Einrichtung AWS WAF und seine Bestandteile - AWS WAFAWS Firewall Manager, und AWS Shield Advanced

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Einrichtung AWS WAF und seine Bestandteile

Dieses Tutorial zeigt, wie man es benutzt AWS WAF um die folgenden Aufgaben auszuführen:

  • Einrichten AWS WAF.

  • Erstellen Sie eine Web-Zugriffskontrollliste (WebACL) mithilfe des Assistenten im AWS WAF console.

  • Wählen Sie das Symbol AWS Ressourcen, die Sie benötigen AWS WAF um Webanfragen zu überprüfen. Dieses Tutorial behandelt die Schritte für Amazon CloudFront. Der Prozess ist im Wesentlichen derselbe für ein Amazon API Gateway RESTAPI, einen Application Load Balancer, ein AWS AppSync GraphQLAPI, ein Amazon Cognito Cognito-Benutzerpool, ein AWS App Runner Service oder ein AWS Instanz mit verifiziertem Zugriff.

  • Fügen Sie die Regeln und Regelgruppen hinzu, die Sie zum Filtern von Webanforderungen verwenden möchten. Sie können beispielsweise die IP-Adressen angeben, von denen die Anfragen stammen, und Werte in der Anfrage angeben, die nur von Angreifern verwendet werden. Sie geben für jede Regel an, wie übereinstimmende Webanforderungen behandelt werden. Sie können sie beispielsweise blockieren oder zählen und Sie können Bot-Herausforderungen ausführen wieCAPTCHA. Sie definieren eine Aktion für jede Regel, die Sie in einem Web definieren, ACL und für jede Regel, die Sie innerhalb einer Regelgruppe definieren.

  • Geben Sie entweder eine Standardaktion für das Web ACL an Block or Allow. Das ist die Aktion, die AWS WAF nimmt eine Anfrage entgegen, wenn die Regeln im Web sie ACL nicht explizit zulassen oder blockieren.

Anmerkung

AWS berechnet Ihnen in der Regel weniger als 0,25 USD pro Tag für die Ressourcen, die Sie in diesem Tutorial erstellen. Wenn Sie das Tutorial beendet haben, empfehlen wir, dass Sie die Ressourcen löschen, um unnötige Kosten zu vermeiden.

Schritt 1: Einrichten von AWS WAF

Wenn Sie die allgemeinen Einrichtungsschritte unter noch nicht befolgt habenEinrichtung Ihres Kontos für die Nutzung der Dienste, tun Sie dies jetzt.

Schritt 2: Erstellen Sie ein Web ACL

Das Tool AWS WAF Die Konsole führt Sie durch den Konfigurationsprozess AWS WAF um Webanfragen auf der Grundlage von Kriterien zu blockieren oder zuzulassen, die Sie angeben, wie z. B. die IP-Adressen, von denen die Anfragen stammen, oder die Werte in den Anfragen. In diesem Schritt erstellen Sie ein WebACL. Weitere Informationen zur AWS WAF WebACLs, sieheWeb verwenden ACLs in AWS WAF.

Um ein Web zu erstellen ACL
  1. Melden Sie sich an bei AWS Management Console und öffne das AWS WAF Konsole bei https://console.aws.amazon.com/wafv2/.

  2. Aus dem AWS WAF Wählen Sie auf der Startseite die Option Web erstellen ausACL.

  3. Geben Sie unter Name den Namen ein, mit dem Sie dieses Web identifizieren möchtenACL.

    Anmerkung

    Sie können den Namen nicht mehr ändern, nachdem Sie das Web erstellt habenACL.

  4. (Optional) Geben Sie unter Beschreibung — optional eine längere Beschreibung für das Web ein, ACL wenn Sie möchten.

  5. Ändern Sie für den CloudWatch Metriknamen gegebenenfalls den Standardnamen. Befolgen Sie die Anweisungen zu gültigen Zeichen in der Konsole. Der Name darf keine Sonderzeichen, Leerzeichen oder Metriknamen enthalten, die reserviert sind für AWS WAF, einschließlich „All“ und „Default_Action“.

    Anmerkung

    Sie können den CloudWatch Metriknamen nicht mehr ändern, nachdem Sie das Web erstellt haben. ACL

  6. Wählen Sie als Ressourcentyp die Option CloudFrontVerteilungen aus. Die Region wird bei Verteilungen automatisch mit Global (CloudFront) aufgefüllt. CloudFront

  7. (Optional) Für Zugeordnet AWS Ressourcen — optional, wählen Sie Hinzufügen AWS Ressourcen. Wählen Sie im Dialogfeld die Ressourcen aus, die Sie zuordnen möchten, und klicken Sie dann auf Hinzufügen. AWS WAF bringt Sie zurück zum Describe-Web ACL und den zugehörigen AWS Seite mit Ressourcen.

  8. Wählen Sie Weiter.

Schritt 3: Hinzufügen einer Zeichenfolgen-Übereinstimmungsregel

In diesem Schritt erstellen Sie eine Regel mit einer Zeichenfolgen-Übereinstimmungsanweisung und geben an, was mit übereinstimmenden Anforderungen zu tun ist. Eine Regelanweisung zum Abgleich von Zeichenketten identifiziert Zeichenketten, die Sie benötigen AWS WAF nach denen in einer Anfrage gesucht werden soll. Normalerweise besteht eine Zeichenfolge aus druckbaren ASCII Zeichen, aber Sie können jedes beliebige Zeichen von hexadezimal 0x00 bis 0xFF (dezimal 0 bis 255) angeben. Zusätzlich zur Angabe der Zeichenfolge, nach der gesucht werden soll, geben Sie die zu suchende Webanforderungskomponente an, etwa einen Header, eine Abfragezeichenfolge oder den Anforderungstext.

Dieser Anweisungstyp arbeitet mit einer Webanforderungskomponente und erfordert die folgenden Einstellungen für Anforderungskomponenten:

  • Anforderungskomponente — Der Teil der Webanforderung, der überprüft werden soll, z. B. eine Abfragezeichenfolge oder der Hauptteil.

    Warnung

    Wenn Sie die Anforderungskomponenten Body, JSONBody, Header oder Cookies untersuchen, sollten Sie sich über die Einschränkungen bezüglich der Inhaltsmenge informieren AWS WAF kann eingesehen werden unter. Umgang mit übergroßen Webanforderungskomponenten in AWS WAF

    Informationen über Webanforderungskomponenten finden Sie unter Anpassen der Einstellungen für Regelanweisungen in AWS WAF.

  • Optionale Texttransformationen — Transformationen, die Sie möchten AWS WAF an der Anforderungskomponente durchzuführen, bevor sie überprüft wird. Sie könnten beispielsweise in Kleinschreibung umwandeln oder Leerzeichen normalisieren. Wenn Sie mehr als eine Transformation angeben, AWS WAF verarbeitet sie in der angegebenen Reihenfolge. Weitere Informationen finden Sie unter Verwenden von Texttransformationen in AWS WAF.

Für weitere Informationen über AWS WAF Regeln finden Sie unterDie Verwendung von AWS WAF Regeln.

So erstellen Sie eine Anweisung zur Erstellung einer Zeichenfolgen-Übereinstimmungsregel
  1. Wählen Sie auf der Seite Add rules and rule groups (Regeln und Regelgruppen hinzufügen) Add rules (Regeln hinzufügen), Add my own rules and rule groups (Eigene Regeln und Regelgruppen hinzufügen), Rule-Builder und Rule visual editor (Visueller Regel-Editor).

    Anmerkung

    Die Konsole bietet den visuellen Editor für Regeln sowie einen JSONRegeleditor. Der JSON Editor erleichtert Ihnen das Kopieren von Konfigurationen zwischen Websites ACLs und ist für komplexere Regelsätze erforderlich, z. B. solche mit mehreren Verschachtelungsebenen.

    Bei diesem Verfahren wird der Visuelle Regel-Editor verwendet.

  2. Geben Sie unter Name den Namen ein, mit dem Sie diese Regel bezeichnen möchten.

  3. Wählen Sie für Type (Typ) Rule (Regel).

  4. Für If a request (Wenn eine Anforderung) wählen Sie matches the statement (entspricht der Anweisung) aus.

    Die anderen Optionen sind für die logischen Regelanweisungstypen bestimmt. Diese können sie verwenden, um die Ergebnisse anderer Regelanweisungen zu kombinieren oder zu negieren.

  5. Öffnen Sie unter Statement für Inspect das Drop-down-Menü und wählen Sie die gewünschte Webanforderungskomponente aus AWS WAF zu inspizieren. Wählen Sie für dieses Beispiel Single header aus.

    Wenn Sie Einzelner Header wählen, geben Sie auch an, welchen Header Sie möchten AWS WAF zu inspizieren. Geben Sie User-Agent ein. Dieser Wert wird nicht nach Groß- und Kleinschreibung unterschieden.

  6. Wählen Sie für Match type (Übereinstimmungstyp) aus, wo die angegebene Zeichenfolge im User-Agent-Header erscheinen soll.

    Wählen Sie für dieses Beispiel Exactly matches string (Stimmt exakt mit Zeichenfolge überein). Das deutet darauf hin AWS WAF untersucht den User-Agent-Header in jeder Webanforderung auf eine Zeichenfolge, die mit der von Ihnen angegebenen Zeichenfolge identisch ist.

  7. Geben Sie die gewünschte Zeichenfolge an, damit die Zeichenfolge übereinstimmt AWS WAF nach dem gesucht werden soll. Die maximale Länge von String to match (Zeichenfolge für Übereinstimmung) beträgt 200 Zeichen. Wenn Sie einen base64-codierten Wert angeben möchten, können Sie vor der Kodierung bis zu 200 Zeichen angeben.

    Geben Sie für dieses Beispiel MyAgent ein. AWS WAF untersucht den User-Agent Header in Webanfragen auf den WertMyAgent.

  8. Lassen Sie Text transformation (Texttransformation) auf None (Keine).

  9. Wählen Sie unter Action (Aktion) die Aktion aus, die die Regel ausführen soll, wenn sie einer Webanforderung entspricht. Wählen Sie in diesem Beispiel Count (Anzahl) und lassen Sie die anderen Optionen so, wie sie sind. Durch die Aktion „Count“ (Anzahl) werden Metriken für Webanforderungen erstellt, die mit der Regel übereinstimmen (ohne Einfluss darauf, ob die Anforderung zugelassen oder blockiert ist). Weitere Informationen zur Auswahl von Aktionen finden Sie unter Verwenden von Regelaktionen in AWS WAF und Verwenden des ACLs Webs mit Regeln und Regelgruppen in AWS WAF.

  10. Wählen Sie Regel hinzufügen aus.

Schritt 4: Fügen Sie eine hinzu AWS Regelgruppe „Verwaltete Regeln“

AWS Managed Rules bietet Ihnen eine Reihe von verwalteten Regelgruppen, von denen die meisten für Sie kostenlos sind AWS WAF Kunden. Weitere Informationen zu Regelgruppen finden Sie unter Die Verwendung von AWS WAF Regelgruppen. Wir fügen eine hinzu AWS Regelgruppe für verwaltete Regeln zu diesem WebACL.

Um eine hinzuzufügen AWS Regelgruppe für verwaltete Regeln
  1. Wählen Sie auf der Seite Add rules and rule groups (Regeln und Regelgruppen hinzufügen) Add rules (Regeln hinzufügen), und wählen Sie dann Add managed rule groups (Verwaltete Regelgruppen hinzufügen).

  2. Erweitern Sie auf der Seite Verwaltete Regelgruppen hinzufügen die Liste für AWS verwaltete Regelgruppen. (Sie sehen auch Angebote für AWS Marketplace Verkäufer. Sie können ihre Angebote abonnieren und sie dann auf die gleiche Weise nutzen wie für AWS Regelgruppen für verwaltete Regeln.)

  3. Führen Sie die folgenden Schritte für die Regelgruppe aus, die Sie hinzufügen möchten:

    1. Aktivieren Sie in der Spalte Aktion die ACL Option Zum Web hinzufügen.

    2. Wählen Sie Bearbeiten aus und öffnen Sie in der Liste Regeln der Regelgruppe die Dropdownliste Alle Regelaktionen außer Kraft setzen und wählen Sie Count. Dadurch wird festgelegt, dass die Aktion für alle Regeln in der Regelgruppe nur zählt. Auf diese Weise können Sie sehen, wie sich alle Regeln der Regelgruppe mit Ihren Webanforderungen verhalten, bevor Sie einzelne davon verwenden.

    3. Wählen Sie Save rule (Regel speichern).

  4. Wählen Sie auf der Seite Add managed rule groups (Verwaltete Regelgruppen hinzufügen) die Option Add rules (Regeln hinzufügen). Nun werden Sie wieder zur Seite Add rules and rule groups (Regeln und Regelgruppen hinzufügen) geleitet.

Schritt 5: Beenden Sie Ihre ACL Webkonfiguration

Wenn Sie mit dem Hinzufügen von Regeln und Regelgruppen zu Ihrer ACL Webkonfiguration fertig sind, verwalten Sie abschließend die Priorität der Regeln im Web ACL und konfigurieren Sie Einstellungen wie Metriken, Tagging und Protokollierung.

Um Ihre ACL Webkonfiguration abzuschließen
  1. Wählen Sie auf der Seite Add rules and rule groups (Regeln und Regelgruppen hinzufügen) die Option Next (Weiter).

  2. Auf der Seite Regelpriorität festlegen können Sie die Verarbeitungsreihenfolge für die Regeln und Regelgruppen im Internet sehenACL. AWS WAF verarbeitet sie ab dem Anfang der Liste. Sie können die Verarbeitungsreihenfolge ändern, indem Sie die Regeln nach oben oder unten verschieben. Wählen Sie dazu eine in der Liste aus und wählen Sie Move up (Nach oben verschieben) oder Move down (Nach unten verschieben). Weitere Informationen zur Priorität von Regeln finden Sie unter Regelpriorität in einem Web festlegen ACL.

  3. Wählen Sie Weiter.

  4. Auf der Seite Metriken konfigurieren für CloudWatchAmazon-Metriken können Sie die geplanten Metriken für Ihre Regeln und Regelgruppen sowie die Sampling-Optionen für Webanfragen einsehen. Informationen zum Anzeigen von Stichprobenanforderungen finden Sie unter Anzeigen einer Stichprobe von Webanforderungen. Informationen zu CloudWatch Amazon-Metriken finden Sie unterÜberwachung mit Amazon CloudWatch.

    Sie können auf Zusammenfassungen der Web-Traffic-Metriken auf ACL der Webseite im AWS WAF Konsole, unter dem Tab Verkehrsübersicht. Die Konsolen-Dashboards bieten fast in Echtzeit Zusammenfassungen der CloudWatch Amazon-Metriken im InternetACL. Weitere Informationen finden Sie unter Dashboards zur Übersicht über den Web-ACL-Verkehr.

  5. Wählen Sie Weiter.

  6. Überprüfen Sie auf der ACLWebseite „Überprüfen und erstellen“ Ihre Einstellungen und wählen Sie dann Create Web aus. ACL

Mit dem Assistenten kehren Sie zur ACLWebseite zurück, auf der Ihre neue Website aufgeführt ACL ist.

Schritt 6: Bereinigen Ihrer Ressourcen

Sie haben das Tutorial jetzt erfolgreich abgeschlossen. Um zu verhindern, dass für Ihr Konto zusätzliche Summen anfallen AWS WAF Gebühren, bereinigen Sie das AWS WAF Objekte, die Sie erstellt haben. Alternativ können Sie die Konfiguration so ändern, dass sie den Webanforderungen entspricht, mit denen Sie wirklich verwalten möchten AWS WAF.

Anmerkung

AWS In der Regel werden Ihnen weniger als 0,25 USD pro Tag für die Ressourcen in Rechnung gestellt, die Sie in diesem Tutorial erstellen. Wenn Sie fertig sind, empfehlen wir, dass Sie die Ressourcen löschen, um unnötige Kosten zu vermeiden.

Um die Objekte zu löschen, die AWS WAF Gebühren für
  1. Wählen Sie auf der ACLWebseite Ihre Website ACL aus der Liste aus und klicken Sie auf Bearbeiten.

  2. Auf der Seite Assoziiert AWS Wählen Sie auf der Registerkarte Ressourcen für jede zugeordnete Ressource das Optionsfeld neben dem Ressourcennamen aus und klicken Sie dann auf Zuordnung trennen. Dadurch wird die Verbindung zwischen dem Internet und Ihrem ACL AWS Ressourcen schätzen.

  3. Wählen Sie in jedem der folgenden Bildschirme Weiter, bis Sie zur ACLWebseite zurückkehren.

    Wählen Sie auf der ACLWebseite Ihr Web ACL aus der Liste aus und klicken Sie auf Löschen.

Regeln und Regelanweisungen existieren nicht außerhalb von Regelgruppen- und ACL Webdefinitionen. Wenn Sie ein Web löschenACL, werden dadurch alle individuellen Regeln gelöscht, die Sie im Web ACL definiert haben. Wenn Sie eine Regelgruppe aus einem Web entfernenACL, entfernen Sie einfach den Verweis darauf.