AWSWAF에서 scope of inspection을 통해 탐지 범위 통제

AWS WAF의 scope-down statement를 사용하여 탐지 범위를 제어하는 방법에 대해 설명드리겠습니다.

귀하가 설명하신 조건은 다음과 같이 해석됩니다:

1. Sizerestrictions_Body 라벨이 없는 요청
2. /aaa로 시작하지 않는 경로를 가진 요청

이 두 조건이 AND로 연결되어 있으므로, 두 조건을 모두 만족하는 요청만이 추가 검사를 받게 됩니다.

따라서, 귀하의 이해는 정확합니다. /aaa로 시작하는 경로로 들어오는 요청은 두 번째 조건을 만족하지 않으므로, Sizerestrictions_Body 외의 다른 Core 룰셋의 규칙들에 의해 탐지되지 않을 것입니다.

이 설정의 결과:

1. Sizerestrictions_Body 라벨이 있는 요청은 검사에서 제외됩니다.
2. /aaa로 시작하는 모든 요청은 검사에서 제외됩니다.
3. 위의 두 조건을 모두 만족하지 않는 요청만이 추가적인 WAF 규칙 검사를 받게 됩니다.

scope-down statement는 요청이 포함된 규칙에 의해 평가될지 여부를 결정하는 데만 사용되며, 요청 검사 구성을 지정하거나 웹 요청 전처리기로 사용할 수 없습니다. 이 statement의 유일한 역할은 어떤 요청이 포함된 규칙 statement에 의해 검사될지를 결정하는 것입니다.

따라서, /aaa 경로로 들어오는 요청은 이 scope-down statement에 의해 필터링되어 추가적인 WAF 규칙 검사를 받지 않게 됩니다. 이는 의도하지 않은 보안 허점을 만들 수 있으므로, 설정 시 주의가 필요합니다.
Sources
Using scope-down statements in AWS WAF - AWS WAF, AWS Firewall Manager, and AWS Shield Advanced
NotStatement - AWS WAFV2