Bereiten Sie sich darauf vor, Ihre AWS WAF Schutzmaßnahmen zu testen - AWS WAF, AWS Firewall ManagerAWS Shield Advanced, und Direktor für AWS Shield Netzwerksicherheit

Wir stellen vor: ein neues Konsolenerlebnis für AWS WAF

Sie können das aktualisierte Erlebnis jetzt verwenden, um überall in der Konsole auf AWS WAF Funktionen zuzugreifen. Weitere Details finden Sie unter Arbeiten mit der aktualisierten Konsolenerfahrung.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Bereiten Sie sich darauf vor, Ihre AWS WAF Schutzmaßnahmen zu testen

In diesem Abschnitt wird beschrieben, wie Sie sich einrichten, um Ihre AWS WAF Schutzmaßnahmen zu testen und zu optimieren.

Anmerkung

Um den Anleitungen in diesem Abschnitt folgen zu können, müssen Sie allgemein wissen, wie AWS WAF Schutzpakete (Web ACLs), Regeln und Regelgruppen erstellt und verwaltet werden. Diese Informationen wurden in früheren Abschnitten dieses Handbuchs behandelt.

Um sich auf den Test vorzubereiten
  1. Aktivieren Sie die Protokollierung des Protection Packs (Web ACL), CloudWatch Amazon-Metriken und das Sampling von Webanfragen für das Protection Pack (Web-ACL)

    Verwenden Sie Protokollierung, Metriken und Sampling, um die Interaktion der Regeln des Protection Packs (Web-ACL) mit Ihrem Web-Traffic zu überwachen.

    • Protokollierung — Sie können so konfigurieren AWS WAF , dass die Webanfragen protokolliert werden, die ein Protection Pack (Web-ACL) auswertet. Sie können CloudWatch Protokolle an Logs, einen Amazon S3 S3-Bucket oder einen Amazon Data Firehose-Lieferstream senden. Sie können Felder unkenntlich machen und Filter anwenden. Weitere Informationen finden Sie unter Protokollierung AWS WAF des Datenverkehrs mit dem Protection Pack (Web-ACL).

    • Amazon Security Lake — Sie können Security Lake so konfigurieren, dass Schutzpaket-Daten (Web-ACL) gesammelt werden. Security Lake sammelt Protokoll- und Ereignisdaten aus verschiedenen Quellen zur Normalisierung, Analyse und Verwaltung. Informationen zu dieser Option finden Sie unter Was ist Amazon Security Lake? und Sammeln von Daten von AWS Diensten im Amazon Security Lake-Benutzerhandbuch.

    • CloudWatch Amazon-Metriken — Geben Sie in Ihrer Protection Pack-Konfiguration (Web-ACL) Metrikspezifikationen für alles an, was Sie überwachen möchten. Sie können Metriken über die CloudWatch Konsolen AWS WAF und anzeigen. Weitere Informationen finden Sie unter Überwachung mit Amazon CloudWatch.

    • Stichprobe von Webanfragen — Sie können sich ein Beispiel aller Webanfragen ansehen, die Ihr Protection Pack (Web-ACL) auswertet. Informationen zum Sampling von Webanforderungen finden Sie unter Anzeigen einer Stichprobe von Webanforderungen.

  2. Stellen Sie Ihren Schutz auf Modus Count

    Schalten Sie in der Konfiguration Ihres Schutzpakets (Web-ACL) alles, was Sie testen möchten, in den Zählmodus um. Dadurch zeichnet der Testschutz Übereinstimmungen mit Webanfragen auf, ohne die Art und Weise zu ändern, wie die Anfragen behandelt werden. Sie können die Treffer in Ihren Metriken, Protokollen und Stichprobenanfragen sehen, um die Übereinstimmungskriterien zu überprüfen und zu verstehen, welche Auswirkungen dies auf Ihren Web-Traffic haben könnte. Regeln, die übereinstimmenden Anfragen Labels hinzufügen, fügen unabhängig von der Regelaktion Labels hinzu.

    • Im Schutzpaket definierte Regel (Web-ACL) — Bearbeiten Sie die Regeln im Schutzpaket (Web-ACL) und legen Sie ihre Aktionen auf festCount.

    • Regelgruppe — Bearbeiten Sie in der Konfiguration Ihres Schutzpakets (Web-ACL) die Regelaussage für die Regelgruppe und öffnen Sie im Bereich Regeln die Dropdownliste Alle Regelaktionen außer Kraft setzen und wählen Sie aus Count. Wenn Sie das Schutzpaket (Web-ACL) in JSON verwalten, fügen Sie die Regeln zu den RuleActionOverrides Einstellungen in der Referenzerklärung zur Regelgruppe hinzu, wobei der Wert auf ActionToUse Count gesetzt ist. Die folgende Beispielliste zeigt Überschreibungen für zwei Regeln in der Regelgruppe „AWSManagedRulesAnonymousIpList AWS Verwaltete Regeln“. 

        "ManagedRuleGroupStatement": {
    "VendorName": "AWS",
    "Name": "AWSManagedRulesAnonymousIpList",
      "RuleActionOverrides": [
        {
          "ActionToUse": {
            "Count": {}
          },
          "Name": "AnonymousIPList"
        },
        {
          "ActionToUse": {
            "Count": {}
          },
          "Name": "HostingProviderIPList"
        }
      ],
      "ExcludedRules": []
    }
  },

      Weitere Informationen über das Außerkraftsetzen von Regelaktionen finden Sie unter. Regelaktionen in einer Regelgruppe überschreiben

      Ändern Sie für Ihre eigene Regelgruppe nicht die Regelaktionen in der Regelgruppe selbst. Regelgruppenregeln mit Count Aktion generieren nicht die Metriken oder anderen Artefakte, die Sie für Ihre Tests benötigen. Darüber hinaus wirkt sich die Änderung einer Regelgruppe auf alle Schutzpakete (Web ACLs) aus, die sie verwenden, während sich die Änderungen in der Konfiguration des Schutzpakets (Web-ACL) nur auf das einzelne Schutzpaket (Web-ACL) auswirken.

    • Schutzpaket (Web-ACL) — Wenn Sie ein neues Schutzpaket (Web-ACL) testen, legen Sie die Standardaktion für das Schutzpaket (Web-ACL) so fest, dass Anfragen zugelassen werden. Auf diese Weise können Sie die Web-ACL ausprobieren, ohne den Datenverkehr in irgendeiner Weise zu beeinträchtigen.

    Im Allgemeinen generiert der Zählmodus mehr Treffer als der Produktionsmodus. Das liegt daran, dass eine Regel, die Anfragen zählt, die Auswertung der Anfrage durch das Schutzpaket (Web-ACL) nicht unterbricht, sodass Regeln, die später im Schutzpaket (Web-ACL) ausgeführt werden, möglicherweise auch der Anfrage entsprechen. Wenn Sie Ihre Regelaktionen an ihre Produktionseinstellungen anpassen, beenden Regeln, die Anfragen zulassen oder blockieren, die Auswertung der Anfragen, denen sie entsprechen. Das hat zur Folge, dass übereinstimmende Anfragen in der Regel durch weniger Regeln im Schutzpaket (Web-ACL) überprüft werden. Weitere Informationen zu den Auswirkungen von Regelaktionen auf die Gesamtbewertung einer Webanfrage finden Sie unterVerwenden von Regelaktionen in AWS WAF.

    Mit diesen Einstellungen wirken sich Ihre neuen Schutzmaßnahmen nicht auf den Web-Traffic aus, sondern generieren Übereinstimmungsinformationen in Metriken, Protection-Pack-Protokollen (Web-ACL) und Anforderungsbeispielen.

  3. Ordnen Sie das Schutzpaket (Web-ACL) einer Ressource zu

    Wenn das Schutzpaket (Web-ACL) der Ressource noch nicht zugeordnet ist, ordnen Sie es zu.

    Siehe Schutz einer Ressource zuordnen oder deren Verknüpfung aufheben AWS.

Sie sind jetzt bereit, Ihr Schutzpaket (Web-ACL) zu überwachen und zu optimieren.