AWS WAF Web ACLs - und ratenbasierte Regeln auf Anwendungsebene von Shield Advanced - AWS WAFAWS Firewall Manager, und AWS Shield Advanced

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

AWS WAF Web ACLs - und ratenbasierte Regeln auf Anwendungsebene von Shield Advanced

Um eine Ressource auf Anwendungsebene mit Shield Advanced zu schützen, verknüpfen Sie zunächst ein AWS WAF Web ACL mit der Ressource. AWS WAF ist eine Firewall für Webanwendungen, mit der Sie die HTTP HTTPS Anfragen überwachen können, die an Ihre Ressourcen auf Anwendungsebene weitergeleitet werden, und mit der Sie den Zugriff auf Ihre Inhalte anhand der Eigenschaften der Anfragen steuern können. Sie können ein Web so konfigurierenACL, dass Anfragen auf der Grundlage von Faktoren wie dem Ursprung der Anfrage, dem Inhalt von Abfragezeichenfolgen und Cookies sowie der Rate der Anfragen, die von einer einzigen IP-Adresse kommen, überwacht und verwaltet werden. Ihr Shield Advanced-Schutz erfordert mindestens, dass Sie ein Web ACL mit einer ratenbasierten Regel verknüpfen, die die Rate der Anfragen für jede IP-Adresse begrenzt.

Wenn für das zugehörige Web ACL keine ratenbasierte Regel definiert ist, fordert Shield Advanced Sie auf, mindestens eine zu definieren. Ratenbasierte Regeln blockieren automatisch den Datenverkehr von der Quelle aus, IPs wenn er die von Ihnen definierten Schwellenwerte überschreitet. Sie tragen dazu bei, Ihre Anwendung vor einer Flut von Webanfragen zu schützen, und können Warnmeldungen über plötzliche Datenverkehrsspitzen ausgeben, die auf einen möglichen Angriff hinweisen könnten. DDoS

Anmerkung

Eine ratenbasierte Regel reagiert sehr schnell auf Datenverkehrsspitzen, die von der Regel überwacht werden. Aus diesem Grund kann eine ratenbasierte Regel nicht nur einen Angriff verhindern, sondern auch die Erkennung eines potenziellen Angriffs durch die Erkennung von Shield Advanced. Dieser Kompromiss begünstigt die Prävention gegenüber der vollständigen Transparenz der Angriffsmuster. Wir empfehlen, eine ratenbasierte Regel als erste Verteidigungslinie gegen Angriffe zu verwenden.

Wenn Ihr Internet eingerichtet ACL ist, können Sie bei einem DDoS Angriff Gegenmaßnahmen ergreifen, indem Sie Regeln im Internet hinzufügen und verwalten. ACL Sie können dies direkt mit Unterstützung des Shield Response Teams (SRT) oder automatisch durch automatische DDoS Risikominderung auf Anwendungsebene tun.

Wichtig

Wenn Sie auch die automatische DDoS Abwehr auf Anwendungsebene verwenden, finden Sie die besten Methoden für die Verwaltung Ihres ACL Webs unter. Bewährte Methoden für die Verwendung der automatischen Schadensbegrenzung

Standardverhalten bei ratenbasierten Regeln

Wenn Sie eine ratenbasierte Regel mit ihrer Standardkonfiguration verwenden, wird der Verkehr für das vorherige 5-minütige Zeitfenster AWS WAF regelmäßig ausgewertet. AWS WAF blockiert Anfragen von beliebigen IP-Adressen, die den Schwellenwert der Regel überschreiten, bis die Anforderungsrate auf ein akzeptables Niveau gesunken ist. Wenn Sie eine ratenbasierte Regel über Shield Advanced konfigurieren, konfigurieren Sie deren Schwellenwert auf einen Wert, der höher ist als die normale Datenverkehrsrate, die Sie von einer beliebigen Quell-IP in einem beliebigen Zeitfenster von fünf Minuten erwarten.

Möglicherweise möchten Sie mehr als eine ratenbasierte Regel in einem Web verwenden. ACL Sie könnten beispielsweise eine ratenbasierte Regel für den gesamten Datenverkehr mit einem hohen Schwellenwert sowie eine oder mehrere zusätzliche Regeln verwenden, die so konfiguriert sind, dass sie ausgewählten Teilen Ihrer Webanwendung entsprechen und niedrigere Schwellenwerte haben. Sie könnten beispielsweise den Schwellenwert URI /login.html mit einem niedrigeren Schwellenwert abgleichen, um den Missbrauch einer Anmeldeseite zu verhindern.

Sie können eine ratenbasierte Regel so konfigurieren, dass sie ein anderes Bewertungszeitfenster verwendet und Anfragen nach einer Reihe von Anforderungskomponenten wie Header-Werten, Labels und Abfrageargumenten aggregiert. Weitere Informationen finden Sie unter Ratenbasierte Regelanweisung.

Weitere Informationen und Anleitungen finden Sie im Sicherheits-Blogbeitrag Die drei wichtigsten AWS WAF ratenbasierten Regeln.

Erweiterte Konfigurationsoptionen durch AWS WAF

Mit der Shield Advanced-Konsole können Sie eine ratenbasierte Regel hinzufügen und sie mit den grundlegenden Standardeinstellungen konfigurieren. Sie können zusätzliche Konfigurationsoptionen definieren, indem Sie Ihre ratenbasierten Regeln über verwalten. AWS WAF Sie können die Regel beispielsweise so konfigurieren, dass Anfragen auf der Grundlage von Schlüsseln wie einer weitergeleiteten IP-Adresse, einer Abfragezeichenfolge und einer Bezeichnung zusammengefasst werden. Sie können der Regel auch eine Scopedown-Anweisung hinzufügen, um einige Anfragen aus der Bewertung und der Ratenbegrenzung herauszufiltern. Weitere Informationen finden Sie unter Ratenbasierte Regelanweisung. Informationen AWS WAF zur Verwaltung Ihrer Überwachungs- und Verwaltungsregeln für Webanfragen finden Sie unter. Erstellen einer Web-ACL