Erstellen einer Web-ACL - AWS WAFAWS Firewall Manager, und AWS Shield Advanced

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Erstellen einer Web-ACL

Anmerkung

Dies ist die AWS WAF klassische Dokumentation. Sie sollten diese Version nur verwenden, wenn Sie AWS WAF Ressourcen wie Regeln und Web-ACLs AWS WAF vor November 2019 erstellt und diese noch nicht auf die neueste Version migriert haben. Informationen zum Migrieren Ihrer Ressourcen finden Sie unter Migrieren Sie Ihre AWS WAF Classic-Ressourcen zu AWS WAF.

Die neueste Version von AWS WAF finden Sie unter. AWS WAF

So erstellen Sie eine Web-ACL

  1. Melden Sie sich unter https://console.aws.amazon.com/wafv2/ bei der an AWS Management Console und öffnen Sie die AWS WAF Konsole.

    Wenn im Navigationsbereich die Option Zu AWS WAF Classic wechseln angezeigt wird, wählen Sie es aus.

  2. Wenn Sie AWS WAF Classic zum ersten Mal verwenden, wählen Sie Go to AWS WAF Classic und dann Configure Web ACL. Wenn Sie AWS WAF Classic schon einmal verwendet haben, wählen Sie im Navigationsbereich Web-ACLs und dann Web-ACL erstellen aus.

  3. Geben Sie unter Web-ACL-Name einen Namen ein.

    Anmerkung

    Sie können den Namen nach dem Erstellen der Web-ACL nicht mehr ändern.

  4. Ändern Sie für den CloudWatch Metriknamen gegebenenfalls den Standardnamen. Der Name darf nur alphanumerische Zeichen (A-Z, a-z, 0-9) mit höchstens 128 und mindestens einem Zeichen enthalten. Er darf keine Leerzeichen oder Metriknamen enthalten, die für AWS WAF Classic reserviert sind, einschließlich „All“ und „Default_Action“.

    Anmerkung

    Sie können den Namen nach dem Erstellen der Web-ACL nicht mehr ändern.

  5. Wählen Sie unter -Region eine Region aus.

  6. Wählen Sie für AWS resource die Ressource aus, die Sie mit dieser Web-ACL verknüpfen möchten, und dann Next.

  7. Wenn Sie bereits die Bedingungen erstellt haben, die AWS WAF Classic zur Prüfung Ihrer Webanfragen verwenden soll, wählen Sie Weiter und fahren Sie dann mit dem nächsten Schritt fort.

    Wenn Sie noch keine Bedingungen erstellt haben, holen Sie diesen Schritt jetzt nach. Weitere Informationen finden Sie unter den folgenden Themen:

  8. Wenn Sie die Regeln oder Regelgruppen, die Sie zu dieser Web-ACL hinzufügen möchten, bereits erstellt (oder eine AWS Marketplace Regelgruppe abonniert) haben, fügen Sie die Regeln der Web-ACL hinzu:

    1. Wählen Sie eine Regel in der Rules-Liste aus.

    2. Wählen Sie Add rule to web ACL.

    3. Wiederholen Sie die Schritte a und b, bis Sie dieser Web-ACL alle gewünschten Regeln hinzugefügt haben.

    4. Fahren Sie mit Schritt 10 fort.

  9. Wenn Sie noch keine Regeln erstellt haben, können Sie jetzt Regeln hinzufügen:

    1. Wählen Sie Regel erstellen aus.

    2. Geben Sie die folgenden Werte ein:

      Name

      Geben Sie einen Namen ein.

      CloudWatch Name der Metrik

      Geben Sie einen Namen für die CloudWatch Metrik ein, die AWS WAF Classic erstellen und der Regel zuordnen wird. Der Name darf nur alphanumerische Zeichen (A-Z, a-z, 0-9) mit höchstens 128 und mindestens einem Zeichen enthalten. Er darf keine Leerzeichen oder Metriknamen enthalten, die für AWS WAF Classic reserviert sind, einschließlich „All“ und „Default_Action“.

      Anmerkung

      Sie können den Metriknamen nach dem Erstellen der Regel nicht mehr ändern.

    3. Wenn Sie der Regel eine Bedingung hinzufügen möchten, geben Sie die folgenden Werte an:

      Eine Anforderung entspricht/entspricht nicht

      Wenn Sie möchten, dass AWS WAF Classic Anfragen, die auf den Filtern in einer Bedingung basieren, zulässt oder blockiert, z. B. Webanfragen, die aus dem IP-Adressbereich 192.0.2.0/24 stammen, wählen Sie does.

      Wenn AWS WAF Classic Anfragen zulassen oder blockieren soll, die auf der Umkehrung der Filter in einer Bedingung basieren, wählen Sie „Nicht“. Wenn eine IP-Übereinstimmungsbedingung beispielsweise den IP-Adressbereich 192.0.2.0/24 umfasst und Sie möchten, dass AWS WAF Classic Anfragen zulässt oder blockiert, die nicht von diesen IP-Adressen stammen, wählen Sie „Nicht“.

      übereinstimmen mit/stammen von

      Wählen Sie die Art der Bedingung aus, die Sie der Regel hinzufügen möchten:

      • Siteübergreifende Scripting-Übereinstimmungsbedingungen — Wählen Sie, ob mindestens einem der Filter in der Abgleichsbedingung für standortübergreifendes Scripting entsprechen muss

      • IP-Übereinstimmungsbedingungen — wählen Sie, ob sie von einer IP-Adresse stammen aus

      • Geo-Match-Bedingungen — wählen Sie aus, dass sie von einem geografischen Standort stammen in

      • Größenbeschränkungsbedingungen — Wählen Sie aus, ob mindestens einer der Filter in der Größenbeschränkungsbedingung entspricht

      • Übereinstimmungsbedingungen für SQL-Injection — Wählen Sie aus, ob mindestens einer der Filter in der SQL-Injection-Abgleichsbedingung entspricht

      • Bedingungen für den Abgleich von Zeichenketten — wählen Sie, ob mindestens einer der Filter in der Bedingung für die Übereinstimmung mit Zeichenketten übereinstimmen muss

      • Regex-Übereinstimmungsbedingungen — Wählen Sie aus, ob mindestens einer der Filter in der Regex-Abgleichsbedingung übereinstimmt

      Bedingungsname

      Wählen Sie die Bedingung aus, die Sie der Regel hinzufügen möchten. Die Liste enthält nur Bedingungen des Typs, den Sie in der vorherigen Liste ausgewählt haben.

    4. Wenn Sie der Regel eine weitere Bedingung hinzufügen möchten, wählen Sie Add another condition (Weitere Bedingung hinzufügen) aus und wiederholen Sie dann die Schritte b und c. Beachten Sie Folgendes:

      • Wenn Sie mehr als eine Bedingung hinzufügen, muss eine Webanforderung mindestens einem Filter in jeder Bedingung entsprechen, damit AWS WAF Classic Anfragen, die auf dieser Regel basieren, zulässt oder blockiert.

      • Wenn Sie derselben Regel zwei IP-Übereinstimmungsbedingungen hinzufügen, lässt AWS WAF Classic nur Anfragen zu oder blockiert, die von IP-Adressen stammen, die in beiden IP-Übereinstimmungsbedingungen vorkommen.

    5. Wiederholen Sie Schritt 9, bis Sie alle Regeln für diese Web-ACL erstellt haben.

    6. Wählen Sie Erstellen.

    7. Fahren Sie mit Schritt 10 fort.

  10. Wählen Sie für jede Regel oder Regelgruppe in der Web-ACL wie folgt die Art der Verwaltung aus, die AWS WAF Classic bereitstellen soll:

    • Wählen Sie für jede Regel anhand der Bedingungen in der Regel aus, ob AWS WAF Classic Webanfragen zulassen, blockieren oder zählen soll:

      • Zulassen — API Gateway CloudFront oder ein Application Load Balancer antwortet mit dem angeforderten Objekt. Im Fall von CloudFront, wenn sich das Objekt nicht im Edge-Cache befindet, CloudFront leitet die Anfrage an den Ursprung weiter.

      • Blockieren — API Gateway CloudFront oder ein Application Load Balancer antwortet auf die Anfrage mit einem HTTP-Statuscode 403 (Forbidden). CloudFront kann auch mit einer benutzerdefinierten Fehlerseite antworten. Weitere Informationen finden Sie unter Verwenden von AWS WAF Classic mit CloudFront benutzerdefinierten Fehlerseiten.

      • Anzahl — AWS WAF Classic erhöht einen Zähler von Anfragen, die den Bedingungen in der Regel entsprechen, und überprüft dann die Webanforderung auf der Grundlage der verbleibenden Regeln in der Web-ACL weiter.

        Informationen darüber, wie Sie mit Count eine Web-ACL testen können, bevor Sie sie zum Zulassen oder Blockieren von Webanforderungen verwenden, finden Sie unter Zählen der Webanforderungen, die den Regeln in einer Web-ACL entsprechen.

    • Legen Sie für jede Regelgruppe die Überschreibungsaktion für die Regelgruppe fest:

      • Keine Überschreibung — Bewirkt, dass die Aktionen der einzelnen Regeln innerhalb der Regelgruppe verwendet werden.

      • Überschreiben, um zu zählen — Überschreibt alle Blockaktionen, die durch einzelne Regeln in der Gruppe spezifiziert sind, sodass nur alle übereinstimmenden Anfragen gezählt werden.

      Weitere Informationen finden Sie unter Überschreiben der Regelgruppe.

  11. Wenn Sie die Reihenfolge der Regeln in der Web-ACL ändern möchten, verwenden Sie die Pfeile in der Spalte Reihenfolge. AWS WAF Classic überprüft Webanfragen anhand der Reihenfolge, in der Regeln in der Web-ACL erscheinen.

  12. Wenn Sie eine Regel entfernen möchten, die Sie der Web-ACL hinzugefügt haben, wählen Sie x in der Zeile der Regel aus.

  13. Wählen Sie die Standardaktion für die Web-ACL aus. Dies ist die Aktion, die AWS WAF Classic ergreift, wenn eine Webanforderung nicht den Bedingungen in einer der Regeln in dieser Web-ACL entspricht. Weitere Informationen finden Sie unter Bestimmen der Standardaktion für eine Web-ACL.

  14. Wählen Sie Review and create.

  15. Überprüfen Sie die Einstellungen für die Web-ACL, und wählen Sie dann Confirm and create.