[AWS] WAF 룰 그룹 내에 override 동작 정리

Override Type의미 설명동작 방식

Override to ALLOW	해당 룰에 매치되더라도 요청을 허용함	룰의 기본 동작(예: BLOCK)을 무시하고 무조건 통과
Override to BLOCK	해당 룰에 매치되면 요청을 차단	기본이 COUNT일 수도 있지만 강제로 차단
Override to COUNT	룰에 매치되더라도 로깅만 하고 허용	탐지 목적으로 사용, 실제 액션 없음
Override to CAPTCHA	매치되면 사용자에게 CAPTCHA 표시	사람/봇 판별 목적
Override to CHALLENGE	매치되면 WAF에서 추가 검증을 수행	CAPTCHA보다 투명한 방식, 봇 차단 목적

🎯 실제로 설정하면 WAF 로그는 어떻게 남을까?

• terminatingRule.action에 설정된 override 값이 들어가요. 예:

"terminatingRule": {
  "action": "COUNT",
  "ruleId": "GenericRFI_BODY"
}

• 이 경우 원래 GenericRFI_BODY 룰이 BLOCK일 수 있지만, Override to COUNT로 설정한 상태라는 의미입니다.
• 로그에는 action: ALLOW 또는 COUNT로 표시되며,
  nonTerminatingMatchingRules 또는 terminatingRuleMatchDetails에 기록될 수 있어요.

---

✅ 예시 상황

1. Override to COUNT (테스트 모드)

• 운영에 영향을 안 주고 어떤 룰이 얼마나 탐지되는지 알고 싶을 때 사용
• 일정 기간 로깅 후 BLOCK 전환 검토

2. Override to ALLOW (오탐 제외용)

• 특정 요청이 계속 잘못 차단될 때 해당 룰만 ALLOW로 바꿔서 통과시키고 로깅 유지

3. Override to CAPTCHA / CHALLENGE (봇 대응)

• UA나 헤더로 자동화 요청이 의심되면 CAPTCHA로 돌리고, 사람이면 통과시킴

🔍 참고 팁

• Override 설정은 룰 그룹 전체가 아니라 개별 룰에만 적용됩니다.
• Managed Rule Group이라도 각 룰을 override해서 더 유연한 정책 구성 가능
• Count 모드로 감시 → Block 또는 Captcha로 순차 전환하는 것이 가장 안정적인 운영 방식입니다