반응형
Override Type의미 설명동작 방식
| Override to ALLOW | 해당 룰에 매치되더라도 요청을 허용함 | 룰의 기본 동작(예: BLOCK)을 무시하고 무조건 통과 |
| Override to BLOCK | 해당 룰에 매치되면 요청을 차단 | 기본이 COUNT일 수도 있지만 강제로 차단 |
| Override to COUNT | 룰에 매치되더라도 로깅만 하고 허용 | 탐지 목적으로 사용, 실제 액션 없음 |
| Override to CAPTCHA | 매치되면 사용자에게 CAPTCHA 표시 | 사람/봇 판별 목적 |
| Override to CHALLENGE | 매치되면 WAF에서 추가 검증을 수행 | CAPTCHA보다 투명한 방식, 봇 차단 목적 |
🎯 실제로 설정하면 WAF 로그는 어떻게 남을까?
- terminatingRule.action에 설정된 override 값이 들어가요. 예:
"terminatingRule": {
"action": "COUNT",
"ruleId": "GenericRFI_BODY"
}- 이 경우 원래 GenericRFI_BODY 룰이 BLOCK일 수 있지만, Override to COUNT로 설정한 상태라는 의미입니다.
- 로그에는 action: ALLOW 또는 COUNT로 표시되며,
nonTerminatingMatchingRules 또는 terminatingRuleMatchDetails에 기록될 수 있어요.
✅ 예시 상황
1. Override to COUNT (테스트 모드)
- 운영에 영향을 안 주고 어떤 룰이 얼마나 탐지되는지 알고 싶을 때 사용
- 일정 기간 로깅 후 BLOCK 전환 검토
2. Override to ALLOW (오탐 제외용)
- 특정 요청이 계속 잘못 차단될 때 해당 룰만 ALLOW로 바꿔서 통과시키고 로깅 유지
3. Override to CAPTCHA / CHALLENGE (봇 대응)
- UA나 헤더로 자동화 요청이 의심되면 CAPTCHA로 돌리고, 사람이면 통과시킴
🔍 참고 팁
- Override 설정은 룰 그룹 전체가 아니라 개별 룰에만 적용됩니다.
- Managed Rule Group이라도 각 룰을 override해서 더 유연한 정책 구성 가능
- Count 모드로 감시 → Block 또는 Captcha로 순차 전환하는 것이 가장 안정적인 운영 방식입니다
반응형
'퍼블릭 클라우드 관련 > AWS' 카테고리의 다른 글
| [AWS] GuardDuty 테스트를 위한 샘플 생성 방법 (0) | 2025.04.04 |
|---|---|
| [AWS] WAF 룰그룹안에 세부 룰에서 Override to allow 될 경우 동작 (0) | 2025.04.02 |
| [AWS] WebACL를 적용할 수 있는 리소스 (0) | 2025.04.01 |
| [AWS] NFW(Network Firewall) 알림모드 란? (0) | 2025.03.31 |
| [AWS] NFW(Network firewall) 흐름 플러시 구성 vs 흐름 캡처 구성 (0) | 2025.03.30 |