Erstellen einer Web-ACL - AWS WAFAWS Firewall Manager, und AWS Shield Advanced

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Erstellen einer Web-ACL

Um eine neue Web-ACL zu erstellen, verwenden Sie den Assistenten zum Erstellen von Web-ACLS gemäß dem Verfahren auf dieser Seite.

Risiken rund um Produktionsdatenverkehr

Bevor Sie Änderungen an Ihrer Web-ACL für den Produktionsdatenverkehr implementieren, sollten Sie diese in einer Staging- oder Testumgebung testen und anpassen, bis Sie mit den möglichen Auswirkungen auf Ihren Datenverkehr zufrieden sind. Testen und optimieren Sie anschließend Ihre aktualisierten Regeln im Zählmodus mit Ihrem Produktionsdatenverkehr, bevor Sie sie aktivieren. Anleitungen finden Sie unter Testen und Optimieren Ihrer AWS WAF Schutzmaßnahmen.

Anmerkung

Bei der Verwendung von mehr als 1.500 WCUs in einer Web-ACL fallen Kosten an, die über den Grundpreis für Web-ACL hinausgehen. Weitere Informationen finden Sie unter AWS WAF Web-ACL-Kapazitätseinheiten (WCUs) und Preise zu AWS WAF.

So erstellen Sie eine Web-ACL

  1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die AWS WAF Konsole unter https://console.aws.amazon.com/wafv2/.

  2. Wählen Sie im Navigationsbereich Web ACLs (Web-ACLs) und dann Create web ACL (Web-ACL erstellen).

  3. Geben Sie unter Name den Namen ein, mit dem Sie diese Web-ACL bezeichnen möchten.

    Anmerkung

    Sie können den Namen nach dem Erstellen der Web-ACL nicht mehr ändern.

  4. (Optional) Geben Sie für Description - optional (Beschreibung–optional) eine längere Beschreibung für die Web-ACL ein, wenn Sie möchten.

  5. Ändern Sie für den CloudWatch Metriknamen gegebenenfalls den Standardnamen. Befolgen Sie die Anweisungen zu gültigen Zeichen in der Konsole. Der Name darf keine Sonderzeichen, Leerzeichen oder Metriknamen enthalten, für die reserviert ist AWS WAF, einschließlich „All“ und „Default_Action“.

    Anmerkung

    Sie können den CloudWatch Metriknamen nicht mehr ändern, nachdem Sie die Web-ACL erstellt haben.

  6. Wählen Sie unter Ressourcentyp die AWS Ressourcenkategorie aus, die Sie dieser Web-ACL zuordnen möchten, entweder CloudFront Amazon-Distributionen oder Regionale Ressourcen. Weitere Informationen finden Sie unter Zuordnen oder Aufheben der Zuordnung einer Web-ACL zu einer Ressource AWS.

  7. Wenn Sie einen regionalen Ressourcentyp ausgewählt haben, wählen Sie unter Region die Region aus, in der Sie die Web-ACL speichern AWS WAF möchten.

    Sie müssen diese Option nur für regionale Ressourcentypen auswählen. Bei CloudFront Distributionen ist die Region fest auf die Region USA Ost (Nord-Virginia) codiertus-east-1, für globale (CloudFront) Anwendungen.

  8. (CloudFront, API Gateway, Amazon Cognito, App Runner und Verified Access) Für Inspektionsgrößenbeschränkungen für Webanfragen — optional, wenn Sie eine andere Größenbeschränkung für die Karosserieinspektion angeben möchten, wählen Sie die Obergrenze aus. Bei der Inspektion von Körpergrößen über dem Standardwert von 16 KB können zusätzliche Kosten anfallen. Weitere Informationen zu dieser Option finden Sie unter Verwaltung der Größenbeschränkungen bei Körperinspektionen.

  9. (Optional) Wählen Sie unter Zugeordnete AWS Ressourcen — optional, wenn Sie Ihre Ressourcen jetzt angeben möchten, die Option Ressourcen hinzufügen AWS aus. Wählen Sie im Dialogfeld die Ressourcen aus, die Sie zuordnen möchten, und klicken Sie dann auf Hinzufügen. AWS WAF kehrt zur Seite „Web-ACL und zugehörige AWS Ressourcen beschreiben“ zurück.

  10. Wählen Sie Weiter aus.

  11. (Optional) Wenn Sie verwaltete Regelgruppen hinzufügen möchten, wählen Sie auf der Seite Add rules and rule groups (Regeln und Regelgruppen) Add rules (Regeln hinzufügen) aus. Wählen Sie dann Add managed rule groups (Verwaltete Regelgruppen hinzufügen) aus. Führen Sie die folgenden Schritte für jede verwaltete Regelgruppe aus, die Sie hinzufügen möchten:

    1. Erweitern Sie auf der Seite Verwaltete Regelgruppen hinzufügen das Angebot für AWS verwaltete Regelgruppen oder für den AWS Marketplace Verkäufer Ihrer Wahl.

    2. Aktivieren Sie für die Regelgruppe, die Sie hinzufügen möchten, in der Spalte Aktion die Option Zur Web-ACL hinzufügen.

      Um anzupassen, wie Ihre Web-ACL die Regelgruppe verwendet, wählen Sie Bearbeiten. Im Folgenden finden Sie allgemeine Anpassungseinstellungen:

      • Überschreiben Sie die Regelaktionen für einige oder alle Regeln. Wenn Sie keine Aktion zum Außerkraftsetzen für eine Regel definieren, verwendet die Auswertung die Regelaktion, die innerhalb der Regelgruppe definiert ist. Weitere Informationen zu dieser Option finden Sie unter Aktionsüberschreibungen in Regelgruppen.

      • Reduzieren Sie den Umfang der Webanfragen, die von der Regelgruppe geprüft werden, indem Sie eine Scopedown-Anweisung hinzufügen. Weitere Informationen zu dieser Option finden Sie unter Eingrenzungsanweisungen.

      • Bei einigen verwalteten Regelgruppen müssen Sie zusätzliche Konfigurationen angeben. Weitere Informationen finden Sie in der Dokumentation Ihres Anbieters für verwaltete Regelgruppen. Spezifische Informationen zu den Regelgruppen für AWS verwaltete Regeln finden Sie unterAWS Verwaltete Regeln für AWS WAF.

      Wenn Sie mit Ihren Einstellungen fertig sind, wählen Sie Regel speichern.

    Wählen Sie Add rules (Regeln hinzufügen), um das Hinzufügen verwalteter Regeln abzuschließen und zur Seite Add rules and rule groups (Regeln und Regelgruppen hinzufügen) zurückzukehren.

  12. (Optional) Wenn Sie Ihre eigene Regelgruppe hinzufügen möchten, wählen Sie auf der Seite Add rules and rule groups (Regeln und Regelgruppen) Add rules (Regeln hinzufügen). Aus wählen Sie dann Add my own rules and rule groups (Eigene Regeln und Regelgruppen hinzufügen) aus. Führen Sie die folgenden Schritte für jede Regelgruppe aus, die Sie hinzufügen möchten:

    1. Wählen Sie auf der Seite Add my own rules and rule groups (Eigene Regeln und Regelgruppen hinzufügen) Rule group (Regelgruppe).

    2. Geben Sie unter Name den Namen ein, den Sie für die Regelgruppenregel in dieser Web-ACL verwenden möchten. Verwenden Sie keine Namen, die mitAWS, ShieldPreFM, oder beginnenPostFM. Diese Zeichenfolgen sind entweder reserviert oder könnten zu Verwechslungen mit Regelgruppen führen, die von anderen Diensten für Sie verwaltet werden. Siehe Regelgruppen, die von anderen Services bereitgestellt werden.

    3. Wählen Sie Ihre Regelgruppe aus der Liste aus.

      Anmerkung

      Wenn Sie die Regelaktionen für eine eigene Regelgruppe überschreiben möchten, speichern Sie sie zunächst in der Web-ACL und bearbeiten Sie dann die Web-ACL und die Regelgruppen-Referenzanweisung in der Regelliste der Web-ACL. Sie können die Regelaktionen mit jeder gültigen Aktionseinstellung überschreiben, genauso wie Sie es für verwaltete Regelgruppen tun können.

    4. Wählen Sie Regel hinzufügen aus.

  13. (Optional) Wenn Sie Ihre eigene Regelgruppe hinzufügen möchten, wählen Sie auf der Seite Add rules and rule groups (Regeln und Regelgruppen) Add rules (Regeln hinzufügen). Aus wählen Sie dann Add my own rules and rule groups (Eigene Regeln und Regelgruppen hinzufügen), Rule builder (Rule-Builder) und Rule visual editor (Visueller Regeleditor) aus.

    Anmerkung

    Der Visuelle Regel-Editor der Konsole unterstützt eine Verschachtelungsebene. Beispielsweise können Sie eine einzelne logische AND- oder OR-Anweisung verwenden und eine Ebene anderer Anweisungen darin verschachteln. Sie können logische Anweisungen jedoch nicht innerhalb logischer Anweisungen verschachteln. Um komplexere Regelanweisungen zu verwalten, verwenden Sie den JSON-Regel-Editor. Informationen zu allen Optionen für Regeln finden Sie unter AWS WAF Regeln.

    Diese Prozedur deckt den Visuellen Regel-Editor ab.

    1. Geben Sie unter Name den Namen ein, mit dem Sie diese Regel bezeichnen möchten. Verwenden Sie keine Namen, die mitAWS, ShieldPreFM, oder beginnenPostFM. Diese Zeichenfolgen sind entweder reserviert oder könnten zu Verwechslungen mit Regelgruppen führen, die von anderen Diensten für Sie verwaltet werden.

    2. Geben Sie Ihre Regeldefinition entsprechend Ihren Anforderungen ein. Sie können Regeln innerhalb von logischen AND- und OR-Regelanweisungen kombinieren. Der Assistent führt Sie je nach Kontext durch die Optionen der einzelnen Regeln. Informationen zu den Optionen Ihrer Regeln finden Sie unter AWS WAF Regeln.

    3. Wählen Sie unter Action (Aktion) die Aktion aus, die die Regel ausführen soll, wenn sie einer Webanforderung entspricht. Informationen zu Ihren Auswahlmöglichkeiten finden Sie unter Regelaktion und Auswertung von Web-ACL-Regeln und -Regelgruppen.

      Wenn Sie die ChallengeAktion CAPTCHAoder verwenden, passen Sie die Konfiguration der Immunitätszeit nach Bedarf für die Regel an. Wenn Sie die Einstellung nicht angeben, erbt die Regel sie von der Web-ACL. Um die Einstellungen für die Immunitätszeit der Web-ACL zu ändern, bearbeiten Sie die Web-ACL, nachdem Sie sie erstellt haben. Weitere Hinweise zu Immunitätszeiten finden Sie unterAblauf des Zeitstempels: Zeiten der Token-Immunität.

      Anmerkung

      Ihnen werden zusätzliche Gebühren berechnet, wenn Sie die Challenge Regelaktion CAPTCHA oder in einer Ihrer Regeln oder als Überschreibung von Regelaktionen in einer Regelgruppe verwenden. Weitere Informationen finden Sie unter AWS WAF -Preisgestaltung.

      Wenn Sie die Anfrage oder Antwort anpassen möchten, wählen Sie die Optionen dafür aus und geben Sie die Details der Anpassung ein. Weitere Informationen finden Sie unter Benutzerdefinierte Webanforderungen und Antworten in AWS WAF.

      Wenn Sie möchten, dass Ihre Regel Kennzeichnungen zu übereinstimmenden Webanforderungen hinzufügt, wählen Sie die Optionen dafür aus und geben Sie die Kennzeichnungsdetails ein. Weitere Informationen finden Sie unter AWS WAF Labels auf Webanfragen.

    4. Wählen Sie Regel hinzufügen aus.

  14. Wählen Sie die Standardaktion für die Web-ACL, entweder Block oderAllow. Dies ist die Aktion, die AWS WAF bei einer Anfrage ausgeführt wird, wenn die Regeln in der Web-ACL sie nicht explizit zulassen oder blockieren. Weitere Informationen finden Sie unter Die Web-ACL-Standardaktion.

    Wenn Sie die Standardaktion anpassen möchten, wählen Sie die Optionen dafür aus und geben Sie die Details der Anpassung ein. Weitere Informationen finden Sie unter Benutzerdefinierte Webanforderungen und Antworten in AWS WAF.

  15. Sie können eine Token-Domainliste definieren, um die gemeinsame Nutzung von Token zwischen geschützten Anwendungen zu ermöglichen. Tokens werden von den Challenge Aktionen CAPTCHA und von den SDKs für die Anwendungsintegration verwendet, die Sie implementieren, wenn Sie die Regelgruppen mit AWS verwalteten Regeln für die Erstellung von Konten zur AWS WAF Betrugsbekämpfung, zur Betrugsprävention (ACFP), AWS WAF zur Verhinderung von Kontoübernahmen (ATP) und zur AWS WAF Bot-Kontrolle verwenden.

    Öffentliche Suffixe sind nicht zulässig. Beispielsweise können Sie gov.au oder nicht co.uk als Token-Domain verwenden.

    AWS WAF Akzeptiert standardmäßig nur Token für die Domäne der geschützten Ressource. Wenn Sie Tokendomänen zu dieser Liste hinzufügen, AWS WAF akzeptiert Tokens für alle Domänen in der Liste und für die Domäne der zugehörigen Ressource. Weitere Informationen finden Sie unter Konfiguration der Domainliste für Web-ACL-Tokens.

  16. Wählen Sie Weiter.

  17. Wählen Sie auf der Seite Regelpriorität festlegen Ihre Regeln und Regelgruppen aus und verschieben Sie sie in die Reihenfolge, in der Sie sie verarbeiten AWS WAF möchten. AWS WAF verarbeitet Regeln, beginnend am Anfang der Liste. Wenn Sie die Web-ACL speichern, weist AWS WAF den Regeln in der Reihenfolge numerische Prioritätseinstellungen zu, in der Sie sie aufgeführt haben. Weitere Informationen finden Sie unter Reihenfolge der Verarbeitung von Regeln und Regelgruppen in einer Web-ACL.

  18. Wählen Sie Weiter.

  19. Sehen Sie sich die Optionen auf der Seite Configure metrics (Metriken konfigurieren) an und nehmen Sie alle erforderlichen Änderungen vor. Sie können Metriken aus mehreren Quellen kombinieren, indem Sie denselben CloudWatch Metriknamen für sie angeben.

  20. Wählen Sie Weiter aus.

  21. Überprüfen Sie auf der Seite Review and create web ACL (Überprüfen und Web-ACL erstellen) Ihre Definitionen. Wenn Sie einen Bereich ändern möchten, wählen Sie Edit (Bearbeiten) für den Bereich. Dadurch kehren Sie zur Seite im Web-ACL-Assistenten zurück. Nehmen Sie alle Änderungen vor und wählen Sie dann Next (Weiter), bis Sie zur Seiten Review and create web ACL (Überprüfen und Web-ACL erstellen) zurückkehren.

  22. Wählen Sie Create web ACL (Web-ACL erstellen) aus. Ihre neue Web-ACL wird auf der Seite Web-ACLs aufgelistet.