Einrichtung AWS WAF und ihre Bestandteile - AWS WAFAWS Firewall Manager, und AWS Shield Advanced
Schritt 1: Einrichten AWS WAFSchritt 2: Erstellen einer Web-ACLSchritt 3: Hinzufügen einer Zeichenfolgen-ÜbereinstimmungsregelSchritt 4: Fügen Sie eine Regelgruppe für AWS verwaltete Regeln hinzuSchritt 5: Abschließen Ihrer Web-ACL-KonfigurationSchritt 6: Bereinigen Ihrer Ressourcen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Einrichtung AWS WAF und ihre Bestandteile

Dieses Tutorial zeigt, wie Sie AWS WAF die folgenden Aufgaben ausführen können:

  • Einrichten AWS WAF.

  • Erstellen Sie mit dem Assistenten in der AWS WAF Konsole eine Web-Zugriffskontrollliste (Web-ACL).

  • Wählen Sie die AWS Ressourcen aus, für AWS WAF die Sie Webanfragen überprüfen möchten. Dieses Tutorial behandelt die Schritte für Amazon CloudFront. Der Prozess ist im Wesentlichen derselbe für eine Amazon API Gateway Gateway-REST-API, einen Application Load Balancer, eine AWS AppSync GraphQL-API, einen Amazon Cognito Cognito-Benutzerpool, einen AWS App Runner Service oder eine AWS Verified Access-Instance.

  • Fügen Sie die Regeln und Regelgruppen hinzu, die Sie zum Filtern von Webanforderungen verwenden möchten. Sie können beispielsweise die IP-Adressen angeben, von denen die Anfragen stammen, und Werte in der Anfrage angeben, die nur von Angreifern verwendet werden. Sie geben für jede Regel an, wie übereinstimmende Webanforderungen behandelt werden. Sie können sie beispielsweise blockieren oder zählen und Bot-Herausforderungen wie CAPTCHA ausführen. Sie definieren für jede Regel, die Sie in einer Web-ACL definieren, und für jede Regel, die Sie in einer Regelgruppe definieren, eine Aktion.

  • Geben Sie entweder eine Standardaktion für die Web-ACL an Block or Allow. Dies ist die Aktion, die AWS WAF bei einer Anfrage ausgeführt wird, wenn die Regeln in der Web-ACL sie nicht ausdrücklich zulassen oder blockieren.

Anmerkung

AWS In der Regel werden Ihnen für die Ressourcen, die Sie in diesem Tutorial erstellen, weniger als 0,25 USD pro Tag in Rechnung gestellt. Wenn Sie das Tutorial beendet haben, empfehlen wir, dass Sie die Ressourcen löschen, um unnötige Kosten zu vermeiden.

Schritt 1: Einrichten AWS WAF

Wenn Sie die allgemeinen Einrichtungsschritte unter noch nicht befolgt habenEinrichtung Ihres Kontos für die Nutzung der Dienste, tun Sie dies jetzt.

Schritt 2: Erstellen einer Web-ACL

Die AWS WAF Konsole führt Sie Schritt für Schritt durch den Konfigurationsprozess AWS WAF , sodass Webanfragen anhand von von Ihnen angegebenen Kriterien blockiert oder zugelassen werden, z. B. anhand der IP-Adressen, von denen die Anfragen stammen, oder der Werte in den Anfragen. In diesem Schritt erstellen Sie eine Web-ACL. Weitere Informationen zum AWS WAF Internet finden ACLs Sie unterWeb verwenden ACLs in AWS WAF.

So erstellen Sie eine Web-ACL

  1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die AWS WAF Konsole unter https://console.aws.amazon.com/wafv2/.

  2. Wählen Sie auf der AWS WAF Startseite die Option Web-ACL erstellen aus.

  3. Geben Sie unter Name den Namen ein, mit dem Sie diese Web-ACL bezeichnen möchten.

    Anmerkung

    Sie können den Namen nach dem Erstellen der Web-ACL nicht mehr ändern.

  4. (Optional) Geben Sie für Description - optional (Beschreibung–optional) eine längere Beschreibung für die Web-ACL ein, wenn Sie möchten.

  5. Ändern Sie gegebenenfalls den Standardnamen für CloudWatch metric name (CloudFront-Metrikname). Befolgen Sie die Anweisungen zu gültigen Zeichen in der Konsole. Der Name darf keine Sonderzeichen, Leerzeichen oder für AWS WAF reservierte Metriknamen enthalten, einschließlich "All" und "Default_Action".

    Anmerkung

    Sie können den CloudWatch Metriknamen nicht ändern, nachdem Sie die Web-ACL erstellt haben.

  6. Wählen Sie als Ressourcentyp die Option CloudFrontDistributionen aus. Die Region wird bei Verteilungen automatisch mit Global (CloudFront) aufgefüllt. CloudFront

  7. (Optional) Wählen Sie unter Zugeordnete AWS Ressourcen — optional die Option Ressourcen hinzufügen AWS aus. Wählen Sie im Dialogfeld die Ressourcen aus, die Sie verknüpfen möchten, und klicken Sie dann auf Hinzufügen. AWS WAF kehrt zur Seite „Web-ACL und zugehörige AWS Ressourcen beschreiben“ zurück.

  8. Wählen Sie Weiter.

Schritt 3: Hinzufügen einer Zeichenfolgen-Übereinstimmungsregel

In diesem Schritt erstellen Sie eine Regel mit einer Zeichenfolgen-Übereinstimmungsanweisung und geben an, was mit übereinstimmenden Anforderungen zu tun ist. Eine Zeichenfolgen-Übereinstimmungsregelanweisung identifiziert Zeichenfolgen, nach denen Sie AWS WAF in einer Anforderung suchen lassen möchten. Eine Zeichenfolge besteht aus druckbaren ASCII-Zeichen, aber Sie können beliebige Zeichen aus dem hexadezimalen Bereich von 0x00 bis 0xFF (dezimal 0 bis 255) angeben. Zusätzlich zur Angabe der Zeichenfolge, nach der gesucht werden soll, geben Sie die zu suchende Webanforderungskomponente an, etwa einen Header, eine Abfragezeichenfolge oder den Anforderungstext.

Dieser Anweisungstyp arbeitet mit einer Webanforderungskomponente und erfordert die folgenden Einstellungen für Anforderungskomponenten:

  • Anforderungskomponente — Der Teil der Webanforderung, der überprüft werden soll, z. B. eine Abfragezeichenfolge oder der Hauptteil.

    Warnung

    Wenn Sie die Anforderungskomponenten Body, JSON-Text, Header oder Cookies untersuchen, sollten Sie sich über die Einschränkungen informieren, mit denen der Inhalt überprüft AWS WAF werden kann. Übergroße Webanforderungskomponenten in AWS WAF

    Informationen über Webanforderungskomponenten finden Sie unter Anpassen der Einstellungen für Regelanweisungen in AWS WAF.

  • Optionale Texttransformationen — Transformationen, die Sie an der Anforderungskomponente durchführen AWS WAF möchten, bevor Sie sie überprüfen. Sie könnten beispielsweise in Kleinschreibung umwandeln oder Leerzeichen normalisieren. Wenn Sie mehr als eine Transformation angeben, werden diese in der angegebenen Reihenfolge AWS WAF verarbeitet. Weitere Informationen finden Sie unter Verwenden von Texttransformationen in AWS WAF.

Weitere Informationen zu AWS WAF Regeln finden Sie unterAWS WAF Regeln.

So erstellen Sie eine Anweisung zur Erstellung einer Zeichenfolgen-Übereinstimmungsregel

  1. Wählen Sie auf der Seite Add rules and rule groups (Regeln und Regelgruppen hinzufügen) Add rules (Regeln hinzufügen), Add my own rules and rule groups (Eigene Regeln und Regelgruppen hinzufügen), Rule-Builder und Rule visual editor (Visueller Regel-Editor).

    Anmerkung

    Die Konsole stellt den Visuellen Regel-Editor und einen JSON-Regel-Editor zur Verfügung. Der JSON-Editor erleichtert Ihnen das Kopieren von Konfigurationen zwischen Websites ACLs und ist für komplexere Regelsätze erforderlich, z. B. solche mit mehreren Verschachtelungsebenen.

    Bei diesem Verfahren wird der Visuelle Regel-Editor verwendet.

  2. Geben Sie unter Name den Namen ein, mit dem Sie diese Regel bezeichnen möchten.

  3. Wählen Sie für Type (Typ) Rule (Regel).

  4. Für If a request (Wenn eine Anforderung) wählen Sie matches the statement (entspricht der Anweisung) aus.

    Die anderen Optionen sind für die logischen Regelanweisungstypen bestimmt. Diese können sie verwenden, um die Ergebnisse anderer Regelanweisungen zu kombinieren oder zu negieren.

  5. Öffnen Sie unter Statement für Inspect die Dropdownliste und wählen Sie die Webanforderungskomponente aus, die Sie überprüfen AWS WAF möchten. Wählen Sie für dieses Beispiel Single Header aus.

    Wenn Sie Einzelner Header wählen, geben Sie auch an, welchen Header Sie überprüfen AWS WAF möchten. Geben Sie User-Agent ein. Dieser Wert wird nicht nach Groß- und Kleinschreibung unterschieden.

  6. Wählen Sie für Match type (Übereinstimmungstyp) aus, wo die angegebene Zeichenfolge im User-Agent-Header erscheinen soll.

    Wählen Sie für dieses Beispiel Exactly matches string (Stimmt exakt mit Zeichenfolge überein). Dies bedeutet, dass der AWS WAF User-Agent-Header in jeder Webanforderung auf eine Zeichenfolge überprüft wird, die mit der von Ihnen angegebenen Zeichenfolge identisch ist.

  7. Legen Sie für String to match (Zeichenfolge für Übereinstimmung) eine Zeichenkette fest, nach der AWS WAF suchen soll. Die maximale Länge von String to match (Zeichenfolge für Übereinstimmung) beträgt 200 Zeichen. Wenn Sie einen base64-codierten Wert angeben möchten, können Sie vor der Kodierung bis zu 200 Zeichen angeben.

    Geben Sie für dieses Beispiel ein. MyAgent AWS WAF untersucht den User-Agent Header in Webanfragen auf den WertMyAgent.

  8. Lassen Sie Text transformation (Texttransformation) auf None (Keine).

  9. Wählen Sie unter Action (Aktion) die Aktion aus, die die Regel ausführen soll, wenn sie einer Webanforderung entspricht. Wählen Sie in diesem Beispiel Count (Anzahl) und lassen Sie die anderen Optionen so, wie sie sind. Durch die Aktion „Count“ (Anzahl) werden Metriken für Webanforderungen erstellt, die mit der Regel übereinstimmen (ohne Einfluss darauf, ob die Anforderung zugelassen oder blockiert ist). Weitere Informationen zur Auswahl von Aktionen finden Sie unter Verwenden von Regelaktionen in AWS WAF und Verwenden des ACLs Webs mit Regeln und Regelgruppen in AWS WAF.

  10. Wählen Sie Regel hinzufügen aus.

Schritt 4: Fügen Sie eine Regelgruppe für AWS verwaltete Regeln hinzu

AWS Managed Rules bietet Ihnen eine Reihe von verwalteten Regelgruppen, von denen die meisten für AWS WAF Kunden kostenlos sind. Weitere Informationen zu Regelgruppen finden Sie unter AWS WAF Regelgruppen. Wir fügen dieser Web-ACL eine Regelgruppe für AWS verwaltete Regeln hinzu.

Um eine Regelgruppe für AWS verwaltete Regeln hinzuzufügen

  1. Wählen Sie auf der Seite Add rules and rule groups (Regeln und Regelgruppen hinzufügen) Add rules (Regeln hinzufügen), und wählen Sie dann Add managed rule groups (Verwaltete Regelgruppen hinzufügen).

  2. Erweitern Sie auf der Seite Add managed rule groups (Verwaltete Regelgruppen hinzufügen) die Auflistung für die Verwalteten AWS -Regelgruppen. (Es werden auch Angebote für AWS Marketplace Verkäufer angezeigt. Sie können ihre Angebote abonnieren und sie dann genauso verwenden wie für Regelgruppen mit AWS verwalteten Regeln.)

  3. Führen Sie die folgenden Schritte für die Regelgruppe aus, die Sie hinzufügen möchten:

    1. Aktivieren Sie die Option Add to web ACL (Zur Web-ACL hinzufügen) in der Spalte Action (Aktion).

    2. Wählen Sie Bearbeiten aus und öffnen Sie in der Liste Regeln der Regelgruppe die Dropdownliste Alle Regelaktionen außer Kraft setzen und wählen Sie Count. Dadurch wird festgelegt, dass die Aktion für alle Regeln in der Regelgruppe nur zählt. Auf diese Weise können Sie sehen, wie sich alle Regeln der Regelgruppe mit Ihren Webanforderungen verhalten, bevor Sie einzelne davon verwenden.

    3. Wählen Sie Save rule (Regel speichern).

  4. Wählen Sie auf der Seite Add managed rule groups (Verwaltete Regelgruppen hinzufügen) die Option Add rules (Regeln hinzufügen). Nun werden Sie wieder zur Seite Add rules and rule groups (Regeln und Regelgruppen hinzufügen) geleitet.

Schritt 5: Abschließen Ihrer Web-ACL-Konfiguration

Wenn Sie mit dem Hinzufügen von Regeln und Regelgruppen zu Ihrer Web-ACL-Konfiguration fertig sind, verwalten Sie abschließend die Priorität der Regeln in der Web-ACL und konfigurieren Einstellungen wie Metriken, Tagging und Protokollierung.

So schließen Sie Ihre Web-ACL-Konfiguration ab

  1. Wählen Sie auf der Seite Add rules and rule groups (Regeln und Regelgruppen hinzufügen) die Option Next (Weiter).

  2. Auf der Seite Regelpriorität festlegen können Sie die Verarbeitungsreihenfolge für die Regeln und Regelgruppen in der Web-ACL sehen. AWS WAF verarbeitet sie ab dem Anfang der Liste. Sie können die Verarbeitungsreihenfolge ändern, indem Sie die Regeln nach oben oder unten verschieben. Wählen Sie dazu eine in der Liste aus und wählen Sie Move up (Nach oben verschieben) oder Move down (Nach unten verschieben). Weitere Informationen zur Priorität von Regeln finden Sie unter Regelpriorität in einer Web-ACL festlegen.

  3. Wählen Sie Weiter.

  4. Auf der Seite Metriken konfigurieren für CloudWatchAmazon-Metriken können Sie die geplanten Metriken für Ihre Regeln und Regelgruppen sowie die Sampling-Optionen für Webanfragen einsehen. Informationen zum Anzeigen von Stichprobenanforderungen finden Sie unter Anzeigen einer Stichprobe von Webanforderungen. Informationen zu CloudWatch Amazon-Metriken finden Sie unterÜberwachung mit Amazon CloudWatch.

    Sie können auf der Seite der Web-ACL in der AWS WAF Konsole unter dem Tab Traffic-Übersicht auf Zusammenfassungen der Metriken zum Web-Traffic zugreifen. Die Konsolen-Dashboards bieten fast in Echtzeit Zusammenfassungen der CloudWatch Amazon-Metriken der Web-ACL. Weitere Informationen finden Sie unter Dashboards zur Übersicht über den Web-ACL-Verkehr.

  5. Wählen Sie Weiter.

  6. Überprüfen Sie auf der Seite Review and create web ACL (Überprüfen und Web-ACL erstellen) Ihre Einstellungen und wählen Sie dann Create web ACL (Web-ACL erstellen).

Der Assistent kehrt zur Seite Web ACL zurück, auf der Ihre neue Web-ACL aufgelistet ist.

Schritt 6: Bereinigen Ihrer Ressourcen

Sie haben das Tutorial jetzt erfolgreich abgeschlossen. Um zu verhindern, dass für Ihr Konto zusätzliche AWS WAF Gebühren anfallen, sollten Sie die von Ihnen erstellten AWS WAF Objekte bereinigen. Alternativ können Sie die Konfiguration so ändern, dass sie den Webanfragen entspricht, die Sie tatsächlich verwalten möchten. AWS WAF

Anmerkung

AWS berechnet Ihnen in der Regel weniger als 0,25 USD pro Tag für die Ressourcen, die Sie in diesem Tutorial erstellen. Wenn Sie fertig sind, empfehlen wir, dass Sie die Ressourcen löschen, um unnötige Kosten zu vermeiden.

Um die Objekte zu löschen, für die AWS WAF Gebühren anfallen

  1. Wählen Sie auf der Seite Web ACL Ihre Web-ACL aus der Liste aus und wählen Sie Edit (Bearbeiten).

  2. Wählen Sie auf der Registerkarte Zugeordnete AWS Ressourcen für jede zugeordnete Ressource das Optionsfeld neben dem Ressourcennamen aus, und klicken Sie dann auf Zuordnung trennen. Dadurch wird die Web-ACL von Ihren AWS Ressourcen getrennt.

  3. Wählen Sie auf der der folgenden Seiten Next (Weiter), bis Sie zur Seite Web ACL zurückkehren.

    Wählen Sie auf der Seite Web ACL Ihre Web-ACL aus der Liste aus und wählen Sie Delete (Löschen).

Regeln und Regelanweisungen existieren nicht außerhalb der Definitionen von Regelgruppen und Web-ACLs. Wenn Sie eine Web-ACL löschen, werden alle einzelnen Regeln gelöscht, die Sie in der Web-ACL definiert haben. Wenn Sie eine Regelgruppe aus einer Web-ACL entfernen, entfernen Sie einfach den Verweis darauf.