um código de resposta personalizado. PoisCAPTCHA, se o conteúdo da solicitação indicar que o navegador do cliente pode lidar com isso, AWS WAF envia um quebra-cabeça CAPTCHA em um JavaScript intersticial, projetado para distinguir clientes humanos de bots. Para a Challenge ação, AWS WAF envia um JavaScript intersticial com um desafio silencioso projetado para distinguir navegadores normais de sessões que estão sendo executadas por bots. 

  Para obter informações adicionais, consulte [CAPTCHAe Challenge em AWS WAF](waf-captcha-and-challenge.md).

Para obter informações sobre como utilizar essa opção, consulte [Substituir ações de regra para um grupo de regras](web-acl-rule-group-settings.md#web-acl-rule-group-rule-action-override).

### Substituição da ação da regra para Count
<a name="web-acl-rule-group-override-to-count"></a>

O caso de uso mais comum para substituições de ações de regras é substituir algumas ou todas as ações de regras para Count, para testar e monitorar o comportamento de um grupo de regras antes de colocá-lo em produção. 

Você também pode usar isso para solucionar problemas de um grupo de regras que está gerando falsos positivos. Falsos positivos ocorrem quando um grupo de regras bloqueia o tráfego que você não espera que ele bloqueie. Se você identificar uma regra em um grupo de regras que bloquearia as solicitações que você deseja permitir, você pode manter a substituição da ação de contagem nessa regra, para evitar que ela atue em suas solicitações.

Para saber mais sobre como usar a substituição de ação de regra em testes, consulte [Testando e ajustando suas AWS WAF proteções](web-acl-testing.md).

### Lista JSON: `RuleActionOverrides` substitui `ExcludedRules`
<a name="web-acl-rule-group-override-replaces-exclude"></a>

Se você definiu as ações de regras do grupo de regras Count na configuração do pacote de proteção (Web ACL) antes de 27 de outubro de 2022, AWS WAF salvou suas substituições no JSON do pacote de proteção (Web ACL) como. `ExcludedRules` Agora, a configuração JSON para substituir uma regra para Count está nas configurações `RuleActionOverrides`. 

Recomendamos que você atualize todas as configurações `ExcludedRules` em suas listas de JSON para configurações `RuleActionOverrides` com a ação definida como Count. A API aceita qualquer uma das configurações, mas você obterá consistência em suas listas de JSON, entre o trabalho do console e o trabalho da API, se usar apenas a nova configuração `RuleActionOverrides`. 

**nota**  
No AWS WAF console, a guia **Solicitações de amostra** do pacote de proteção (Web ACL) não mostra exemplos de regras com a configuração antiga. Para obter mais informações, consulte [Visualizar um exemplo de solicitações da web](web-acl-testing-view-sample.md). 

Quando você usa o AWS WAF console para editar as configurações existentes do grupo de regras, o console converte automaticamente qualquer `ExcludedRules` configuração no JSON em `RuleActionOverrides` configurações, com a ação de substituição definida como. Count 
+ Exemplo de configuração atual: 

  ```
         "ManagedRuleGroupStatement": {
            "VendorName": "AWS",
            "Name": "AWSManagedRulesAdminProtectionRuleSet",
            "RuleActionOverrides": [
              {
                "Name": "AdminProtection_URIPATH",
                "ActionToUse": {
                  "Count": {}
                }
              }
            ]
  ```
+ Exemplo de configuração antiga: 

  ```
  OLD SETTING
         "ManagedRuleGroupStatement": {
            "VendorName": "AWS",
            "Name": "AWSManagedRulesAdminProtectionRuleSet",
            "ExcludedRules": [
              {
                "Name": "AdminProtection_URIPATH"
              }
            ]
  OLD SETTING
  ```

## A ação de retorno do grupo de regras é substituída por Count
<a name="web-acl-rule-group-override-options-rule-group"></a>

Você pode substituir a ação que o grupo de regras retorna, definindo-a como Count. 

**nota**  
Essa não é uma boa opção para testar as regras em um grupo de regras, pois não altera a forma como AWS WAF avalia o próprio grupo de regras. Ela afeta apenas a forma como AWS WAF manipula os resultados que são retornados ao pacote de proteção (Web ACL) a partir da avaliação do grupo de regras. Se você quiser testar as regras em um grupo de regras, use a opção descrita na seção anterior, [Substituições de ações de regras de grupos de regras](#web-acl-rule-group-override-options-rules).

Quando você substitui a ação do grupo de regras paraCount, AWS WAF processa a avaliação do grupo de regras normalmente. 

Se nenhuma regra no grupo de regras corresponder ou se todas as regras que corresponderem tiverem uma ação Count, essa substituição não terá efeito no processamento do grupo de regras ou do pacote de proteção (ACL da Web).

A primeira regra no grupo de regras que corresponde a uma solicitação da web e que tem uma ação de regra de encerramento faz AWS WAF com que pare de avaliar o grupo de regras e retorne o resultado da ação de encerramento ao nível de avaliação do pacote de proteção (Web ACL). Nesse ponto, na avaliação do pacote de proteção (Web ACL), essa substituição entra em vigor. AWS WAF substitui a ação de encerramento para que o resultado da avaliação do grupo de regras seja somente uma ação. Count AWS WAF em seguida, continua processando o restante das regras no pacote de proteção (Web ACL).

Para obter informações sobre como utilizar essa opção, consulte [Substituição do resultado da avaliação de um grupo de regras para Count](web-acl-rule-group-settings.md#web-acl-rule-group-action-override).