# Explicador de política declarativa do AWAF

> Cole uma política de segurança declarativa do BIG-IP Advanced WAF (JSON) e receba uma leitura seção por seção, em linguagem clara e fundamentada no schema publicado pela F5, com alertas de segurança que interpretam os valores: enforcement transparent significa somente monitoramento, além de staging de assinaturas, Data Guard desligado e cookies sem Secure ou HttpOnly. Roda inteiramente no seu navegador.

- Tool: https://ronutz.com/pt-BR/tools/f5-awaf-declarative-policy-explainer
- Family: Segurança e WAF

---

## O que faz

Cole uma política de segurança declarativa do F5 AWAF - Advanced WAF (antigo BIG-IP ASM - Application Security Manager), o JSON `{ "policy": { ... } }` que você mantém em controle de versão, e a ferramenta a lê de volta para você, seção por seção, em linguagem clara: o que cada configuração é e, onde importa, o que o valor específico que você definiu realmente significa para a segurança da política. É um explicador somente de decodificação, fundamentado no schema declarativo publicado pela F5, e roda inteiramente no seu navegador.

## Ela lê uma política como um delta sobre o seu template

Uma política declarativa lista apenas os seus ajustes sobre um template base, então a regra mais importante ao lê-la é que uma seção ausente significa que o padrão do template se aplica, não que uma proteção está desligada. A ferramenta respeita isso o tempo todo: explica apenas o que a política define explicitamente, sempre carrega o lembrete de que tudo o que não é mostrado é herdado, e nunca relata uma proteção como desativada só porque ela está ausente. Todo alerta de segurança que ela faz é derivado de um valor que a política de fato define, nunca de uma ausência.

## O que ela cobre

A ferramenta reconhece cerca de cinquenta e cinco seções de nível superior da política, agrupadas em ordem de leitura: identidade (`name`, `description`, `template`), postura de enforcement (`enforcementMode`, `signature-settings`, modo passivo e as configurações de staging e X-Forwarded-For em `general`), aprendizado automático (Policy Builder), contexto da aplicação (idioma da aplicação, sensibilidade a maiúsculas, tecnologias de servidor), a superfície de tráfego (URLs, parâmetros, tipos de arquivo, métodos, cabeçalhos, cookies), as proteções (blocking settings, Data Guard, CSRF, força bruta, bloqueio por geolocalização, enforcement comportamental e outras) e os perfis de conteúdo (JSON, XML, GraphQL, OpenAPI). Cada seção é descrita a partir do próprio texto do schema da F5, e tudo o que a ferramenta não reconhece ainda é reconhecido como presente.

## Os alertas de segurança

Além de descrever seções, a ferramenta lê os valores que decidem se uma política realmente protege. Ela levanta um aviso quando `enforcementMode` é `transparent`, porque a política é então somente monitoramento e não bloqueia nada, nem mesmo violações marcadas para bloquear. Ela observa quando assinaturas de ataque estão em staging (correspondidas mas ainda não impostas), quando a política confia em `X-Forwarded-For` para o IP do cliente, quando o Data Guard está explicitamente desativado, e quando um cookie imposto é definido sem o atributo Secure ou HttpOnly. Cada um é um estado que as pessoas rotineiramente deixam passar ao ler uma política a olho.

## Fundamentação e precisão

As descrições dos campos são parafraseadas do schema declarativo publicado pela F5. A F5 publica a documentação de cinco versões, v16.0, v16.1, v17.0, v17.1 e v17.5; a ferramenta é fundamentada no schema v17.1, que é o mais recente com um schema completo publicado (a página do schema v17.5 ainda não foi publicada). As seções centrais cobertas aqui são estáveis na linha v16.x a v17.x. Nada do que você cola é enviado ou sai da página; para uma decisão em produção, confirme qualquer leitura no schema declarativo da versão do seu BIG-IP.

## Standards and references

- [F5 BIG-IP WAF Declarative Policy - index (published versions v16.0, v16.1, v17.0, v17.1, v17.5)](https://clouddocs.f5.com/products/waf-declarative-policy/)
- [F5 BIG-IP Declarative WAF v17.1 Schema (latest complete; v17.5 schema not yet published)](https://clouddocs.f5.com/products/waf-declarative-policy/schema_v17_1.html)
- [F5 BIG-IP Declarative WAF v17.1 Schema Description](https://clouddocs.f5.com/products/waf-declarative-policy/declarative_policy_v17_1.html)

## Related reading

- [Aprendizado automático em produção: como um atacante envenena uma política de WAF](https://ronutz.com/pt-BR/learn/awaf-automatic-learning-poisoning.md): Deixado em modo de aprendizado Automatic sobre tráfego não confiável, o Policy Builder do BIG-IP Advanced WAF aceita e aplica uma sugestão assim que seu learning score chega a 100%, e algumas sugestões desabilitam violações ou ampliam entidades. Um atacante que inunda tráfego de aparência legítima a partir de fontes suficientes consegue levar um afrouxamento a 100% e abrir um buraco. O design do F5 resiste a isso com limites de fontes, sessões e tempo, mas a postura segura é aprendizado Manual por padrão e construir apenas a partir de tráfego confiável.
- [Blocking vs Transparent: o que o modo de enforcement do Advanced WAF realmente faz](https://ronutz.com/pt-BR/learn/awaf-enforcement-mode-blocking-vs-transparent.md): O enforcementMode de uma política de WAF decide se ela protege ou apenas observa. Em modo blocking, requisições que disparam uma violação configurada para bloquear são rejeitadas. Em modo transparent, nada é bloqueado mesmo quando uma violação dispara, então a política é somente monitoramento. Confundir os dois é um dos erros mais comuns em WAF.
- [Como uma política declarativa do BIG-IP Advanced WAF é estruturada](https://ronutz.com/pt-BR/learn/awaf-declarative-policy-structure.md): Uma política declarativa de WAF é um arquivo JSON que descreve uma política de segurança como um conjunto de ajustes sobre um template base. A chave para lê-la é o modelo de template e ajustes: tudo o que a política não menciona mantém o padrão do template, então uma seção ausente significa padrão, não desativado.
- [Content Profiles do Advanced WAF: analisando JSON, XML, GraphQL e GWT com segurança](https://ronutz.com/pt-BR/learn/awaf-content-profiles.md): Um content profile diz ao Advanced WAF como analisar um payload estruturado, JSON, XML, GraphQL, GWT ou texto simples, para que ele possa aplicar assinaturas de ataque a campos individuais e impor limites estruturais que barram abuso do parser e negação de serviço. Veja o que cada tipo de profile faz, os atributos de defesa que importam e as boas práticas e cuidados.
- [Data Guard: mascarando dados sensíveis nas respostas](https://ronutz.com/pt-BR/learn/awaf-data-guard-response-masking.md): O Data Guard é a proteção do lado da resposta do Advanced WAF. Ele examina as respostas do servidor em busca de informações sensíveis, como números de cartão de crédito, números de Seguro Social dos EUA e padrões personalizados, e as mascara antes que cheguem ao cliente. Diferente da maioria das verificações de WAF, que inspecionam a requisição, o Data Guard protege o que vaza para fora.
- [F5 DataSafe: criptografia de camada de aplicação no lado do cliente, e suas arestas](https://ronutz.com/pt-BR/learn/f5-datasafe-application-layer-encryption.md): O DataSafe é a camada de proteção contra fraude da F5 que criptografa campos sensíveis dentro do navegador, antes que um Trojan ou key logger no navegador consiga lê-los. Ele injeta JavaScript que criptografa os dados no lado do cliente com uma chave pública por sessão, decifrada no BIG-IP com a chave privada. Veja como funciona, o que cada recurso faz e os cuidados que pegam as pessoas.
- [L7 Behavioral DoS (BaDoS): como o Advanced WAF aprende o normal e mitiga o resto](https://ronutz.com/pt-BR/learn/awaf-l7-behavioral-dos.md): O L7 Behavioral DoS é a defesa por machine learning do Advanced WAF contra DDoS na camada de aplicação. Ele aprende uma baseline de tráfego normal, observa o estresse do servidor e, quando o servidor sofre, constrói assinaturas dinâmicas e isola os IPs bad-actor, mitigando com medidas escalonadas. Veja como funciona, os dois modos de detecção e os cuidados que importam.
- [Políticas aninhadas no Advanced WAF: herança pai/filho e microsserviços de política](https://ronutz.com/pt-BR/learn/awaf-nested-policies.md): O Advanced WAF oferece duas formas de estruturar a configuração de política em camadas em vez de escrever uma política plana: políticas pai e filho, em que os filhos herdam elementos obrigatórios de um pai, e microsserviços de política de segurança, em que uma única política carrega subconfigurações aninhadas correspondidas por hostname e URL. Veja como cada uma funciona e quando usá-la.
- [Session Tracking do Advanced WAF: encontrando e detendo o cliente por trás das requisições](https://ronutz.com/pt-BR/learn/awaf-session-tracking.md): O session tracking permite que o Advanced WAF identifique o usuário, sessão, dispositivo ou IP por trás de um fluxo de requisições, e aja sobre essa identidade, registrando, adiando o bloqueio ou bloqueando tudo, quando um cliente cruza um limiar de violações. Veja como funciona a session awareness, as três ações e por que o rastreamento por usuário supera o rastreamento por session ID.
- [Sinais e desafios no lado do cliente: como o Advanced WAF distingue um navegador de um bot](https://ronutz.com/pt-BR/learn/awaf-client-side-signals-and-challenges.md): Para separar navegadores reais de automação, o Advanced WAF injeta JavaScript nas respostas e lê o que retorna, uma verificação de integridade do cliente, uma sondagem de capacidades, um fingerprint de dispositivo e, em último caso, um CAPTCHA. Veja o que cada artefato coleta, a ordem em que escalam e os cuidados que os quebram.
- [Staging de assinaturas e o período de prontidão para enforcement](https://ronutz.com/pt-BR/learn/awaf-signature-staging-and-enforcement-readiness.md): Staging é como o Advanced WAF permite que uma assinatura de ataque nova ou atualizada corresponda e registre sem bloquear, para que você a revise antes que ela possa rejeitar tráfego. Combinado com o período de prontidão para enforcement, isso significa que uma política pode estar em modo blocking e ainda assim não bloquear uma assinatura em staging. Veja como ler esse estado.
- [Tráfego de IA no BIG-IP: MCP de perfis a persistência e proteção](https://ronutz.com/pt-BR/learn/bigip-ai-mcp.md): O BIG-IP 21.0 ensinou o TMOS a falar Model Context Protocol com perfis HTTP, JSON e SSE; o 21.1 o tornou fluente, com um perfil de persistência nativo aimcp que prende uma sessão de IA a um backend usando um Mcp-Session-ID encapsulado e criptografado, e um template de política MCP Protection no Advanced WAF mirando o OWASP MCP Top 10: tool poisoning, exposição de segredos e injeção. Aqui está o que cada peça faz, verificado contra as release notes e manuais da F5, incluindo a ressalva que importa: respostas em streaming SSE não passam pela inspeção do lado da resposta.
- [WAF sobre QUIC: proteção web HTTP/3 no BIG-IP 21.1](https://ronutz.com/pt-BR/learn/bigip-http3-waf.md): O BIG-IP 21.1 estende o Advanced WAF, o Bot Defense e a proteção L7 DoS a virtual servers HTTP/3, com a mesma fidelidade de inspeção do HTTP/1.1 e do HTTP/2 e qualquer tipo de template de política. Os limites importam tanto quanto o recurso: apenas lado do cliente, sem DoS comportamental, sem criação de virtual server HTTP/3 pela UI do WAF, e a implementação de HTTP/3 do LTM continua experimental. Ao lado, o API Security ganha importação de OpenAPI 3.1 e o logging remoto ganha o formato Splunk key-value Extended.
