[AWS] WAF 룰그룹안에 세부 룰에서 Override to allow 될 경우 동작

 

 

"Override to ALLOW로 룰이 통과되었을 때, 그 아래 룰들은 계속 검사되는가?"

 

 

✅ 답: "룰 평가가 계속됩니다"

Override to ALLOW는 해당 룰에서 차단(BLOCK, CAPTCHA 등)을 무시하고 허용한다는 의미일 뿐,
WAF 전체 평가 체인의 종료를 의미하지는 않습니다.

즉:

• 그 룰은 통과되지만
• 아래에 있는 다른 룰들도 계속 검사됩니다
• 만약 아래 룰 중 BLOCK이 걸리면 → 해당 룰에서 차단될 수 있어요

---

🔁 WAF 룰 평가 순서 간단 요약

1. WAF는 룰 순서대로 평가합니다 (WebACL에서 위에서 아래로).
2. 처음으로 BLOCK/CAPTCHA/CHALLENGE 되는 룰에서 평가가 멈춤 → 이 룰이 "terminating rule"이 됨.
3. ALLOW 또는 COUNT만 있을 경우 → 평가를 끝까지 모두 수행.
4. Override to ALLOW는 그 룰 자체만 ALLOW 처리 → 평가 계속 진행됨.

---

🧩 예시

Web ACL 설정 (순서 기준)

1. 룰 A (Override to ALLOW)
2. 룰 B (BLOCK 조건 있음)
3. 룰 C (CAPTCHA)

요청 흐름:

• 요청이 룰 A에 매치됨 → Override to ALLOW → 통과
• → 룰 B까지 계속 검사 → 매치됨 → BLOCK
• → 평가 종료 → terminatingRule은 룰 B로 기록됨

---

🔍 WAF 로그에서 확인 포인트

• terminatingRuleId: → 룰 B의 ID가 기록됨 (실제 차단 룰)
• nonTerminatingMatchingRules: 룰 A가 여기에 기록될 수도 있음 (ALLOW/COUNT이면)
• 룰 A가 Override to ALLOW이더라도, 그 자체는 action: ALLOW, 평가 chain은 계속됨

---

✅ 요약

상황평가 계속?설명

룰이 Override to ALLOW	✅ 계속	ALLOW 처리만, 평가 중단 아님
룰이 BLOCK (override 아님)	❌ 중단됨	첫 BLOCK에서 종료
룰이 COUNT	✅ 계속	로깅만 하고 계속 진행
룰이 CAPTCHA/CHALLENGE	❌ 중단됨	첫 CHALLENGE에서 종료

---

💡 즉, Override to ALLOW는 “이 룰에서만 ALLOW하되, 다른 룰까지 평가하세요” 라는 의미입니다.