Come posso creare complesse regole AWS WAF JSON personalizzate?

Ultimo aggiornamento: 21/07/2022

Come posso creare complesse regole AWS WAF JSON personalizzate?

Risoluzione

Crea complesse regole personalizzate nell'editor JSON quando aggiungi una regola personalizzata per AWS WAF. Le regole vengono create e gestite in ACL Web e Gruppi di regole nella console AWS WAF. È possibile accedere a una regola per nome nel gruppo di regole o nell'ACL Web in cui è definita.

Se il caso d’uso richiede una regola personalizzata con una combinazione di logica AND, OR o NOT (istruzioni nidificate), è necessario creare la regola utilizzando l'editor JSON. Per ulteriori informazioni, consulta le istruzioni delle regole AWS WAF.

Suggerimento: puoi utilizzare l'editor visivo delle regole, disponibile nella console AWS WAF, per creare istruzioni di regole simili al tuo caso d'uso. Quindi, per visualizzare le istruzioni JSON, scegli Editor delle regole JSON e apporta le modifiche necessarie nell'editor JSON.

Gli esempi seguenti forniscono un riferimento che è possibile utilizzare per creare la propria logica di regole personalizzata:

Esempio 1

Questa è un'istruzione di regola personalizzata che consente una richiesta se proviene dagli Stati Uniti - USA e l'URI è /wp-admin/ o /wp-login/:

Logica della regola: se una richiesta è (dagli Stati Uniti) AND URI è (/a OR /b) ).

{
  "Name": "test",
  "Priority": 100,
  "Statement": {
    "AndStatement": {
      "Statements": [
        {
          "GeoMatchStatement": {
            "CountryCodes": [
              "US"
            ]
          }
        },
        {
          "OrStatement": {
            "Statements": [
              {
                "ByteMatchStatement": {
                  "SearchString": "/wp-admin/",
                  "FieldToMatch": {
                    "UriPath": {}
                  },
                  "TextTransformations": [
                    {
                      "Priority": 0,
                      "Type": "NONE"
                    }
                  ],
                  "PositionalConstraint": "CONTAINS"
                }
              },
              {
                "ByteMatchStatement": {
                  "SearchString": "/wp-login/",
                  "FieldToMatch": {
                    "UriPath": {}
                  },
                  "TextTransformations": [
                    {
                      "Priority": 0,
                      "Type": "NONE"
                    }
                  ],
                  "PositionalConstraint": "CONTAINS"
                }
              }
            ]
          }
        }
      ]
    }
  },
  "Action": {
    "Allow": {}
  },
  "VisibilityConfig": {
    "SampledRequestsEnabled": true,
    "CloudWatchMetricsEnabled": true,
    "MetricName": "test"
  }
}

Esempio 2

Questa è un'istruzione di regola personalizzata che blocca una richiesta se contiene firme XSS nel BODY, ma esclude gli URI /test, /login e /admin dall'ispezione:

Logica della regola: se una richiesta ha (firma XSS nel corpo) AND l’URI è NOT ( /a OR /b, OR /c ).

{
 "Name": "XSS_Block_Allow_Uploads",
 "Priority": 100,
 "Statement": {
     "AndStatement": {
     "Statements": [
       {
         "XssMatchStatement": {
           "FieldToMatch": {
             "Body": {}
           },
           "TextTransformations": [
             {
               "Priority": 0,
               "Type": "NONE"
             }
           ]
         }
       },
   {
    "NotStatement": {
     "Statement": {
      "OrStatement": {
       "Statements": [
                 {
                   "ByteMatchStatement": {
                     "SearchString": "/test",
                     "FieldToMatch": {
                       "UriPath": {}
                     },
                     "TextTransformations": [
                       {
                         "Priority": 0,
                         "Type": "NONE"
                       }
                     ],
                     "PositionalConstraint": "EXACTLY"
                   }
                 },
                 {
                   "ByteMatchStatement": {
                     "SearchString": "/admin",
                     "FieldToMatch": {
                       "UriPath": {}
                     },
                     "TextTransformations": [
                       {
                         "Priority": 0,
                         "Type": "NONE"
                       }
                     ],
                     "PositionalConstraint": "EXACTLY"
                   }
                 },
                 {
                   "ByteMatchStatement": {
                     "SearchString": "/login",
                     "FieldToMatch": {
                       "UriPath": {}
                     },
                     "TextTransformations": [
                       {
                         "Priority": 0,
                         "Type": "NONE"
                       }
                     ],
                     "PositionalConstraint": "EXACTLY"
                   }
                 }
               ]
             }
           }
         }
       }
     ]
   }
 },
 "Action": {
   "Block": {}
 },
 "VisibilityConfig": {
   "SampledRequestsEnabled": true,
   "CloudWatchMetricsEnabled": true,
   "MetricName": "XSS_Block_Allow_Uploads"
 }
}

Esempio 3

Questa è un'istruzione di regola personalizzata che blocca una richiesta se contiene un'etichetta personalizzata interna, ma host, IP e URI non sono una combinazione specifica:

Logica della regola: se la richiesta (contiene l'etichetta) AND, non (URI e IP e host), allora blocca.

{
  "Name": "Block_internal_unauthorized",
  "Priority": 100,
  "Statement": {
    "AndStatement": {
      "Statements": [
      {
          "LabelMatchStatement": {
            "Scope": "LABEL",
            "Key": "internal"
          }
        },
        {
          "NotStatement": {
            "Statement": {
              "AndStatement": {
                "Statements": [
                {
                    "ByteMatchStatement": {
                      "FieldToMatch": {
                        "UriPath": {}
                      },
                      "PositionalConstraint": "EXACTLY",
                      "SearchString": "/test",
                      "TextTransformations": [{
                        "Type": "NONE",
                        "Priority": 0
                      }]
                    }
                  },
                  {
                    "IPSetReferenceStatement": {
                      "ARN": "arn:aws:wafv2:us-east-1:xxxxxxxxxxxx:regional/ipset/internal_IPs/xxx-xx-xxx"
                    }
                  },
                  {
                    "ByteMatchStatement": {
                      "FieldToMatch": {
                        "SingleHeader": {
                          "Name": "host"
                        }
                      },
                      "PositionalConstraint": "EXACTLY",
                      "SearchString": "example.com",
                      "TextTransformations": [{
                        "Type": "NONE",
                        "Priority": 0
                      }]
                    }
                  }
                ]
              }
            }
          }
        }
      ]
    }
  },
  "Action": {
   "Block": {}
 },
 "VisibilityConfig": {
   "SampledRequestsEnabled": true,
   "CloudWatchMetricsEnabled": true,
   "MetricName": "Block_internal_unauthorized"
 }
}

Questo articolo è stato utile?


Hai bisogno di supporto tecnico o per la fatturazione?