O que é o AWS WAF?
O AWS WAF (Web Application Firewall) protege aplicações web contra ataques comuns na camada 7 (HTTP/HTTPS). Ele inspeciona as requisições HTTP e bloqueia ou permite com base em regras que você define.
Diferente de um Security Group (que opera na camada 3/4 — IP e porta), o WAF entende o conteúdo das requisições HTTP.
O que o WAF protege
- SQL Injection (SQLi): tentativas de injetar comandos SQL em campos de formulário
- Cross-Site Scripting (XSS): injeção de scripts maliciosos em páginas web
- Rate limiting: bloqueia IPs que fazem muitas requisições (proteção contra brute force)
- Geo-blocking: bloqueia requisições de países específicos
- IP blocklist/allowlist: bloqueia ou permite IPs e ranges específicos
- Bots maliciosos: identifica e bloqueia scrapers e bots automatizados
Onde o WAF é implantado
| Recurso protegido | Descrição |
|---|---|
| CloudFront | Proteção na borda (edge) — bloqueia antes de chegar à origem |
| Application Load Balancer (ALB) | Proteção no load balancer regional |
| API Gateway | Proteção de APIs REST e HTTP |
| AppSync | Proteção de APIs GraphQL |
Managed Rules
A AWS e parceiros oferecem Managed Rule Groups — conjuntos de regras pré-configuradas que você ativa com um clique:
- AWS Managed Rules: proteção contra OWASP Top 10, bots conhecidos, IPs maliciosos
- AWS Marketplace: regras de parceiros como Fortinet, F5, Imperva
WAF vs Shield vs Security Group
| Serviço | Camada | Protege contra |
|---|---|---|
| Security Group | L3/L4 (IP/Porta) | Acesso não autorizado por IP e porta |
| AWS WAF | L7 (HTTP) | SQLi, XSS, bots, rate limiting |
| AWS Shield Standard | L3/L4 | Ataques DDoS volumétricos — gratuito, automático |
| AWS Shield Advanced | L3/L4/L7 | DDoS avançado + suporte 24/7 + proteção de custo |
🎯 Pontos importantes para o exame CLF-C02
- WAF opera na camada 7 (HTTP) — inspeciona o conteúdo das requisições
- Protege contra SQLi, XSS, bots, rate limiting, geo-blocking
- Implantado no CloudFront, ALB ou API Gateway
- Shield Standard é gratuito e automático — protege contra DDoS L3/L4
- Shield Advanced é pago — DDoS avançado + suporte especializado 24/7
- WAF + Shield = defesa em profundidade para aplicações web
- Managed Rules permitem ativar proteção OWASP Top 10 sem escrever regras