Verwenden der automatischen DDoS Risikominderung auf Anwendungsebene mit den erweiterten Richtlinien von Firewall Manager Shield - AWS WAFAWS Firewall Manager, und AWS Shield Advanced
Automatische Konfiguration zur SchadensbegrenzungErsetzen Sie AWS WAF Classic Web ACLs durch v2 Web ACLs

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verwenden der automatischen DDoS Risikominderung auf Anwendungsebene mit den erweiterten Richtlinien von Firewall Manager Shield

Auf dieser Seite wird erklärt, wie die automatische DDoS Abwehr auf Anwendungsebene mit Firewall Manager funktioniert.

Wenn Sie eine Shield Advanced-Richtlinie auf CloudFront Amazon-Distributionen oder Application Load Balancers anwenden, haben Sie die Möglichkeit, die automatische DDoS Abwehr von Shield Advanced auf Anwendungsebene in der Richtlinie zu konfigurieren.

Informationen zur automatischen Abwehr von Shield Advanced finden Sie unterAutomatisierung der DDoS Schadensbegrenzung auf Anwendungsebene mit Shield Advanced .

Für die automatische DDoS Abwehr auf Anwendungsebene von Shield Advanced gelten die folgenden Anforderungen:

  • Die automatische DDoS Abwehr auf Anwendungsebene funktioniert nur mit CloudFront Amazon-Distributionen und Application Load Balancers.

    Wenn Sie Ihre Shield Advanced-Richtlinie auf CloudFront Amazon-Distributionen anwenden, können Sie diese Option für Shield Advanced-Richtlinien wählen, die Sie für die globale Region erstellen. Wenn Sie Schutzmaßnahmen auf Application Load Balancers anwenden, können Sie die Richtlinie auf jede Region anwenden, die Firewall Manager unterstützt.

  • Die automatische DDoS Abwehr auf Anwendungsebene funktioniert nur mit WebsitesACLs, die mit der neuesten Version von AWS WAF (v2) erstellt wurden.

    Aus diesem Grund müssen Sie, wenn Sie eine Richtlinie habenACLs, die AWS WAF Classic Web verwendet, entweder die Richtlinie durch eine neue Richtlinie ersetzen, die automatisch die neueste Version von verwendet AWS WAF, oder Firewall Manager eine neue Webversion ACLs für Ihre bestehende Richtlinie erstellen lassen und zu deren Verwendung übergehen. Weitere Informationen zu diesen Optionen finden Sie unter Ersetzen Sie AWS WAF Classic Web durch die neueste Web-Version ACLs ACLs.

Konfiguration der automatischen Schadensbegrenzung

Die Option zur automatischen DDoS Risikominderung auf Anwendungsebene für Firewall Manager Shield Advanced-Richtlinien wendet die automatische Schadensbegrenzungsfunktion von Shield Advanced auf die Konten und Ressourcen Ihrer Richtlinie an, die in den Geltungsbereich Ihrer Richtlinie fallen. Ausführliche Informationen zu dieser Shield Advanced-Funktion finden Sie unterAutomatisierung der DDoS Schadensbegrenzung auf Anwendungsebene mit Shield Advanced .

Sie können wählen, ob Firewall Manager die automatische Risikominderung für die CloudFront Distributionen oder Application Load Balancer aktiviert oder deaktiviert, die in den Geltungsbereich der Richtlinie fallen, oder Sie können festlegen, dass die Richtlinie die automatischen Risikominderungseinstellungen von Shield Advanced ignoriert:

  • Aktivieren — Wenn Sie die automatische Abwehr aktivieren möchten, geben Sie auch an, ob bei der Abwehr von Shield Advanced-Regeln übereinstimmende Webanfragen gezählt oder blockiert werden sollen. Firewall Manager markiert Ressourcen im Geltungsbereich als nicht konform, wenn für sie entweder keine automatische Schadensbegrenzung aktiviert ist oder wenn sie eine Regelaktion verwenden, die nicht der von Ihnen für die Richtlinie angegebenen entspricht. Wenn Sie die Richtlinie für die automatische Behebung konfigurieren, aktualisiert Firewall Manager nicht konforme Ressourcen nach Bedarf.

  • Deaktivieren — Wenn Sie sich dafür entscheiden, die automatische Risikominderung zu deaktivieren, markiert Firewall Manager Ressourcen im Geltungsbereich als nicht konform, wenn für sie die automatische Risikominderung aktiviert ist. Wenn Sie die Richtlinie für die automatische Behebung konfigurieren, aktualisiert Firewall Manager nicht konforme Ressourcen nach Bedarf.

  • Ignorieren — Wenn Sie sich dafür entscheiden, die automatische Risikominderung zu ignorieren, berücksichtigt Firewall Manager keine der Einstellungen für die automatische Risikominderung in Ihrer Shield-Richtlinie, wenn er Behebungsaktivitäten für die Richtlinie durchführt. Mit dieser Einstellung können Sie die automatische Risikominderung über Shield Advanced steuern, ohne dass diese Einstellungen vom Firewall Manager überschrieben werden. Diese Einstellung gilt nicht für Classic Load Balancer- oder IPs Elastic-Ressourcen, die über Shield Advanced verwaltet werden, da Shield Advanced derzeit keine automatische L7-Abwehr für diese Ressourcen unterstützt.

Ersetzen Sie AWS WAF Classic Web durch die neueste Web-Version ACLs ACLs

Die automatische DDoS Abwehr auf Anwendungsebene funktioniert nur mit WebsitesACLs, die mit der neuesten Version von AWS WAF (v2) erstellt wurden.

Informationen zur Bestimmung der ACL Webversion für Ihre Shield Advanced-Richtlinie finden Sie unterErmitteln der Version AWS WAF , die von einer Shield Advanced-Richtlinie verwendet wird.

Wenn Sie die automatische Abwehr in Ihrer Shield Advanced-Richtlinie verwenden möchten und Ihre Richtlinie derzeit AWS WAF Classic Web verwendetACLs, können Sie entweder eine neue Shield Advanced-Richtlinie erstellen, die Ihre aktuelle ersetzt, oder Sie können die in diesem Abschnitt beschriebenen Optionen verwenden, um die frühere Version Web ACLs ACLs innerhalb Ihrer aktuellen Shield Advanced-Richtlinie durch eine neue (v2) Web-Version zu ersetzen. Neue Richtlinien erstellen das Web immer ACLs mit der neuesten Version von AWS WAF. Wenn Sie die gesamte Richtlinie ersetzen und sie löschen, können Sie festlegen, dass Firewall Manager auch die gesamte frühere ACLs Webversion löscht. Im Rest dieses Abschnitts werden Ihre Optionen zum Ersetzen des Webs ACLs innerhalb Ihrer bestehenden Richtlinie beschrieben.

Wenn Sie eine bestehende Shield Advanced-Richtlinie für CloudFront Amazon-Ressourcen ändern, kann Firewall Manager automatisch ein neues leeres AWS WAF (v2) Web ACL für die Richtlinie erstellen, und zwar für jedes Konto im Geltungsbereich, das noch nicht über ein v2-Web ACL verfügt. Wenn Firewall Manager ein neues Web ACL erstellt und die Richtlinie bereits über ein AWS WAF klassisches Web ACL in demselben Konto verfügt, konfiguriert Firewall Manager das Web der neuen Version ACL mit derselben Standardaktionseinstellung wie das bestehende WebACL. Wenn kein AWS WAF klassisches Web vorhanden istACL, setzt Firewall Manager die Standardaktion auf Allow im neuen WebACL. Nachdem Firewall Manager ein neues Web erstellt hatACL, können Sie es über die AWS WAF Konsole nach Bedarf anpassen.

Wenn Sie eine der folgenden Richtlinienkonfigurationsoptionen wählen, erstellt Firewall Manager ein neues (v2) Web ACLs für in den Geltungsbereich fallende Konten, die noch nicht über diese verfügen:

  • Wenn Sie die automatische DDoS Risikominderung auf Anwendungsebene aktivieren oder deaktivieren. Diese Wahl allein veranlasst den Firewall Manager nur, das neue Web zu erstellenACLs, und ersetzt keine vorhandenen AWS WAF klassischen ACL Webzuordnungen auf den Ressourcen, die in den Geltungsbereich der Richtlinie fallen.

  • Wenn Sie sich für die Richtlinienaktion „Automatische Problembehebung“ entscheiden und die Option wählen, das AWS WAF klassische Web durch das Web ACLs AWS WAF (v2) zu ersetzen. ACLs Sie können sich ACLs unabhängig von Ihren Konfigurationsoptionen für die automatische DDoS Schadensbegrenzung auf Anwendungsebene dafür entscheiden, frühere Versionen von Web zu ersetzen.

    Wenn Sie die Ersatzoption wählen, erstellt Firewall Manager die neue Version Web nach ACLs Bedarf und führt dann die folgenden Schritte für die in den Geltungsbereich der Richtlinie fallenden Ressourcen aus:

    • Wenn eine Ressource über eine andere aktive Firewall Manager-Richtlinie mit einem Web ACL verknüpft ist, lässt Firewall Manager die Zuordnung unverändert.

    • In allen anderen Fällen entfernt Firewall Manager jegliche Verknüpfung mit einem AWS WAF klassischen Web ACL und ordnet die Ressource dem Web AWS WAF (v2) der Richtlinie zuACL.

Sie können festlegen, dass Firewall Manager die frühere Version Web ACLs durch die neue Version Web ersetztACLs, wenn Sie möchten. Wenn Sie das AWS WAF klassische Web der Richtlinie zuvor angepasst habenACLs, können Sie die neue Version Web ACLs auf vergleichbare Einstellungen aktualisieren, bevor Sie festlegen, dass Firewall Manager den Schritt zum Ersetzen durchführt.

Sie können auf beide Versionen von Web ACL für eine Richtlinie über dieselbe Version der Konsole für AWS WAF oder AWS WAF Classic zugreifen.

Firewall Manager löscht kein ersetztes AWS WAF Classic Web, ACLs bis Sie die Richtlinie selbst löschen. Wenn die AWS WAF Classic Web ACLs nicht mehr von der Richtlinie verwendet werden, können Sie sie löschen, wenn Sie möchten.