Die Verwendung von AWS WAF Regeln - AWS WAFAWS Firewall Manager, und AWS Shield Advanced

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Die Verwendung von AWS WAF Regeln

In diesem Abschnitt wird erklärt, was AWS WAF Regel ist und wie sie funktioniert.

Importieren in &S3; AWS WAF Die Regel definiert, wie HTTP (S) -Webanfragen geprüft werden und welche Aktion bei einer Anfrage zu ergreifen ist, wenn sie den Inspektionskriterien entspricht. Sie definieren Regeln nur im Kontext einer Regelgruppe oder eines WebsACL.

Regeln existieren nicht in AWS WAF auf eigene Faust. Sind sie nicht AWS Ressourcen, und sie haben keine Amazon-Ressourcennamen (ARNs). Sie können auf eine Regel anhand des Namens in der Regelgruppe oder im Web zugreifenACL, in der sie definiert ist. Sie können Regeln verwalten und sie in ein anderes Web kopieren, ACLs indem Sie die JSON Ansicht der Regelgruppe oder der Website verwendenACL, die die Regel enthält. Sie können sie auch über die AWS WAF Console Rule Builder, der für Web ACLs - und Regelgruppen verfügbar ist.

Regelname

Jede Regel benötigt einen Namen. Vermeiden Sie Namen, die mit Regelgruppen oder Regeln beginnen, die für Sie von anderen Diensten verwaltet werden, AWS und Namen, die für Sie verwendet werden. Siehe Verwenden von Regelgruppen, die von anderen Diensten bereitgestellt werden.

Anmerkung

Wenn Sie den Namen einer Regel ändern und möchten, dass der Metrikname der Regel die Änderung widerspiegelt, müssen Sie auch den Metriknamen aktualisieren. AWS WAF aktualisiert den Metriknamen für eine Regel nicht automatisch, wenn Sie den Regelnamen ändern. Sie können den Metriknamen ändern, wenn Sie die Regel in der Konsole bearbeiten, indem Sie den JSON Regeleditor verwenden. Sie können beide Namen auch über die APIs und in jeder JSON Liste ändern, die Sie zur Definition Ihrer Web ACL - oder Regelgruppe verwenden.

Erklärung zur Regel

Jede Regel erfordert außerdem eine Regelaussage, die definiert, wie die Regel Webanfragen prüft. Die Regelanweisung kann je nach Regel und Anweisungstyp weitere, verschachtelte Anweisungen in beliebiger Tiefe enthalten. Einige Regelaussagen basieren auf einer Reihe von Kriterien. Sie können beispielsweise bis zu 10.000 IP-Adressen oder IP-Adressbereiche für eine IP-Set-Übereinstimmungsregel angeben.

Sie können Regeln definieren, die nach Kriterien wie den folgenden suchen:

  • Skripts sind möglicherweise bösartig. Angreifer betten Skripts ein, die Sicherheitslücken in Webanwendungen ausnutzen. Dies wird als Cross-Site-Scripting () XSS bezeichnet.

  • IP-Adressen oder Adressbereiche, aus denen Anforderungen stammen.

  • Land oder geografischer Standort, von dem die Anforderung stammt.

  • Länge eines angegebenen Teils der Anforderung, z. B. die Abfragezeichenfolge.

  • SQLCode, der wahrscheinlich bösartig ist. Angreifer versuchen, Daten aus Ihrer Datenbank zu extrahieren, indem sie bösartigen SQL Code in eine Webanfrage einbetten. Dies wird als SQL Injektion bezeichnet.

  • Zeichenfolgen, die in der Anforderung angezeigt werden, z. B. Werte im User-Agent-Header oder Textzeichenfolgen in der Abfragezeichenfolge. Sie können auch reguläre Ausdrücke (Regex) verwenden, um diese Zeichenfolgen anzugeben.

  • Labels, die der Anfrage durch frühere Regeln im Internet hinzugefügt ACL wurden.

Zusätzlich zu Aussagen mit Prüfkriterien für Webanfragen, wie sie in der obigen Liste aufgeführt sind, AWS WAF unterstützt logische Anweisungen fürAND, undOR, NOT die Sie verwenden, um Anweisungen in einer Regel zu kombinieren.

Basierend auf aktuellen Anforderungen, die Sie von einem Angreifer erhalten haben, können Sie beispielsweise eine ratenbasierte Regel mit einer verschachtelten AND-Regelanweisung erstellen, die die folgenden verschachtelten Anweisungen kombiniert:

  • Die Anforderungen stammen von 192.0.2.44.

  • Sie enthalten den Wert BadBot im User-Agent-Header.

  • Sie scheinen SQL ähnlichen Code in der Abfragezeichenfolge zu enthalten.

In diesem Fall muss die Webanforderung mit allen Anweisungen übereinstimmen, damit die oberste AND-Anweisung übereinstimmt.

Themen