Testen von Web-ACLs

Anmerkung

Dies ist die AWS WAF klassische Dokumentation. Sie sollten diese Version nur verwenden, wenn Sie AWS WAF Ressourcen wie Regeln und Web-ACLs AWS WAF vor November 2019 erstellt und diese noch nicht auf die neueste Version migriert haben. Informationen zum Migrieren Ihrer Ressourcen finden Sie unter Migrieren Sie Ihre AWS WAF Classic-Ressourcen zu AWS WAF.

Die neueste Version von AWS WAF finden Sie unter. AWS WAF

Um sicherzustellen, dass Sie AWS WAF Classic nicht versehentlich so konfigurieren, dass Webanfragen blockiert werden, die Sie zulassen möchten, oder Anfragen, die Sie blockieren möchten, zugelassen werden, empfehlen wir Ihnen, Ihre Web-ACL gründlich zu testen, bevor Sie sie auf Ihrer Website oder Webanwendung verwenden.

Zählen der Webanforderungen, die den Regeln in einer Web-ACL entsprechen

Wenn Sie einer Web-ACL Regeln hinzufügen, geben Sie an, ob AWS WAF Classic die Webanfragen zulassen, blockieren oder zählen soll, die alle Bedingungen in dieser Regel erfüllen. Wir empfehlen, mit der folgenden Konfiguration zu beginnen:

• Konfigurieren Sie alle Regeln in einer Web-ACL für das Zählen von Webanforderungen.

• Legen Sie als Standardaktion für die Web-ACL fest, dass Anforderungen zugelassen werden.

In dieser Konfiguration überprüft AWS WAF Classic jede Webanforderung auf der Grundlage der Bedingungen in der ersten Regel. Wenn die Webanforderung alle Bedingungen in dieser Regel erfüllt, erhöht AWS WAF Classic einen Zähler für diese Regel. Anschließend überprüft AWS WAF Classic die Webanforderung auf der Grundlage der Bedingungen in der nächsten Regel. Wenn die Anfrage alle Bedingungen in dieser Regel erfüllt, erhöht AWS WAF Classic einen Zähler für die Regel. Dies wird so lange fortgesetzt, bis AWS WAF Classic die Anfrage anhand der Bedingungen in all Ihren Regeln geprüft hat.

Nachdem Sie alle Regeln in einer Web-ACL zum Zählen von Anfragen konfiguriert und die Web-ACL mit einer Amazon API Gateway, CloudFront Distribution oder einem Application Load Balancer verknüpft haben, können Sie die resultierenden Zählungen in einem CloudWatch Amazon-Diagramm anzeigen. Für jede Regel in einer Web-ACL und für alle Anfragen, die API Gateway CloudFront oder ein Application Load Balancer für eine Web-ACL an AWS WAF Classic weiterleitet, CloudWatch können Sie:

• Anzeigen der Daten für die letzte Stunde oder für die letzten drei Stunden.

• Ändern der Intervalle zwischen Datenpunkten.

• Ändern Sie die Berechnung, CloudWatch die für die Daten ausgeführt wird, z. B. Maximum, Minimum, Durchschnitt oder Summe

Anmerkung

AWS WAF Classic with CloudFront ist ein globaler Service, und Metriken sind nur verfügbar, wenn Sie die Region USA Ost (Nord-Virginia) in der auswählen AWS Management Console. Wenn Sie eine andere Region wählen, werden keine AWS WAF Classic-Metriken in der CloudWatch Konsole angezeigt.

So zeigen Sie Daten für die Regeln in einer Web-ACL an

1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die CloudWatch Konsole unter https://console.aws.amazon.com/cloudwatch/.

2. Wählen Sie im Navigationsbereich unter Metrics die Option WAF aus.

3. Aktivieren Sie das Kontrollkästchen für die Web-ACL, für die Sie Daten anzeigen möchten.

4. Ändern Sie die geltenden Einstellungen:

   Statistik

   Wählen Sie die Berechnung CloudWatch aus, die mit den Daten durchgeführt wird.

   Zeitraum

   Wählen Sie aus, ob die Daten für die letzte Stunde oder für die letzten drei Stunden angezeigt werden sollen.

   Intervall

   Wählen Sie das Intervall zwischen den Datenpunkten in der Grafik aus.

   Regeln

   Wählen Sie die Regeln aus, für die Sie Daten anzeigen möchten.

   Beachten Sie Folgendes:

   • Wenn Sie gerade eine Web-ACL mit einer API Gateway Gateway-API, CloudFront Distribution oder einem Application Load Balancer verknüpft haben, müssen Sie möglicherweise einige Minuten warten, bis Daten im Diagramm und die Metrik für die Web-ACL in der Liste der verfügbaren Metriken angezeigt wird.

   • Wenn Sie einer Web-ACL mehr als eine API Gateway Gateway-API, CloudFront Distribution oder Application Load Balancer zuordnen, enthalten die CloudWatch Daten alle Anfragen für alle Distributionen, die mit der Web-ACL verknüpft sind.

   • Bewegen Sie den Cursor über einen Datenpunkt, um weitere Informationen zu erhalten.

   • Die Grafik wird nicht automatisch aktualisiert. Wählen Sie zum Aktualisieren der Anzeige das Symbol .

5. (Optional) Zeigen Sie detaillierte Informationen zu einzelnen Anfragen an, die API Gateway CloudFront oder ein Application Load Balancer an AWS WAF Classic weitergeleitet hat. Weitere Informationen finden Sie unter Ein Beispiel der Webanfragen anzeigen, die API Gateway CloudFront oder ein Application Load Balancer an Classic weitergeleitet AWS WAF hat.

6. Falls Sie feststellen, dass eine Regel Anforderungen abfängt, die nicht abgefangen werden sollen, ändern Sie die geltenden Einstellungen. Weitere Informationen finden Sie unter Erstellen und Konfigurieren einer Web-Zugriffskontrollliste (Web-ACL).

   Wenn alle Regeln nur die gewünschten Anforderungen abfangen und Sie zufrieden sind, ändern Sie die Aktion für die einzelnen Regeln zu Allow oder Block. Weitere Informationen finden Sie unter Bearbeiten einer Web-ACL.

Ein Beispiel der Webanfragen anzeigen, die API Gateway CloudFront oder ein Application Load Balancer an Classic weitergeleitet AWS WAF hat

In der AWS WAF Classic-Konsole können Sie sich ein Beispiel der Anfragen ansehen, die API Gateway CloudFront oder ein Application Load Balancer zur Überprüfung an AWS WAF Classic weitergeleitet hat. Sie können zu jeder Anforderung in der Stichprobe detaillierte Daten aufrufen, z. B. die ursprüngliche IP-Adresse und die Header. Des Weiteren können Sie anzeigen, mit welcher Regel die Anforderung übereinstimmt und ob diese Regel zum Blockieren oder Zulassen von Anforderungen konfiguriert wurde.

Eine Stichprobe kann bis zu 100 Anforderungen enthalten, die allen Bedingungen in allen Regeln entsprechen, und weitere 100 Anforderungen für die Standardaktion, die für Anforderungen gilt, die nicht mit allen Bedingungen in allen Regeln übereinstimmen. Die Anfragen im Beispiel stammen von allen API Gateway Gateway-APIs, CloudFront Edge-Standorten oder Application Load Balancern, die in den letzten 15 Minuten Anfragen für Ihre Inhalte erhalten haben.

Um ein Beispiel der Webanfragen anzuzeigen, die API Gateway CloudFront oder ein Application Load Balancer an Classic weitergeleitet AWS WAF hat

1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die AWS WAF Konsole unter https://console.aws.amazon.com/wafv2/.

   Wenn im Navigationsbereich die Option Zu AWS WAF Classic wechseln angezeigt wird, wählen Sie es aus.

2. Wählen Sie im Navigationsbereich die Web-ACL aus, für die Sie Anforderungen anzeigen möchten.

3. Wählen Sie im rechten Bereich die Registerkarte Requests aus.

   In der Tabelle Sampled requests werden für jede Anforderung die folgenden Werte angegeben:

   Quell-IP

   Entweder die IP-Adresse, von der die Anforderung stammt, oder – falls das Anzeigeprogramm zum Senden der Anforderung einen HTTP-Proxy oder einen Application Load Balancer verwendet hat – die IP-Adresse des Proxys oder des Application Load Balancer.

   URI

   Der URI-Pfad der Anfrage, der die Ressource identifiziert, /images/daily-ad.jpg z. B. Dies beinhaltet nicht die Abfragezeichenfolge oder die Fragmentkomponenten der URI. Informationen dazu finden Sie unter Uniform Resource Identifier (URI): Generic Syntax.

   Regelübereinstimmung

   Identifiziert die erste Regel der Web-ACL, bei der die Webanforderungen allen Bedingungen entspricht. Wenn eine Webanforderung nicht allen Bedingungen einer Regel der Web-ACL entspricht, wird für Matches rule der Wert Default verwendet.

   Beachten Sie: Wenn eine Webanforderung alle Bedingungen in einer Regel erfüllt und die Aktion für diese Regel „Anzahl“ lautet, überprüft AWS WAF Classic die Webanforderung weiterhin auf der Grundlage der nachfolgenden Regeln in der Web-ACL. In diesem Fall kann eine Webanforderung zweimal in der Liste der per Stichprobe geprüften Anforderungen vorhanden sein: einmal für die Regel mit der Aktion Count und einmal für eine nachfolgende Regel bzw. für die Standardaktion.

   Aktion

   Gibt an, ob die Aktion für die entsprechende Regel Allow, Block oder Count lautet.

   Zeit

   Der Zeitpunkt, zu dem AWS WAF Classic die Anfrage von API Gateway CloudFront oder Ihrem Application Load Balancer erhalten hat.

4. Um zusätzliche Informationen zu der Anfrage anzuzeigen, wählen Sie den Pfeil auf der linken Seite der IP-Adresse für diese Anfrage. AWS WAF Classic zeigt die folgenden Informationen an:

   Quell-IP

   Die gleiche IP-Adresse wie in der Spalte Source IP in der Tabelle.

   Land

   Der zweistellige Ländercode des Landes, aus dem die Anforderung stammt. Falls das Anzeigeprogramm zum Senden der Anforderung ein HTTP-Proxy oder einen Application Load Balancer verwendet hat, ist dies der zweistellige Ländercode des Landes, in dem sich der HTTP-Proxy oder der Application Load Balancer befindet.

   Eine Liste mit den zweistelligen Ländercodes und den zugehörigen Ländernamen finden Sie im Wikipedia-Eintrag ISO 3166-1 alpha-2.

   Methode

   Die HTTP-Anforderungsmethode für die Anforderung: GET, HEAD, OPTIONS, PUT, POST, PATCH oder DELETE.

   URI

   Die gleiche URI wie in der Spalte URI in der Tabelle.

   Anfordern von Headern

   Die Anforderungs-Header und Header-Werte der Anforderung.

5. Um die Liste der Beispiele für Anforderungen zu aktualisieren, wählen Sie Get new samples.