{"section":"tutorials","requestedLocale":"pt","requestedSlug":"web-application-firewall-waf","locale":"pt","slug":"web-application-firewall-waf","path":"docs/pt/tutorials/segurança/vtex-shield/web-application-firewall-waf.md","branch":"main","content":"> ℹ️ Esta funcionalidade faz parte do produto [VTEX Shield](/pt/docs/tutorials/vtex-shield). Se já é cliente da VTEX e deseja adotar o VTEX Shield no seu negócio, entre em contato com o [Suporte Comercial](/pt/docs/tracks/suporte-comercial). É possível que taxas adicionais se apliquem. Se ainda não é cliente, mas tem interesse nesta solução, preencha o [formulário de contato](https://vtex.com/pt-br/contato/).\n\nO Web Application Firewall (WAF) é uma camada de segurança projetada para proteger aplicações web por meio do monitoramento e da filtragem do tráfego da Internet.\n\nO WAF é direcionado especificamente para comunicações que ocorrem pelos protocolos HTTP (Hypertext Transfer Protocol) e HTTPS (HTTP Secure), examinando os dados de entrada para detectar e bloquear possíveis ameaças.\n\n![waf-pt](https://cdn.statically.io/gh/vtexdocs/help-center-content/refs/heads/main/docs/pt/tutorials/segurança/vtex-shield/web-application-firewall-waf_1.png)\n\nA operação do WAF começa com a definição de [regras de segurança](#regras-de-seguranca), que são determinadas pelo time de Segurança da VTEX a partir da análise de padrões de circulação de informações. A partir dessas regras, o WAF monitora continuamente o tráfego da web. Quando detecta uma atividade potencialmente prejudicial, ele pode bloquear o tráfego, evitando assim a exploração de vulnerabilidades no aplicativo web.\n\n## Regras de segurança\n\nLojas que utilizam o VTEX Shield e optarem pelo WAF contam com as regras de segurança a seguir contra ameaças no site:\n\n| Ameaça | Medida de segurança |\n|---|---|\n| Remote File Inclusions (RFI) | Detecta tentativas de incluir arquivos, geralmente por meio de scripts no servidor da web. |\n| Directory Traversal | Verifica e valida nomes de arquivos fornecidos pelos usuários, evitando acesso não autorizado a arquivos e pastas sensíveis. |\n| Cross-Site Scripting (XSS) | Impede a injeção de scripts do lado do cliente nas páginas visualizadas por seus visitantes. |\n| Upload de arquivos | Detecta tentativas de upload de arquivos para o servidor da web. |\n| Truques de evasão | Protege contra alguns truques de codificação usados para tentar burlar os mecanismos de proteção. |\n| Acesso indesejado | Detecta tentativas de acesso a páginas administrativas ou vulneráveis, bots e ferramentas de varredura de segurança. |\n| Ataques identificados | Previne vários tipos de ataques comuns e vulnerabilidades conhecidas que devem ser bloqueadas. |\n| Filtro de IP | Consulta uma lista de endereços IPs que possuem permissões ou bloqueios de acesso. |\n| Bloqueio da rede Tor | Impede o acesso ao site utilizando o navegador Tor. |\n\n> ℹ️ A seleção de regras e os nomes exibidos variam conforme a configuração definida no provedor de WAF e eventuais customizações solicitadas pelo lojista.\n\n## Solicitar ativação do WAF\n\nPara solicitar a ativação do WAF na sua loja, entre em contato com o [Suporte VTEX](https://supporticket.vtex.com/support). Inclua as informações a seguir no ticket:\n\n* URLs a serem adicionadas ao WAF.\n* Nome e informações de contato (email e telefone) da pessoa que será o ponto de contato com a equipe de Segurança da VTEX durante o processo de ativação.\n* Provedor: para ter acesso ao WAF, todo o tráfego de URLs da loja deve passar pelo provedor atualmente utilizado pela VTEX. Se isso não ocorrer, é preciso seguir um procedimento com a equipe de Tráfego da VTEX, que pode durar entre 1 e 2 semanas.\n\nApós a solicitação, o prazo para a ativação do WAF nas URLs da loja é de 4 semanas, além do período necessário para migrar para o provedor, quando aplicável.\n\n## Métricas do WAF\n\nO VTEX Shield disponibiliza um dashboard para monitoramento em tempo real das métricas e atividades do WAF. Para visualizar o dashboard no Admin VTEX, acesse **Aplicativos > Shield > WAF**, ou digite **WAF** na barra de busca.\n\nO dashboard apresenta as seguintes informações e recursos:\n\n* [Filtro de período](#filtro-de-periodo)\n* [Métricas gerais](#metricas-gerais)\n* [Ações](#acoes)\n* [Regras](#regras)\n* [Tipos de ataque](#tipos-de-ataque)\n* [Países de origem](#paises-de-origem)\n* [Dispositivos](#dispositivos)\n\n### Requisitos\n\nPara visualizar a página, é necessário:\n\n* Ter o WAF [ativado](#solicitar-ativacao-do-waf) previamente.\n\n* Ser um usuário associado a um [perfil de acesso](https://help.vtex.com/pt/docs/tutorials/perfis-de-acesso) com o [recurso do License Manager](https://help.vtex.com/pt/docs/tutorials/recursos-do-license-manager) a seguir:\n\n   * **Produto**: *CDN API*\n   * **Categoria**: *WAF Control*\n   * **Recurso**: *View WafControl Metrics*\n\n### Filtro de período\n\nNo canto superior direito, você pode selecionar o período de visualização dos dados clicando no período atual. As opções disponíveis são:\n\n* **Hoje**\n* **Ontem**\n* **Últimos 7 dias**\n* **Últimos 14 dias**\n* **Últimos 30 dias**\n* **Período personalizado** permite selecionar datas específicas de início e fim, com intervalo máximo de 30 dias, limitado aos últimos 60 dias.\n\nApós selecionar o período desejado, clique em `Aplicar` para atualizar as métricas do dashboard.\n\n### Métricas gerais\n\nA seção superior do dashboard apresenta três métricas principais:\n\n* **Todas as requisições:** número total de requisições analisadas pelo WAF no período selecionado.\n* **Bloqueadas:** quantidade e percentual de requisições que foram bloqueadas pelo WAF antes de chegar à aplicação por serem identificadas como ameaças.\n* **Liberadas:** quantidade e percentual de requisições permitidas pelo WAF e encaminhadas para a aplicação após análise, consideradas seguras.\n\n![waf-2-pt](https://cdn.statically.io/gh/vtexdocs/help-center-content/refs/heads/main/docs/pt/tutorials/segurança/vtex-shield/web-application-firewall-waf_2.png)\n\n### Ações\n\nO gráfico de **Ações** apresenta a evolução temporal das atividades do WAF, mostrando o volume de requisições por **hora do dia**, consolidado ao longo de todo o período selecionado. Ele permite identificar picos de tráfego em horários específicos.\n\nO gráfico exibe três métricas principais:\n\n* **Bloqueios** (linha azul): requisições bloqueadas pelo WAF.\n* **Permissões** (linha roxa): requisições permitidas.\n* **Total** (linha cinza): volume total de requisições analisadas.\n\n![waf-3-pt](https://cdn.statically.io/gh/vtexdocs/help-center-content/refs/heads/main/docs/pt/tutorials/segurança/vtex-shield/web-application-firewall-waf_3.png)\n\n### Regras\n\nO gráfico de **Regras** detalha quais regras de segurança foram acionadas durante o período selecionado. É possível visualizar os dados de duas formas, selecionáveis no canto superior direito do gráfico:\n\n* **Tempo:** evolução temporal da aplicação de cada regra.\n* **Resumo:** visão consolidada da quantidade de ações por regra.\n\n![waf-4-pt](https://cdn.statically.io/gh/vtexdocs/help-center-content/refs/heads/main/docs/pt/tutorials/segurança/vtex-shield/web-application-firewall-waf_4.png)\n\n> ℹ️ A seleção de regras e os nomes exibidos variam conforme a configuração definida no provedor de WAF e eventuais customizações solicitadas pelo lojista.\n\n### Tipos de ataque\n\nA seção **Tipos de ataque** apresenta um gráfico de barras horizontais com os principais tipos de ameaças detectadas e o volume de ocorrências.\n\nOs tipos de ataque exibidos correspondem aos mais relevantes para a loja, ou seja, aqueles com maior incidência, e não necessariamente aos definidos na lista. Saiba mais sobre os ataques comuns no [OWASP Top 10](https://owasp.org/Top10).\n\n![waf-5-pt](https://cdn.statically.io/gh/vtexdocs/help-center-content/refs/heads/main/docs/pt/tutorials/segurança/vtex-shield/web-application-firewall-waf_5.png)\n\n### Países de origem\n\nO gráfico de **Países de origem** mostra a distribuição geográfica das requisições, permitindo identificar de quais países originam os acessos ao seu site analisados pelo WAF. Os países são listados por código de três letras, com barras horizontais indicando o volume de requisições de cada localidade.\n\n![waf-6-pt](https://cdn.statically.io/gh/vtexdocs/help-center-content/refs/heads/main/docs/pt/tutorials/segurança/vtex-shield/web-application-firewall-waf_6.png)\n\n### Dispositivos\n\nO gráfico de **Dispositivos** apresenta a distribuição percentual dos tipos de dispositivos utilizados para acessar o site nas requisições analisadas pelo WAF:\n\n* **Desktop:** acessos via computadores desktop.\n* **Mobile:** acessos via dispositivos móveis.\n* **Tablet:** acessos via tablets.\n* **Desconhecido:** dispositivos não identificados.\n\nOs dados são exibidos em um gráfico de pizza com as respectivas porcentagens. \n\n![waf-7-pt](https://cdn.statically.io/gh/vtexdocs/help-center-content/refs/heads/main/docs/pt/tutorials/segurança/vtex-shield/web-application-firewall-waf_7.png)\n\n## Saiba mais\n\n* [VTEX Shield](/pt/docs/tutorials/vtex-shield)"}