**Wir stellen vor: ein neues Konsolenerlebnis für AWS WAF**
Sie können das aktualisierte Erlebnis jetzt verwenden, um überall in der Konsole auf AWS WAF Funktionen zuzugreifen. Weitere Informationen finden Sie unter [Arbeiten mit der Konsole](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html).
Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Verwendung AWS WAF mit Amazon CloudFront
Erfahren Sie, wie Sie die CloudFront Funktionen von Amazon verwenden AWS WAF können.
Wenn Sie ein Schutzpaket (Web-ACL) erstellen, können Sie eine oder mehrere CloudFront Distributionen angeben, die Sie überprüfen AWS WAF möchten. CloudFront unterstützt zwei Arten von Verteilungen: Standardverteilungen, die einzelne Mandanten schützen, und Mehrmandantenverteilungen, die mehrere Mandanten über eine einzige, gemeinsam genutzte Konfigurationsvorlage schützen. AWS WAF überprüft Webanfragen für beide Verteilungstypen auf der Grundlage der Regeln, die Sie in Ihren Schutzpaketen (Web ACLs) definieren, mit unterschiedlichen Implementierungsmustern für jeden Typ.
**Topics**
+ [Wie AWS WAF funktioniert mit verschiedenen Verteilungstypen](#cloudfront-features-distribution-types)
+ [Verwendung AWS WAF mit CloudFront Pauschalpreisen](#waf-cf-pricing-plans)
+ [Häufige Anwendungsfälle für den Schutz von CloudFront Distributionen mit AWS WAF](cloudfront-waf-use-cases.md)
## Wie AWS WAF funktioniert mit verschiedenen Verteilungstypen
### Verteilungstypen
AWS WAF bietet Firewall-Funktionen für Webanwendungen sowohl für Standard- als auch für Mehrmandantenverteilungen. CloudFront
#### Standardverteilungen
Fügt bei Standardverteilungen Schutz AWS WAF hinzu, indem für jede Distribution ein einziges Schutzpaket (Web-ACL) verwendet wird. Sie können diesen Schutz aktivieren, indem Sie ein vorhandenes Schutzpaket (Web-ACL) einer CloudFront Distribution zuordnen oder indem Sie den Ein-Klick-Schutz in der Konsole verwenden. CloudFront Auf diese Weise können Sie die Sicherheitskontrollen für jede Ihrer Distributionen unabhängig voneinander verwalten, da sich alle Änderungen an einem Schutzpaket (Web-ACL) nur auf die zugehörige Distribution auswirken.
Diese einfache Methode zum Schutz von CloudFront Distributionen ist optimal, um einzelnen Domänen mit einem einzigen Schutzpaket (Web-ACL) spezifische Schutzmaßnahmen zu bieten.
##### Überlegungen zur Standardverteilung
+ Änderungen an einem Schutzpaket (Web-ACL) wirken sich nur auf die zugehörige Distribution aus
+ Für jede Distribution ist eine unabhängige Konfiguration des Protection Packs (Web-ACL) erforderlich
+ Regeln und Regelgruppen werden für jede Distribution separat verwaltet
#### Distributionen für mehrere Mandanten
AWS WAF Fügt bei Distributionen mit mehreren Mandanten mithilfe eines einzigen Schutzpakets (Web-ACL) Schutz für mehrere Domänen hinzu. Domänen, die von Mehrmandantenverteilungen verwaltet werden, werden als Verteilungsmandanten bezeichnet. Sie können den AWS WAF Schutz für Mehrmandantenverteilungen nur in der CloudFront Konsole aktivieren, entweder während oder nach der Erstellung der Mehrmandantenverteilung. Änderungen an einem Schutzpaket (Web-ACL) werden jedoch weiterhin über die AWS WAF Konsole oder API verwaltet.
Distributionen mit mehreren Mandanten bieten die Flexibilität, AWS WAF Schutzmaßnahmen auf zwei Ebenen zu aktivieren:
+ **Mehrinstanzenfähige Verteilungsebene** — Die zugehörigen Schutzpakete (Web ACLs) bieten grundlegende Sicherheitskontrollen, die für alle Anwendungen gelten, die diese Distribution gemeinsam nutzen
+ **Verteilungsmandantenebene** — Einzelne Mandanten innerhalb einer Mehrmandanten-Distribution können über eigene Schutzpakete (Web ACLs) verfügen, um zusätzliche Sicherheitskontrollen zu implementieren oder die Einstellungen für die Mehrmandantenverteilung außer Kraft zu setzen
Durch diese beiden Stufen eignen sich Mehrmandantenverteilungen optimal für die gemeinsame Nutzung von AWS WAF Schutzmaßnahmen über mehrere Domänen hinweg, ohne dass die Möglichkeit verloren geht, die Sicherheit für eine einzelne Verteilung individuell anzupassen.
#### Überlegungen zur Verteilung über mehrere Mandanten
+ Einzelne Distributionsmandanten übernehmen Änderungen, die an Schutzpaketen (Web ACLs) vorgenommen wurden und die entsprechenden Distributionen mit mehreren Mandanten zugeordnet sind
+ Die Schutzpakete (Web ACLs), die bestimmten Distributionsmandanten zugeordnet sind, können Einstellungen außer Kraft setzen, die auf der Ebene des Multi-Tenant Protection Packs (Web-ACL) konfiguriert wurden
+ Verwaltete Regelgruppen können sowohl auf Verteilungs- als auch auf Verteilungsmandantenebene implementiert werden
+ Anwendungskennungen können in Protokollen gespeichert werden, um Sicherheitsereignisse nach Verteilung nachzuverfolgen
### AWS WAF Funktionen nach Verteilungstyp
**Vergleichen Sie die Implementierungen des Protection Packs (Web-ACL)**
| AWS WAF Funktion | Standardverteilungen | Distributionen für mehrere Mandanten |
| --- | --- | --- |
| Schutzpakete zuordnen (Web) ACLs | Ein Schutzpaket (Web-ACL) pro Distribution | Sie können Schutzpakete (Web ACLs) mandantenübergreifend gemeinsam nutzen, mit optionalen mandantenspezifischen Schutzpaketen (Web) ACLs |
| Verwaltung von Regeln | Regeln wirken sich auf eine einzelne Verteilung aus | Verteilungsregeln für mehrere Mandanten wirken sich auf alle zugehörigen Mandanten aus. Verteilungsmandantenspezifische Regeln wirken sich nur auf diesen Mandanten aus |
| Verwaltete Regelgruppen | Wird auf einzelne Verteilungen angewendet | Kann auf Verteilungsebene für mehrere Mandanten für alle Mandanten oder auf Mandantenebene für bestimmte Anwendungen angewendet werden |
| Protokollierung | Standardprotokolle AWS WAF | Die Protokolle enthalten Mandantenkennungen für die Zuordnung von Sicherheitsereignissen |
## Verwendung AWS WAF mit CloudFront Pauschalpreisen
CloudFront Pauschalpreise kombinieren das Amazon CloudFront Global Content Delivery Network (CDN) mit mehreren AWS-Services Funktionen zu einem monatlichen Preis ohne Mehrkosten, unabhängig von Traffic-Spitzen oder Angriffen.
Flatrate-Preispläne beinhalten Folgendes AWS-Services und Funktionen zu einem einfachen monatlichen Preis:
+ CloudFront CDN
+ AWS WAF und DDo S-Schutz
+ Bot-Management und Analytik
+ Amazon Route 53 DNS
+ Amazon CloudWatch protokolliert die Aufnahme
+ TLS-Zertifikat
+ Serverloses Edge-Computing
+ Amazon S3 S3-Speicherguthaben pro Monat
Die Tarife sind in den Tarifen Free, Pro, Business und Premium erhältlich, um den Anforderungen Ihrer Anwendung gerecht zu werden. Für die Tarife ist kein jährliches Abonnement erforderlich, um die besten verfügbaren Tarife zu erhalten. Beginnen Sie mit dem kostenlosen Tarif und führen Sie ein Upgrade durch, um auf mehr Funktionen und größere Nutzungsrechte zuzugreifen.
Weitere Informationen und eine vollständige Liste der Pläne und Funktionen finden Sie unter [CloudFront Pauschalpreise](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/flat-rate-pricing-plan.html) im *Amazon CloudFront Developer Guide*.
**Wichtig**
Wenn Sie einen beliebigen Preisplan verwenden, muss Ihrer CloudFront Distribution weiterhin ein gültiges AWS WAF Schutzpaket (Web-ACL) zugeordnet sein. Sie können die Zuordnung zum Schutzpaket (Web-ACL) nicht entfernen, es sei denn, Sie kehren zur pay-as-you-go Preisgestaltung zurück.
Eine AWS WAF Web-ACL muss zwar mit Ihrer Distribution verknüpft bleiben, Sie behalten jedoch die volle Kontrolle über Ihre Sicherheitskonfiguration. Sie können Ihren Schutz individuell anpassen, indem Sie anpassen, welche Regeln in Ihrer Web-ACL aktiviert oder deaktiviert sind, und die Regeleinstellungen an Ihre Sicherheitsanforderungen anpassen. Informationen zur Verwaltung von Web-ACL-Regeln finden Sie unter [AWS WAF Regeln](https://docs.aws.amazon.com/waf/latest/developerguide/waf-rules.html).
# Häufige Anwendungsfälle für den Schutz von CloudFront Distributionen mit AWS WAF
Die folgenden AWS WAF Funktionen funktionieren für alle CloudFront Distributionen auf die gleiche Weise. Überlegungen zu Verteilungen mit mehreren Mandanten sind im Anschluss an jedes Feature-Szenario aufgeführt.
## Verwendung AWS WAF mit CloudFront benutzerdefinierten Fehlerseiten
Wenn eine Webanforderung auf der Grundlage der von Ihnen angegebenen Kriterien AWS WAF blockiert wird, wird standardmäßig der HTTP-Statuscode `403 (Forbidden)` an CloudFront CloudFront zurückgegeben und dieser Statuscode wird an den Betrachter zurückgegeben. Dieser zeigt dann eine kurze und kaum formatierte Standardnachricht an, ähnlich wie diese:
```
Forbidden: You don't have permission to access /myfilename.html on this server.
```
Sie können dieses Verhalten in den Regeln Ihres AWS WAF Protection Packs (Web-ACL) außer Kraft setzen, indem Sie benutzerdefinierte Antworten definieren. Weitere Informationen zum Anpassen des Antwortverhaltens mithilfe von AWS WAF Regeln finden Sie unter[Senden von benutzerdefinierten Antworten für Block Aktionen](customizing-the-response-for-blocked-requests.md).
**Anmerkung**
Antworten, die Sie mithilfe von AWS WAF Regeln anpassen, haben Vorrang vor allen Antwortspezifikationen, die Sie auf CloudFront benutzerdefinierten Fehlerseiten definieren.
Wenn Sie lieber eine benutzerdefinierte Fehlermeldung anzeigen und dabei möglicherweise dieselbe Formatierung wie der Rest Ihrer Website verwenden möchten CloudFront, können Sie so konfigurieren CloudFront , dass ein Objekt (z. B. eine HTML-Datei), das Ihre benutzerdefinierte Fehlermeldung enthält, an den Betrachter zurückgegeben wird.
**Anmerkung**
CloudFront kann nicht zwischen einem HTTP-Statuscode 403, der von Ihrem Ursprung zurückgegeben wird, und einem, der zurückgegeben wird, AWS WAF wenn eine Anfrage blockiert wird, unterscheiden. Das heißt, Sie können keine unterschiedlichen benutzerdefinierten Fehlerseiten basierend auf den verschiedenen Ursachen für den HTTP-Statuscode 403 zurückgeben.
Weitere Informationen zu CloudFront benutzerdefinierten Fehlerseiten finden Sie unter [Generieren benutzerdefinierter Fehlerantworten](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/GeneratingCustomErrorResponses.html) im *Amazon CloudFront Developer Guide*.
### Benutzerdefinierte Fehlerseiten in Distributionen mit mehreren Mandanten
Bei Distributionen mit CloudFront mehreren Mandanten können Sie benutzerdefinierte Fehlerseiten auf folgende Weise konfigurieren:
+ Auf Mehrmandantenebene — Diese Einstellungen gelten für alle Mandantenverteilungen, die die Verteilungsvorlage für mehrere Mandanten verwenden
+ Mithilfe von AWS WAF Regeln — Benutzerdefinierte Antworten, die in Schutzpaketen (Web ACLs) definiert sind, haben Vorrang vor der Verteilung über mehrere Mandanten und den benutzerdefinierten Fehlerseiten auf Mandantenebene
## Verwenden Sie AWS WAF with CloudFront für Anwendungen, die auf Ihrem eigenen HTTP-Server ausgeführt werden
Wenn Sie AWS WAF mit verwenden CloudFront, können Sie Ihre Anwendungen schützen, die auf jedem HTTP-Webserver ausgeführt werden, unabhängig davon, ob es sich um einen Webserver handelt, der in Amazon Elastic Compute Cloud (Amazon EC2) läuft, oder um einen Webserver, den Sie privat verwalten. Sie können auch so konfigurieren CloudFront , dass HTTPS zwischen CloudFront und Ihrem eigenen Webserver sowie zwischen Viewern und erforderlich ist. CloudFront
**HTTPS zwischen CloudFront und Ihrem eigenen Webserver erforderlich**
Um HTTPS zwischen CloudFront und Ihrem eigenen Webserver zu verlangen, können Sie die CloudFront benutzerdefinierte Origin-Funktion verwenden und die **Origin-Protokollrichtlinie und die **Origin-Domainnamen-Einstellungen**** für bestimmte Ursprünge konfigurieren. In Ihrer CloudFront Konfiguration können Sie den DNS-Namen des Servers zusammen mit dem Port und dem Protokoll angeben, das Sie beim Abrufen von Objekten von Ihrem Ursprung verwenden CloudFront möchten. Sie sollten auch sicherstellen, dass das SSL/TLS Zertifikat auf Ihrem benutzerdefinierten Ursprungsserver mit dem von Ihnen konfigurierten Ursprungsdomänennamen übereinstimmt. Wenn Sie Ihren eigenen HTTP-Webserver außerhalb von verwenden AWS, müssen Sie ein Zertifikat verwenden, das von einer vertrauenswürdigen Zertifizierungsstelle (CA) eines Drittanbieters, z. B. Comodo oder Symantec, signiert wurde. DigiCert Weitere Informationen darüber, wie HTTPS für die Kommunikation zwischen Ihrem eigenen Webserver CloudFront und Ihrem eigenen Webserver [erforderlich ist, finden Sie im *Amazon CloudFront Developer Guide* unter HTTPS für die Kommunikation zwischen CloudFront und Ihrem benutzerdefinierten Ursprung](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/using-https-cloudfront-to-custom-origin.html) erforderlich.
**HTTPS zwischen einem Betrachter erforderlich und CloudFront**
Um HTTPS zwischen Zuschauern und vorzuschreiben CloudFront, können Sie die **Viewer-Protokollrichtlinie** für ein oder mehrere Cache-Verhaltensweisen in Ihrer CloudFront Distribution ändern. Weitere Informationen zur Verwendung von HTTPS zwischen Zuschauern und CloudFront finden Sie im Thema [HTTPS für die Kommunikation zwischen Zuschauern erforderlich und CloudFront](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/using-https-viewers-to-cloudfront.html) im *Amazon CloudFront Developer Guide*. Sie können auch Ihr eigenes SSL-Zertifikat mitbringen, damit sich Zuschauer beispielsweise mit Ihrem eigenen Domainnamen über HTTPS mit Ihrer CloudFront Distribution verbinden können *https://www.mysite.com*. Weitere Informationen finden Sie im Thema [Konfiguration alternativer Domainnamen und HTTPS](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/cnames-and-https-procedures.html) im *Amazon CloudFront Developer Guide*.
Bei Distributionen mit mehreren Mandanten folgen die HTTP-Methodenkonfigurationen dieser Hierarchie:
+ Einstellungen auf Vorlagenebene definieren die grundlegenden HTTP-Methoden, die für alle Mandantenverteilungen zulässig sind
+ Mandantenverteilungen können diese Einstellungen überschreiben, um:
+ Es sind weniger Methoden zulässig als bei der Mehrmandantenverteilung (Verwendung von AWS WAF Regeln zum Blockieren zusätzlicher Methoden)
+ Lassen Sie mehr Methoden zu, wenn die Mehrmandantenverteilung so konfiguriert ist, dass sie sie unterstützt
+ AWS WAF Regeln sowohl auf Mehrmandantenverteilungs- als auch auf Mandantenebene können HTTP-Methoden unabhängig von der Konfiguration weiter einschränken CloudFront
## Auswahl der HTTP-Methoden, die CloudFront auf
Wenn Sie eine CloudFront Amazon-Webdistribution erstellen, wählen Sie die HTTP-Methoden aus, die Sie verarbeiten und CloudFront an Ihren Ursprung weiterleiten möchten. Sie können aus den folgenden Optionen wählen:
+ **`GET`, `HEAD`** — Sie können es CloudFront nur verwenden, um Objekte von Ihrem Ursprung abzurufen oder um Objekt-Header abzurufen.
+ **`GET`,`HEAD`, `OPTIONS`** — Sie können CloudFront nur verwenden, um Objekte von Ihrem Ursprung abzurufen, Objekt-Header abzurufen oder eine Liste der Optionen abzurufen, die Ihr Original-Server unterstützt.
+ **`GET`,`HEAD`,`OPTIONS`, `PUT``POST`,`PATCH`, `DELETE`** — Sie können CloudFront Objekte abrufen, hinzufügen, aktualisieren und löschen sowie Objekt-Header abrufen. Darüber hinaus können Sie andere `POST`-Vorgänge wie das Senden von Daten aus einem Webformular ausführen.
Sie können auch AWS WAF Byte-Match-Regelanweisungen verwenden, um Anfragen, die auf der HTTP-Methode basieren, zuzulassen oder zu blockieren, wie unter beschrieben[Zeichenfolgen-Übereinstimmungsanweisung](waf-rule-statement-type-string-match.md). Wenn Sie eine Kombination von Methoden verwenden möchten, die CloudFront Unterstützung bieten, z. B. `GET` und`HEAD`, müssen Sie die Konfiguration nicht so konfigurieren AWS WAF , dass Anfragen blockiert werden, die die anderen Methoden verwenden. Wenn Sie eine Kombination von Methoden zulassen möchten, die CloudFront nicht unterstützt werden, z. B.`GET`, und `HEAD``POST`, können Sie so konfigurieren CloudFront , dass auf alle Methoden reagiert wird, und dann Anfragen blockieren, die andere Methoden verwenden. AWS WAF
Weitere Informationen zur Auswahl der Methoden, CloudFront auf die reagiert, finden Sie unter [Zulässige HTTP-Methoden](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/distribution-web-values-specify.html#DownloadDistValuesAllowedHTTPMethods) im Thema [Werte, die Sie beim Erstellen oder Aktualisieren einer Web-Distribution angeben](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/distribution-web-values-specify.html) im *Amazon CloudFront Developer Guide*.
**Zulässige HTTP-Methodenkonfigurationen in Multi-Tenant-Distributionen**
Bei Mehrmandantenverteilungen gelten HTTP-Methodenkonfigurationen, die auf der Mehrmandanten-Verteilungsebene festgelegt wurden, standardmäßig für alle Mandantenverteilungen. Mandantenverteilungen können diese Einstellungen bei Bedarf überschreiben.
+ Wenn Sie eine Kombination von Methoden verwenden möchten, die CloudFront Unterstützung bieten, z. B. `GET` und`HEAD`, müssen Sie die Konfiguration nicht so konfigurieren AWS WAF , dass Anfragen blockiert werden, die andere Methoden verwenden.
+ Wenn Sie eine Kombination von Methoden zulassen möchten, die standardmäßig CloudFront nicht unterstützt werden, z. B.`GET`, und `HEAD``POST`, können Sie so konfigurieren CloudFront , dass auf alle Methoden reagiert wird, und dann Anfragen blockieren, die andere Methoden verwenden. AWS WAF
Beachten Sie bei der Implementierung von Sicherheitsheadern in Distributionen mit mehreren Mandanten Folgendes:
+ Sicherheitsheader auf Vorlagenebene bieten grundlegenden Schutz für alle Mandantenverteilungen
+ Tenant-Distributionen können:
+ Neue Sicherheitsheader hinzufügen, die in der Mehrmandantenverteilung nicht definiert sind
+ Ändern Sie Werte für mandantenspezifische Header
+ Sicherheitsheader, die auf der Mehrmandanten-Verteilungsebene festgelegt wurden, können nicht entfernt oder überschrieben werden
+ Erwägen Sie die Verwendung von mehrinstanzenfähigen Headern auf Verteilungsebene für wichtige Sicherheitskontrollen, die für alle Mandanten gelten sollten
## Überlegungen zur Protokollierung
Sowohl Standard- als auch Multi-Tenant-Distributionen unterstützen die AWS WAF Protokollierung, es gibt jedoch wichtige Unterschiede in der Struktur und Verwaltung von Protokollen:
**Vergleich der Protokollierung**
| Standardverteilungen | Distributionen für mehrere Mandanten |
| --- | --- |
| Eine Protokollkonfiguration pro Verteilung | Optionen für die Protokollierung auf Vorlagen- und Mandantenebene |
| Standard-Protokollfelder | Zusätzliche Felder zur Mandanten-ID |
| Ein Ziel pro Verteilung | Separate Ziele für die Verteilung über mehrere Mandanten und für Mandantenprotokolle möglich |
## Weitere Ressourcen
+ Weitere Informationen zu Multi-Tenant-Distributionen finden [Sie unter Distributionen konfigurieren](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/distribution-working-with.html) im *Amazon CloudFront * Developer Guide.
+ Weitere Informationen zur Verwendung AWS WAF mit CloudFront finden Sie unter [AWS WAF Schutz verwenden](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/distribution-web-awswaf.html) im *Amazon CloudFront Developer Guide*.
+ Weitere Informationen zu AWS WAF Protokollen finden Sie unter[Protokollfelder für den Traffic des Protection Packs (Web-ACL)](logging-fields.md).