Schutz konfigurieren in AWS WAF - AWS WAF, AWS Firewall ManagerAWS Shield Advanced, und Direktor für AWS Shield Netzwerksicherheit

Wir stellen vor: ein neues Konsolenerlebnis für AWS WAF

Sie können das aktualisierte Erlebnis jetzt verwenden, um überall in der Konsole auf AWS WAF Funktionen zuzugreifen. Weitere Details finden Sie unter Arbeiten mit der aktualisierten Konsolenerfahrung.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Schutz konfigurieren in AWS WAF

Auf dieser Seite wird erklärt, was Schutzpakete (Web ACLs) sind und wie sie funktionieren.

Ein Schutzpaket (Web-ACL) bietet Ihnen eine genaue Kontrolle über alle HTTP (S) -Webanfragen, auf die Ihre geschützte Ressource reagiert. Sie können die Ressourcen Amazon CloudFront, Amazon API Gateway, Application Load Balancer AWS AppSync, Amazon Cognito, AWS App Runner AWS Amplify, und AWS Verified Access schützen.

Sie können Kriterien wie die folgenden verwenden, um Anforderungen zuzulassen oder zu blockieren:

  • Ursprung der IP-Adresse der Anforderung

  • Ursprungsland der Anforderung

  • Zeichenfolgen-Übereinstimmung oder Regex-Übereinstimmung in einem Teil der Anforderung

  • Größe eines bestimmten Teils der Anforderung

  • Erkennen von schädlichem SQL-Code oder Skripting

Sie können die Anforderungen auch auf jede beliebige Kombination dieser Bedingungen überprüfen. Sie können Webanfragen blockieren oder zählen, die nicht nur die angegebenen Bedingungen erfüllen, sondern auch eine bestimmte Anzahl von Anfragen in einer Minute überschreiten. Sie können Bedingungen über logische Operatoren kombinieren. Sie können auch CAPTCHA-Rätsel und unbeaufsichtigte Client-Sitzungen anhand von Anfragen ausführen.

In den AWS WAF Regelanweisungen geben Sie Ihre Übereinstimmungskriterien und die Maßnahmen an, die Sie bei Übereinstimmungen ergreifen sollen. Sie können Regelanweisungen direkt in Ihrem Schutzpaket (Web-ACL) und in wiederverwendbaren Regelgruppen definieren, die Sie in Ihrem Protection Pack (Web-ACL) verwenden. Eine vollständige Liste der Optionen finden Sie unter Verwenden von Regelanweisungen in AWS WAF und Verwenden von Regelaktionen in AWS WAF.

Wenn Sie ein Schutzpaket (Web-ACL) erstellen, geben Sie die Ressourcentypen an, mit denen Sie es verwenden möchten. Weitere Informationen finden Sie unter Erstellen eines Schutzpakets (Web-ACL) in AWS WAF. Nachdem Sie ein Schutzpaket (Web-ACL) definiert haben, können Sie es Ihren Ressourcen zuordnen, um sie zu schützen. Weitere Informationen finden Sie unter Schutz einer Ressource zuordnen oder deren Verknüpfung aufheben AWS.

Anmerkung

In einigen Fällen AWS WAF kann ein interner Fehler auftreten, der die Antwort der zugehörigen AWS Ressourcen darauf verzögert, ob eine Anfrage zugelassen oder blockiert werden soll. In diesen Fällen CloudFront wird die Anfrage in der Regel zugelassen oder der Inhalt bereitgestellt, während die Regionaldienste die Anfrage in der Regel ablehnen und den Inhalt nicht bereitstellen.

Risiken rund um Produktionsdatenverkehr

Bevor Sie Änderungen in Ihrem Schutzpaket (Web-ACL) für den Produktionsdatenverkehr implementieren, testen und optimieren Sie sie in einer Staging- oder Testumgebung, bis Sie mit den möglichen Auswirkungen auf Ihren Datenverkehr zufrieden sind. Testen und optimieren Sie anschließend Ihre aktualisierten Regeln im Zählmodus mit Ihrem Produktionsdatenverkehr, bevor Sie sie aktivieren. Anleitungen finden Sie unter Testen und Optimieren Ihrer AWS WAF Schutzmaßnahmen.

Anmerkung

Wenn Sie mehr als 1.500 WCUs in einem Schutzpaket (Web-ACL) verwenden, fallen Kosten an, die über den Preis des Basic Protection Packs (Web ACL) hinausgehen. Weitere Informationen finden Sie unter Web-ACL-Kapazitätseinheiten (WCUs) in AWS WAF und Preise zu AWS WAF.

Temporäre Inkonsistenzen bei Updates

Wenn Sie ein Schutzpaket (Web-ACL) oder andere AWS WAF Ressourcen erstellen oder ändern, dauert es etwas länger, bis die Änderungen in allen Bereichen, in denen die Ressourcen gespeichert sind, wirksam werden. Die Übertragungszeit kann zwischen einigen Sekunden und mehreren Minuten liegen.

Im Folgenden finden Sie Beispiele für temporäre Inkonsistenzen, die Ihnen bei der Übertragung von Änderungen möglicherweise auffallen:

  • Wenn Sie nach der Erstellung eines Schutzpakets (Web-ACL) versuchen, es einer Ressource zuzuordnen, wird möglicherweise eine Ausnahme angezeigt, die darauf hinweist, dass das Schutzpaket (Web-ACL) nicht verfügbar ist.

  • Nachdem Sie einem Schutzpaket (Web-ACL) eine Regelgruppe hinzugefügt haben, gelten die neuen Regelgruppenregeln möglicherweise in einem Bereich, in dem das Protection Pack (Web-ACL) verwendet wird, und nicht in einem anderen.

  • Nachdem Sie eine Einstellung für eine Regelaktion geändert haben, sehen Sie möglicherweise an einigen Stellen die alte Aktion und an anderen die neue Aktion.

  • Nachdem Sie einem IP-Set, das in einer Sperrregel verwendet wird, eine IP-Adresse hinzugefügt haben, wird die neue Adresse möglicherweise in einem Bereich blockiert, während sie in einem anderen weiterhin zulässig ist.

Themen