AWS WAF Regeln

Eine AWS WAF Regel definiert, wie HTTP (S) -Webanfragen geprüft werden und welche Aktion bei einer Anfrage zu ergreifen ist, wenn sie den Inspektionskriterien entspricht. Sie definieren Regeln nur im Kontext einer Regelgruppe oder Web-ACL.

Regeln existieren nicht für AWS WAF sich allein. Sie sind keine AWS Ressourcen und sie haben keine Amazon-Ressourcennamen (ARNs). Sie können über den Namen in der Regelgruppe oder die Web-ACL, in der sie definiert ist, auf eine Regel zugreifen. Sie können Regeln verwalten und sie in andere Web-ACLs kopieren, indem Sie die JSON-Ansicht der Regelgruppe oder Web-ACL verwenden, die die Regel enthält. Sie können sie auch über den AWS WAF Console Rule Builder verwalten, der für Web-ACLs und Regelgruppen verfügbar ist.

Regelname

Jede Regel benötigt einen Namen. Vermeiden Sie Namen, die mit Regelgruppen oder Regeln beginnen, die für Sie von anderen Diensten verwaltet werden, AWS und Namen, die für Sie verwendet werden. Siehe Regelgruppen, die von anderen Services bereitgestellt werden.

Anmerkung

Wenn Sie den Namen einer Regel ändern und möchten, dass der Metrikname der Regel die Änderung widerspiegelt, müssen Sie auch den Metriknamen aktualisieren. AWS WAF aktualisiert den Metriknamen für eine Regel nicht automatisch, wenn Sie den Regelnamen ändern. Sie können den Metriknamen ändern, wenn Sie die Regel in der Konsole bearbeiten, indem Sie den JSON-Editor für Regeln verwenden. Sie können beide Namen auch über die APIs und in jeder JSON-Liste ändern, mit der Sie Ihre Web-ACL oder Regelgruppe definieren.

Erklärung zur Regel

Jede Regel erfordert außerdem eine Regelaussage, die definiert, wie die Regel Webanfragen prüft. Die Regelanweisung kann je nach Regel und Anweisungstyp weitere, verschachtelte Anweisungen in beliebiger Tiefe enthalten. Einige Regelaussagen basieren auf einer Reihe von Kriterien. Sie können beispielsweise bis zu 10.000 IP-Adressen oder IP-Adressbereiche für eine IP-Set-Übereinstimmungsregel angeben.

Sie können Regeln definieren, die nach Kriterien wie den folgenden suchen:

• Skripts sind möglicherweise bösartig. Angreifer betten Skripts ein, die Sicherheitslücken in Webanwendungen ausnutzen. Dies wird als Cross-Site-Scripting (XSS) bezeichnet.

• IP-Adressen oder Adressbereiche, aus denen Anforderungen stammen.

• Land oder geografischer Standort, von dem die Anforderung stammt.

• Länge eines angegebenen Teils der Anforderung, z. B. die Abfragezeichenfolge.

• SQL-Code, der möglicherweise bösartig ist. Angreifer, die versuchen, Daten aus Ihrer Datenbank zu extrahieren, indem sie bösartigen SQL-Code in eine Webanforderung einbetten. Dies wird als SQL Injection bezeichnet.

• Zeichenfolgen, die in der Anforderung angezeigt werden, z. B. Werte im User-Agent-Header oder Textzeichenfolgen in der Abfragezeichenfolge. Sie können auch reguläre Ausdrücke (Regex) verwenden, um diese Zeichenfolgen anzugeben.

• Bezeichnungen, die vorherige Regeln in der Web-ACL der Anforderung hinzugefügt haben.

Zusätzlich zu Anweisungen mit Prüfkriterien für Webanfragen, wie die in der obigen Liste, werden logische Anweisungen fürAND, und AWS WAF unterstütztOR, NOT die Sie verwenden, um Anweisungen in einer Regel zu kombinieren.

Basierend auf aktuellen Anforderungen, die Sie von einem Angreifer erhalten haben, können Sie beispielsweise eine ratenbasierte Regel mit einer verschachtelten AND-Regelanweisung erstellen, die die folgenden verschachtelten Anweisungen kombiniert:

• Die Anforderungen stammen von 192.0.2.44.

• Sie enthalten den Wert BadBot im User-Agent-Header.

• Sie scheinen schädlichen SQL-ähnlichen Code in die Abfragezeichenfolge einzufügen.

In diesem Fall muss die Webanforderung mit allen Anweisungen übereinstimmen, damit die oberste AND-Anweisung übereinstimmt.

Themen

• Regelaktion
• Grundlagen der Regelerklärung
• Statements der Match-Regel
• Logische Regelaussagen
• Ratenbasierte Regelanweisung
• Regelgruppenregelanweisungen