**Wir stellen vor: ein neues Konsolenerlebnis für AWS WAF**
Sie können das aktualisierte Erlebnis jetzt verwenden, um überall in der Konsole auf AWS WAF Funktionen zuzugreifen. Weitere Informationen finden Sie unter [Arbeiten mit der Konsole](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html).
Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# AWS WAF Regeln
In diesem Abschnitt wird erklärt, was eine AWS WAF Regel ist und wie sie funktioniert.
Eine AWS WAF Regel definiert, wie HTTP (S) -Webanfragen geprüft werden und welche Aktion bei einer Anfrage zu ergreifen ist, wenn sie den Inspektionskriterien entspricht. Sie definieren Regeln nur im Kontext einer Regelgruppe oder eines Schutzpakets (Web-ACL).
Regeln existieren nicht für AWS WAF sich allein. Sie sind keine AWS Ressourcen und sie haben keine Amazon-Ressourcennamen (ARNs). Sie können auf eine Regel anhand des Namens in der Regelgruppe oder dem Schutzpaket (Web-ACL) zugreifen, in dem sie definiert ist. Sie können Regeln verwalten und sie in andere Schutzpakete (Web ACLs) kopieren, indem Sie die JSON-Ansicht der Regelgruppe oder des Schutzpakets (Web-ACL) verwenden, das die Regel enthält. Sie können sie auch über den AWS WAF Console Rule Builder verwalten, der für Schutzpakete (Web ACLs) und Regelgruppen verfügbar ist.
**Regelname**
Für jede Regel ist ein Name erforderlich. Vermeiden Sie Namen, die mit Regelgruppen oder Regeln beginnen, die für Sie von anderen Diensten verwaltet werden, `AWS` und Namen, die für Sie verwendet werden. Siehe [Erkennen von Regelgruppen, die von anderen Diensten bereitgestellt werden](waf-service-owned-rule-groups.md).
**Anmerkung**
Wenn Sie den Namen einer Regel ändern und möchten, dass der Metrikname der Regel die Änderung widerspiegelt, müssen Sie auch den Metriknamen aktualisieren. AWS WAF aktualisiert den Metriknamen für eine Regel nicht automatisch, wenn Sie den Regelnamen ändern. Sie können den Metriknamen ändern, wenn Sie die Regel in der Konsole bearbeiten, indem Sie den JSON-Editor für Regeln verwenden. Sie können beide Namen auch über die APIs und in jeder JSON-Liste ändern, die Sie zur Definition Ihres Schutzpakets (Web-ACL) oder Ihrer Regelgruppe verwenden.
**Erklärung zur Regel**
Für jede Regel ist außerdem eine Regelaussage erforderlich, die definiert, wie die Regel Webanfragen prüft. Die Regelanweisung kann je nach Regel und Anweisungstyp weitere, verschachtelte Anweisungen in beliebiger Tiefe enthalten. Einige Regelaussagen basieren auf einer Reihe von Kriterien. Sie können beispielsweise bis zu 10.000 IP-Adressen oder IP-Adressbereiche für eine IP-Set-Übereinstimmungsregel angeben.
Sie können Regeln definieren, die nach Kriterien wie den folgenden suchen:
+ Skripts sind möglicherweise bösartig. Angreifer betten Skripts ein, die Sicherheitslücken in Webanwendungen ausnutzen. Dies wird als Cross-Site-Scripting (XSS) bezeichnet.
+ IP-Adressen oder Adressbereiche, aus denen Anforderungen stammen.
+ Land oder geografischer Standort, von dem die Anforderung stammt.
+ Länge eines angegebenen Teils der Anforderung, z. B. die Abfragezeichenfolge.
+ SQL-Code, der möglicherweise bösartig ist. Angreifer, die versuchen, Daten aus Ihrer Datenbank zu extrahieren, indem sie bösartigen SQL-Code in eine Webanforderung einbetten. Dies wird als SQL Injection bezeichnet.
+ Zeichenfolgen, die in der Anforderung angezeigt werden, z. B. Werte im `User-Agent`-Header oder Textzeichenfolgen in der Abfragezeichenfolge. Sie können auch reguläre Ausdrücke (Regex) verwenden, um diese Zeichenfolgen anzugeben.
+ Bezeichnungen, die frühere Regeln des Schutzpakets (Web-ACL) der Anfrage hinzugefügt haben.
Zusätzlich zu Anweisungen mit Prüfkriterien für Webanfragen, wie die in der obigen Liste, werden logische Anweisungen für`AND`, und AWS WAF unterstützt`OR`, `NOT` die Sie verwenden, um Anweisungen in einer Regel zu kombinieren.
Basierend auf aktuellen Anforderungen, die Sie von einem Angreifer erhalten haben, können Sie beispielsweise eine ratenbasierte Regel mit einer verschachtelten `AND`-Regelanweisung erstellen, die die folgenden verschachtelten Anweisungen kombiniert:
+ Die Anforderungen stammen von 192.0.2.44.
+ Sie enthalten den Wert `BadBot` im `User-Agent`-Header.
+ Sie scheinen schädlichen SQL-ähnlichen Code in die Abfragezeichenfolge einzufügen.
In diesem Fall muss die Webanforderung mit allen Anweisungen übereinstimmen, damit die oberste `AND`-Anweisung übereinstimmt.
**Topics**
+ [Verwenden von Regelaktionen in AWS WAF](waf-rule-action.md)
+ [Verwenden von Regelanweisungen in AWS WAF](waf-rule-statements.md)
+ [Verwenden von Vergleichsregelanweisungen in AWS WAF](waf-rule-statements-match.md)
+ [Verwendung logischer Regelanweisungen in AWS WAF](waf-rule-statements-logical.md)
+ [Verwendung ratenbasierter Regelanweisungen in AWS WAF](waf-rule-statement-type-rate-based.md)
+ [Verwenden von Regelgruppenregelanweisungen in AWS WAF](waf-rule-statements-rule-group.md)
# Verwenden von Regelaktionen in AWS WAF
In diesem Abschnitt wird erklärt, wie Regelaktionen funktionieren.
Die Regelaktion legt fest, AWS WAF was mit einer Webanfrage geschehen soll, wenn sie den in der Regel definierten Kriterien entspricht. Sie können jeder Regelaktion optional ein benutzerdefiniertes Verhalten hinzufügen.
**Anmerkung**
Regelaktionen können beendend oder nicht beendend sein. Eine abschließende Aktion beendet die Auswertung der Anfrage durch das Protection Pack (Web-ACL) und lässt sie entweder an Ihre geschützte Anwendung weiterleiten oder blockiert sie.
Hier sind die Optionen für die Regelaktion:
+ **Allow**— AWS WAF ermöglicht die Weiterleitung der Anfrage zur Bearbeitung und Beantwortung an die geschützte AWS Ressource. Dies ist eine abschließende Aktion. In von Ihnen definierten Regeln können Sie benutzerdefinierte Header in die Anfrage einfügen, bevor Sie sie an die geschützte Ressource weiterleiten.
+ **Block**— AWS WAF blockiert die Anfrage. Dies ist eine abschließende Aktion. Standardmäßig antwortet Ihre geschützte AWS Ressource mit einem `403 (Forbidden)` HTTP-Statuscode. In Regeln, die Sie definieren, können Sie die Antwort anpassen. Wenn eine Anfrage AWS WAF blockiert wird, bestimmen die Block Aktionseinstellungen die Antwort, die die geschützte Ressource an den Client zurücksendet.
+ **Count**— AWS WAF zählt die Anfrage, bestimmt aber nicht, ob sie zugelassen oder blockiert werden soll. Dies ist eine Aktion, die nicht beendet wird. AWS WAF setzt die Verarbeitung der verbleibenden Regeln im Schutzpaket (Web-ACL) fort. In von Ihnen definierten Regeln können Sie benutzerdefinierte Header in die Anforderung einfügen und Labels hinzufügen, mit denen andere Regeln übereinstimmen können.
+ **CAPTCHAund Challenge** — AWS WAF verwendet CAPTCHA-Rätsel und stille Challenges, um zu überprüfen, ob die Anfrage nicht von einem Bot stammt, und AWS WAF verwendet Tokens, um die letzten erfolgreichen Kundenantworten nachzuverfolgen.
CAPTCHA-Rätsel und stille Herausforderungen können nur ausgeführt werden, wenn Browser auf HTTPS-Endpunkte zugreifen. Browser-Clients müssen in sicheren Kontexten ausgeführt werden, um Token zu erhalten.
**Anmerkung**
Ihnen werden zusätzliche Gebühren berechnet, wenn Sie die Aktion CAPTCHA oder Challenge Regel in einer Ihrer Regeln oder als Überschreibung von Regelaktionen in einer Regelgruppe verwenden. Weitere Informationen finden Sie unter [AWS WAF – Preise](https://aws.amazon.com/waf/pricing/).
Diese Regelaktionen können abhängig vom Status des Tokens in der Anfrage beendet oder nicht beendet werden:
+ **Nicht terminierend für ein gültiges, nicht abgelaufenes Token** — Wenn das Token gemäß dem konfigurierten CAPTCHA oder der Challenge-Immunitätszeit gültig und nicht abgelaufen ist, wird die Anfrage ähnlich wie die Aktion behandelt. AWS WAF Count AWS WAF überprüft die Webanforderung weiterhin auf der Grundlage der verbleibenden Regeln im Schutzpaket (Web-ACL). Ähnlich wie bei der Count Konfiguration können Sie in von Ihnen definierten Regeln diese Aktionen optional mit benutzerdefinierten Headern konfigurieren, die in die Anfrage eingefügt werden, und Sie können Labels hinzufügen, mit denen andere Regeln abgleichen können.
+ **Beenden mit blockierter Anfrage für ein ungültiges oder abgelaufenes Token** — Wenn das Token ungültig ist oder der angegebene Zeitstempel abgelaufen ist, wird die Überprüfung der Webanforderung AWS WAF beendet und die Anfrage blockiert, ähnlich wie bei der Aktion. Block AWS WAF antwortet dem Client dann mit einem benutzerdefinierten Antwortcode. Denn CAPTCHA wenn der Inhalt der Anfrage darauf hindeutet, dass der Client-Browser damit umgehen kann, AWS WAF sendet er ein CAPTCHA-Puzzle in einem JavaScript Interstitial, das menschliche Kunden von Bots unterscheiden soll. Für die Challenge Aktion wird ein JavaScript Interstitial mit einer stillen Aufforderung AWS WAF gesendet, mit der normale Browser von Sitzungen unterschieden werden sollen, die von Bots ausgeführt werden.
Weitere Informationen finden Sie unter [CAPTCHAund Challenge in AWS WAF](waf-captcha-and-challenge.md).
Informationen zum Anpassen von Anforderungen und Antworten finden Sie unter [Maßgeschneiderte Webanfragen und Antworten in AWS WAF](waf-custom-request-response.md).
Informationen zum Hinzufügen von Bezeichnungen zu übereinstimmenden Anforderungen finden Sie unter [Etikettierung von Webanfragen in AWS WAF](waf-labels.md).
Informationen zum Zusammenspiel von Protection Pack (Web-ACL) und Regeleinstellungen finden Sie unter. [Verwenden von Schutzpaketen (Web ACLs) mit Regeln und Regelgruppen in AWS WAF](web-acl-processing.md)
# Verwenden von Regelanweisungen in AWS WAF
In diesem Abschnitt wird erklärt, wie Regelanweisungen funktionieren.
Regelanweisungen sind der Teil einer Regel, der festlegt, AWS WAF wie eine Webanfrage geprüft wird. Wenn AWS WAF die Prüfkriterien in einer Webanfrage gefunden werden, sagen wir, dass die Webanforderung mit der Anweisung übereinstimmt. Jede Regelanweisung gibt je nach Anweisungstyp an, wonach und wie gesucht werden soll.
Jede Regel AWS WAF hat eine einzige Regelanweisung auf oberster Ebene, die weitere Anweisungen enthalten kann. Regelanweisungen können sehr einfach sein. Sie könnten beispielsweise eine Anweisung haben, die eine Reihe von Ursprungsländern angibt, für die Sie Ihre Webanfragen überprüfen können, oder Sie könnten eine Regelaussage in einem Schutzpaket (Web-ACL) haben, die nur auf eine Regelgruppe verweist. Regelanweisungen können sehr komplex sein. Beispielsweise könnten Sie eine Anweisung haben, die viele andere Anweisungen mit logischen AND-, OR- und NOT-Anweisungen kombiniert.
Bei den meisten Regeln können Sie übereinstimmenden Anfragen eine benutzerdefinierte AWS WAF Kennzeichnung hinzufügen. Die Regeln in den Regelgruppen „ AWS Verwaltete Regeln“ fügen übereinstimmenden Anfragen Labels hinzu. Die Bezeichnungen, die eine Regel hinzufügt, enthalten Informationen über die Anfrage zu Regeln, die später im Schutzpaket (Web-ACL) sowie in AWS WAF Protokollen und Metriken ausgewertet werden. Informationen zur Kennzeichnung finden Sie unter [Etikettierung von Webanfragen in AWS WAF](waf-labels.md) und[Regelanweisung für Bezeichnungsübereinstimmung](waf-rule-statement-type-label-match.md).
**Verschachteln von Regelanweisungen**
AWS WAF unterstützt die Verschachtelung für viele Regelanweisungen, aber nicht für alle. Beispielsweise können Sie eine Regelgruppenanweisung nicht in einer anderen Anweisung verschachteln. Für einige Szenarien müssen Sie Verschachtelung verwenden, z. B. Eingrenzungsanweisungen und logische Anweisungen. Die folgenden Regelanweisungslisten und Regeldetails beschreiben die Verschachtelungsfunktionen und Anforderungen für jede Kategorie und Regel.
Der visuelle Editor für Regeln in der Konsole unterstützt nur eine Verschachtelungsebene für Regelanweisungen. Sie können beispielsweise viele Arten von Anweisungen innerhalb einer logischen AND oder einer OR Regel verschachteln, aber Sie können keine andere AND OR OR-Regel verschachteln, weil dafür eine zweite Verschachtelungsebene erforderlich ist. Um mehrere Verschachtelungsebenen zu implementieren, stellen Sie die Regeldefinition in JSON bereit, entweder über den JSON-Regeleditor in der Konsole oder über. APIs
**Topics**
+ [Anpassen der Einstellungen für Regelanweisungen in AWS WAF](waf-rule-statement-fields.md)
+ [Verwendung von Scope-Down-Aussagen in AWS WAF](waf-rule-scope-down-statements.md)
+ [Verweisen auf wiederverwendbare Entitäten in AWS WAF](waf-rule-statement-reusable-entities.md)
# Anpassen der Einstellungen für Regelanweisungen in AWS WAF
In diesem Abschnitt werden die Einstellungen beschrieben, die Sie in Regelanweisungen angeben können, die eine Komponente der Webanforderung untersuchen. Informationen zur Verwendung finden Sie in den einzelnen Regelanweisungen unter[Verwenden von Vergleichsregelanweisungen in AWS WAF](waf-rule-statements-match.md).
Eine Teilmenge dieser Webanforderungskomponenten kann auch in ratenbasierten Regeln als benutzerdefinierte Aggregationsschlüssel für Anfragen verwendet werden. Weitere Informationen finden Sie unter [Aggregieren von ratenbasierten Regeln in AWS WAF](waf-rule-statement-type-rate-based-aggregation-options.md).
Für die Einstellungen der Anforderungskomponente geben Sie den Komponententyp selbst und je nach Komponententyp alle zusätzlichen Optionen an. Wenn Sie beispielsweise einen Komponententyp untersuchen, der Text enthält, können Sie Texttransformationen darauf anwenden, bevor Sie ihn untersuchen.
**Anmerkung**
Sofern nicht anders angegeben, wird eine Webanforderung, die nicht über die in der Regelanweisung angegebene Anforderungskomponente verfügt, so AWS WAF bewertet, dass die Anforderung nicht den Regelkriterien entspricht.
**Contents**
+ [Komponenten anfordern in AWS WAF](waf-rule-statement-fields-list.md)
+ [HTTP-Methode](waf-rule-statement-fields-list.md#waf-rule-statement-request-component-http-method)
+ [Einzelner Header](waf-rule-statement-fields-list.md#waf-rule-statement-request-component-single-header)
+ [Alle Header](waf-rule-statement-fields-list.md#waf-rule-statement-request-component-headers)
+ [Reihenfolge der Kopfzeilen](waf-rule-statement-fields-list.md#waf-rule-statement-request-component-header-order)
+ [Cookies](waf-rule-statement-fields-list.md#waf-rule-statement-request-component-cookies)
+ [URI-Fragment](waf-rule-statement-fields-list.md#waf-rule-statement-request-component-uri-fragment)
+ [URI-Pfad](waf-rule-statement-fields-list.md#waf-rule-statement-request-component-uri-path)
+ [JA3 Fingerabdruck](waf-rule-statement-fields-list.md#waf-rule-statement-request-component-ja3-fingerprint)
+ [JA4 Fingerabdruck](waf-rule-statement-fields-list.md#waf-rule-statement-request-component-ja4-fingerprint)
+ [Abfragezeichenfolge](waf-rule-statement-fields-list.md#waf-rule-statement-request-component-query-string)
+ [Einzelabfrageparameter](waf-rule-statement-fields-list.md#waf-rule-statement-request-component-single-query-param)
+ [Alle Abfrageparameter](waf-rule-statement-fields-list.md#waf-rule-statement-request-component-all-query-params)
+ [Fließtext](waf-rule-statement-fields-list.md#waf-rule-statement-request-component-body)
+ [JSON-Text](waf-rule-statement-fields-list.md#waf-rule-statement-request-component-json-body)
+ [Verwendung weitergeleiteter IP-Adressen in AWS WAF](waf-rule-statement-forwarded-ip-address.md)
+ [Untersuchung von HTTP/2-Pseudo-Headern in AWS WAF](waf-rule-statement-request-components-for-http2-pseudo-headers.md)
+ [Verwenden von Texttransformationen in AWS WAF](waf-rule-statement-transformation.md)
# Komponenten anfordern in AWS WAF
In diesem Abschnitt werden die Komponenten der Webanforderung beschrieben, die Sie prüfen lassen können. Sie legen die Anforderungskomponente für Übereinstimmungsregelanweisungen fest, die nach Mustern innerhalb der Webanforderung suchen. Zu diesen Anweisungstypen gehören String-Match-, Regex-Match-, Größenbeschränkungs- und SQL-Injection-Angriffsanweisungen. Informationen zur Verwendung dieser Einstellungen für Anforderungskomponenten finden Sie in den einzelnen Regelanweisungen unter [Verwenden von Vergleichsregelanweisungen in AWS WAF](waf-rule-statements-match.md)
Sofern nicht anders angegeben, wird eine Webanforderung, die nicht über die in der Regelanweisung angegebene Anforderungskomponente verfügt, AWS WAF dahingehend bewertet, dass sie den Regelkriterien nicht entspricht.
**Anmerkung**
Sie geben für jede Regelanweisung, die eine solche erfordert, eine einzige Anforderungskomponente an. Um mehr als eine Komponente einer Anforderung zu prüfen, erstellen Sie für jede Komponente eine Regelanweisung.
Die AWS WAF Konsole und die API-Dokumentation enthalten Anleitungen zu den Einstellungen der Anforderungskomponente an den folgenden Stellen:
+ **Rule Builder** in der Konsole – Wählen Sie in den Einstellungen für einen regulären Regeltyp unter **Statement** (Anweisung) die zu prüfende Komponente unter **Request components** (Anforderungskomponenten) im Dialog **Inspect** (Untersuchen) aus.
+ **API-Anweisungsinhalt** – `FieldToMatch`
Der Rest dieses Abschnitts beschreibt die Optionen für den Teil der Webanforderung, der überprüft werden soll.
**Topics**
+ [HTTP-Methode](#waf-rule-statement-request-component-http-method)
+ [Einzelner Header](#waf-rule-statement-request-component-single-header)
+ [Alle Header](#waf-rule-statement-request-component-headers)
+ [Reihenfolge der Kopfzeilen](#waf-rule-statement-request-component-header-order)
+ [Cookies](#waf-rule-statement-request-component-cookies)
+ [URI-Fragment](#waf-rule-statement-request-component-uri-fragment)
+ [URI-Pfad](#waf-rule-statement-request-component-uri-path)
+ [JA3 Fingerabdruck](#waf-rule-statement-request-component-ja3-fingerprint)
+ [JA4 Fingerabdruck](#waf-rule-statement-request-component-ja4-fingerprint)
+ [Abfragezeichenfolge](#waf-rule-statement-request-component-query-string)
+ [Einzelabfrageparameter](#waf-rule-statement-request-component-single-query-param)
+ [Alle Abfrageparameter](#waf-rule-statement-request-component-all-query-params)
+ [Fließtext](#waf-rule-statement-request-component-body)
+ [JSON-Text](#waf-rule-statement-request-component-json-body)
## HTTP-Methode
Prüft die HTTP-Methode der Anforderung. Die HTTP-Methode gibt die Art des Vorgangs an, zu dessen Ausführung die Webanforderung Ihre geschützte Ressource auffordert, z. B. `POST` oder`GET`.
## Einzelner Header
Prüft einen einzelnen benannten Header in der Anforderung.
Für diese Option geben Sie den Header-Namen an, zum Beispiel `User-Agent` oder`Referer`. Bei der Zeichenfolgenabgleichung für den Namen wird nicht zwischen Groß- und Kleinschreibung unterschieden. Sie wird durchgeführt, nachdem führende und nachfolgende Leerzeichen sowohl im Anforderungsheader als auch in der Regel entfernt wurden.
## Alle Header
Prüft alle Anforderungsheader, einschließlich Cookies. Sie können einen Filter anwenden, um eine Teilmenge aller Header zu überprüfen.
Für diese Option geben Sie die folgenden Spezifikationen an:
+ **Muster zuordnen** — Der Filter, der verwendet werden soll, um eine Teilmenge von Headern zur Überprüfung abzurufen. AWS WAF sucht in den Header-Tasten nach diesen Mustern.
Die Einstellung für Übereinstimmungsmuster kann eine der folgenden sein:
+ **All** (Alle) – Übereinstimmung mit allen Schlüsseln. Bewerten Sie die Regelprüfungskriterien für alle Header.
+ **Excluded headers** (Ausgeschlossene Header) – Untersuchen Sie nur die Header, deren Schlüssel mit keiner der hier angegebenen Zeichenfolgen übereinstimmen. Bei der Zeichenfolgenübereinstimmung für einen Schlüssel wird nicht zwischen Groß- und Kleinschreibung unterschieden. Der Abgleich erfolgt, nachdem die führenden und nachfolgenden Leerzeichen aus dem Anforderungsheader und der Vergleichsregel gekürzt wurden.
+ **Included headers** (Enthaltene Header) – Untersuchen Sie nur die Header, deren Schlüssel mit einer der hier angegebenen Zeichenfolgen übereinstimmt. Beim Zeichenfolgenabgleich für einen Schlüssel wird nicht zwischen Groß- und Kleinschreibung unterschieden. Der Abgleich erfolgt, nachdem die führenden und nachfolgenden Leerzeichen aus dem Anforderungsheader und der Vergleichsregel gekürzt wurden.
+ **Abgleichsbereich** — Die Teile der Header, die anhand der AWS WAF Regelprüfungskriterien geprüft werden sollen. Sie können **Schlüssel**, **Werte** oder **Alle** angeben, um sowohl Schlüssel als auch Werte auf eine Übereinstimmung zu überprüfen.
**All** erfordert nicht, dass eine Übereinstimmung in den Schlüsseln und eine Übereinstimmung in den Werten gefunden wird. Es erfordert, dass eine Übereinstimmung in den Schlüsseln oder den Werten oder in beiden gefunden wird. Um eine Übereinstimmung in den Schlüsseln und in den Werten zu verlangen, verwenden Sie eine logische `AND` Anweisung, um zwei Vergleichsregeln zu kombinieren: eine, die die Schlüssel überprüft, und eine andere, die die Werte überprüft.
+ **Behandlung zu großer Datenmengen** — Wie AWS WAF soll mit Anfragen umgegangen werden, deren Header-Daten so groß sind, dass sie nicht untersucht werden können? AWS WAF AWS WAF kann höchstens die ersten 8 KB (8.192 Byte) der Anforderungsheader und höchstens die ersten 200 Header untersuchen. Der Inhalt kann AWS WAF bis zum ersten erreichten Limit überprüft werden. Sie können die Untersuchung fortsetzen oder überspringen und die Anforderung als mit der Regel übereinstimmend oder nicht mit der Regel übereinstimmend markieren. Weitere Informationen zur Handhabung zu großen Inhalten finden Sie unter [Übergroße Webanforderungskomponenten in AWS WAF](waf-oversize-request-components.md).
## Reihenfolge der Kopfzeilen
Untersuchen Sie eine Zeichenfolge, die die Liste der Header-Namen der Anfrage enthält, und zwar in der Reihenfolge, in der sie in der Webanforderung erscheinen, die zur AWS WAF Überprüfung eingeht. AWS WAF generiert die Zeichenfolge und verwendet sie dann als Feld, das der Komponente bei der Prüfung entspricht. AWS WAF trennt die Header-Namen in der Zeichenfolge beispielsweise `host:user-agent:accept:authorization:referer` durch Doppelpunkte und ohne zusätzliche Leerzeichen.
Für diese Option geben Sie die folgenden Spezifikationen an:
+ **Behandlung von Übergrößen** — Wie AWS WAF soll mit Anfragen umgegangen werden, deren Header-Daten zahlreicher oder umfangreicher sind, als untersucht AWS WAF werden können? AWS WAF kann höchstens die ersten 8 KB (8.192 Byte) der Anforderungsheader und höchstens die ersten 200 Header untersuchen. Der Inhalt kann AWS WAF bis zum ersten erreichten Limit überprüft werden. Sie können wählen, ob Sie die Überprüfung der verfügbaren Header fortsetzen oder die Überprüfung überspringen und die Anfrage als mit der Regel übereinstimmend oder nicht übereinstimmend markieren möchten. Weitere Informationen zur Handhabung zu großen Inhalten finden Sie unter [Übergroße Webanforderungskomponenten in AWS WAF](waf-oversize-request-components.md).
## Cookies
Prüft alle Anforderungs-Cookies. Sie können einen Filter anwenden, um eine Teilmenge aller Cookies zu überprüfen.
Für diese Option geben Sie die folgenden Spezifikationen an:
+ **Match patterns** (Übereinstimmungsmuster) – Der Filter, der verwendet werden soll, um eine Teilmenge von Cookies für die Prüfung zu erhalten. AWS WAF sucht nach diesen Mustern in den Header-Cookies.
Die Einstellung für Übereinstimmungsmuster kann eine der folgenden sein:
+ **All** (Alle) – Übereinstimmung mit allen Schlüsseln. Bewerten Sie die Regelprüfungskriterien für alle Cookies.
+ **Excluded cookies** (Ausgeschlossene Cookies) – Untersuchen Sie nur die Cookies, deren Schlüssel mit keiner der hier angegebenen Zeichenfolgen übereinstimmen. Beim Zeichenfolgenabgleich für einen Schlüssel wird zwischen Groß- und Kleinschreibung unterschieden. Die Übereinstimmung muss exakt sein.
+ **Included cookies** (Enthaltene Cookies) – Untersuchen Sie nur die Cookies, deren Schlüssel mit einer der hier angegebenen Zeichenfolgen übereinstimmt. Beim Zeichenfolgenabgleich für einen Schlüssel wird zwischen Groß- und Kleinschreibung unterschieden. Die Übereinstimmung muss exakt sein.
+ **Geltungsbereich zuordnen** — Die Teile der Cookies, die anhand der Regelprüfungskriterien überprüft werden AWS WAF sollen. Sie können **Keys** (Schlüssel), **Values** (Werte), oder **All** (Alle) für sowohl Schlüssel als auch Werte angeben.
**All** erfordert nicht, dass eine Übereinstimmung in den Schlüsseln und eine Übereinstimmung in den Werten gefunden wird. Es erfordert, dass eine Übereinstimmung in den Schlüsseln oder den Werten oder in beiden gefunden wird. Um eine Übereinstimmung in den Schlüsseln und in den Werten zu verlangen, verwenden Sie eine logische `AND` Anweisung, um zwei Vergleichsregeln zu kombinieren: eine, die die Schlüssel überprüft, und eine andere, die die Werte überprüft.
+ **Umgang mit überdimensionalen** Daten — Wie AWS WAF soll mit Anfragen umgegangen werden, deren Cookie-Daten größer sind als AWS WAF das, was untersucht werden kann? AWS WAF kann höchstens die ersten 8 KB (8.192 Byte) der Anforderungs-Cookies und höchstens die ersten 200 Cookies untersuchen. Der Inhalt kann AWS WAF bis zur ersten erreichten Grenze eingesehen werden. Sie können die Untersuchung fortsetzen oder überspringen und die Anforderung als mit der Regel übereinstimmend oder nicht mit der Regel übereinstimmend markieren. Weitere Informationen zur Handhabung zu großen Inhalten finden Sie unter [Übergroße Webanforderungskomponenten in AWS WAF](waf-oversize-request-components.md).
## URI-Fragment
**Anmerkung**
Die Überprüfung von URI-Fragmenten ist nur für CloudFront Distributionen und Application Load Balancers verfügbar.
Prüft den Teil einer URL, der auf das Symbol „\$1“ folgt, und liefert zusätzliche Informationen über die Ressource, z. B. \$1section2. Informationen dazu finden Sie unter [Uniform Resource Identifier (URI): Generic Syntax](https://tools.ietf.org/html/rfc3986#section-3).
Wenn Sie keine Texttransformation mit dieser Option verwenden, normalisiert das URI-Fragment AWS WAF nicht und überprüft es genau so, wie es vom Client in der Anfrage empfangen wurde. Informationen zu Texttransformationen finden Sie unter [Verwenden von Texttransformationen in AWS WAF](waf-rule-statement-transformation.md).
**Anforderungen an die Regelerklärung**
Sie müssen ein Ausweichverhalten für diese Regelanweisung angeben. Das Fallback-Verhalten ist der Übereinstimmungsstatus, den Sie der Webanforderung zuweisen AWS WAF möchten, wenn der URI fehlt, das Fragment oder der zugehörige Dienst nicht Application Load Balancer oder ist. CloudFront Wenn Sie sich für einen Abgleich entscheiden, AWS WAF behandelt die Anfrage so, als ob sie der Regelanweisung entspricht, und wendet die Regelaktion auf die Anfrage an. Wenn Sie keine Übereinstimmung wählen, wird die Anfrage so AWS WAF behandelt, als ob sie nicht mit der Regelanweisung übereinstimmt.
## URI-Pfad
Prüft den Teil einer URL, der eine Ressource angibt, z. B. `/images/daily-ad.jpg`. Informationen dazu finden Sie unter [Uniform Resource Identifier (URI): Generic Syntax](https://tools.ietf.org/html/rfc3986#section-3).
Wenn Sie mit dieser Option keine Texttransformation verwenden, wird der URI AWS WAF nicht normalisiert und er wird genau so geprüft, wie er ihn vom Client in der Anfrage erhält. Informationen zu Texttransformationen finden Sie unter [Verwenden von Texttransformationen in AWS WAF](waf-rule-statement-transformation.md).
## JA3 Fingerabdruck
Prüft den Fingerabdruck der Anfrage. JA3
**Anmerkung**
JA3 Die Überprüfung von Fingerabdrücken ist nur für CloudFront Amazon-Distributionen und Application Load Balancers verfügbar.
Der JA3 Fingerabdruck ist ein 32-stelliger Hash, der aus dem TLS-Client-Hello einer eingehenden Anfrage abgeleitet wird. Dieser Fingerabdruck dient als eindeutige Kennung für die TLS-Konfiguration des Clients. AWS WAF berechnet und protokolliert diesen Fingerabdruck für jede Anfrage, die genügend TLS-Client-Hello-Informationen für die Berechnung enthält. Fast alle Webanfragen enthalten diese Informationen.
**Wie erhalte ich den JA3 Fingerabdruck eines Kunden**
Den JA3 Fingerabdruck für die Anfragen eines Kunden können Sie den Protokollen des Protection Packs (Web-ACL) entnehmen. Wenn in der Lage AWS WAF ist, den Fingerabdruck zu berechnen, nimmt es ihn in die Protokolle auf. Hinweise zu den Protokollierungsfeldern finden Sie unter[Protokollfelder für den Traffic des Protection Packs (Web-ACL)](logging-fields.md).
**Anforderungen an die Regelerklärung**
Sie können den JA3 Fingerabdruck nur innerhalb einer String-Match-Anweisung überprüfen, die so eingestellt ist, dass sie genau mit der von Ihnen angegebenen Zeichenfolge übereinstimmt. Geben Sie die JA3 Fingerabdruckzeichenfolge aus den Protokollen in Ihrer String-Match-Anweisungsspezifikation an, um sie mit future Anfragen abzugleichen, die dieselbe TLS-Konfiguration haben. Hinweise zur Anweisung zum Abgleichen von Zeichenketten finden Sie unter[Zeichenfolgen-Übereinstimmungsanweisung](waf-rule-statement-type-string-match.md).
Sie müssen ein Ausweichverhalten für diese Regelanweisung angeben. Das Fallback-Verhalten ist der Übereinstimmungsstatus, den Sie der Webanforderung zuweisen AWS WAF möchten, wenn der AWS WAF Fingerabdruck nicht berechnet werden kann. JA3 Wenn Sie sich für einen Abgleich entscheiden, AWS WAF behandelt die Anfrage so, als ob sie der Regelanweisung entspricht, und wendet die Regelaktion auf die Anfrage an. Wenn Sie keine Übereinstimmung wählen, wird die Anfrage so AWS WAF behandelt, als ob sie nicht mit der Regelanweisung übereinstimmt.
Um diese Abgleichsoption verwenden zu können, müssen Sie den Traffic Ihres Protection Packs (Web-ACL) protokollieren. Weitere Informationen finden Sie unter [Protokollierung AWS WAF des Datenverkehrs mit dem Protection Pack (Web-ACL)](logging.md).
## JA4 Fingerabdruck
Prüft den Fingerabdruck der Anfrage. JA4
**Anmerkung**
JA4 Die Überprüfung von Fingerabdrücken ist nur für CloudFront Amazon-Distributionen und Application Load Balancers verfügbar.
Der JA4 Fingerabdruck ist ein 36-stelliger Hash, der aus dem TLS-Client-Hello einer eingehenden Anfrage abgeleitet wird. Dieser Fingerabdruck dient als eindeutige Kennung für die TLS-Konfiguration des Clients. JA4 Fingerprinting ist eine Erweiterung des JA3 Fingerabdrucks, die bei einigen Browsern zu weniger eindeutigen Fingerabdrücken führen kann. AWS WAF berechnet und protokolliert diesen Fingerabdruck für jede Anfrage, die genügend TLS Client Hello-Informationen für die Berechnung enthält. Fast alle Webanfragen enthalten diese Informationen.
**Wie erhalte ich den JA4 Fingerabdruck eines Kunden**
Den JA4 Fingerabdruck für die Anfragen eines Kunden können Sie den Protokollen des Protection Packs (Web-ACL) entnehmen. Wenn in der Lage AWS WAF ist, den Fingerabdruck zu berechnen, nimmt es ihn in die Protokolle auf. Hinweise zu den Protokollierungsfeldern finden Sie unter[Protokollfelder für den Traffic des Protection Packs (Web-ACL)](logging-fields.md).
**Anforderungen an die Regelerklärung**
Sie können den JA4 Fingerabdruck nur innerhalb einer String-Match-Anweisung überprüfen, die so eingestellt ist, dass sie genau mit der von Ihnen angegebenen Zeichenfolge übereinstimmt. Geben Sie die JA4 Fingerabdruckzeichenfolge aus den Protokollen in Ihrer String-Match-Anweisungsspezifikation an, um sie mit future Anfragen abzugleichen, die dieselbe TLS-Konfiguration haben. Hinweise zur Anweisung zum Abgleichen von Zeichenketten finden Sie unter[Zeichenfolgen-Übereinstimmungsanweisung](waf-rule-statement-type-string-match.md).
Sie müssen ein Ausweichverhalten für diese Regelanweisung angeben. Das Fallback-Verhalten ist der Übereinstimmungsstatus, den Sie der Webanforderung zuweisen AWS WAF möchten, wenn der AWS WAF Fingerabdruck nicht berechnet werden kann. JA4 Wenn Sie sich für einen Abgleich entscheiden, AWS WAF behandelt die Anfrage so, als ob sie der Regelanweisung entspricht, und wendet die Regelaktion auf die Anfrage an. Wenn Sie keine Übereinstimmung wählen, wird die Anfrage so AWS WAF behandelt, als ob sie nicht mit der Regelanweisung übereinstimmt.
Um diese Abgleichsoption verwenden zu können, müssen Sie den Traffic Ihres Protection Packs (Web-ACL) protokollieren. Weitere Informationen finden Sie unter [Protokollierung AWS WAF des Datenverkehrs mit dem Protection Pack (Web-ACL)](logging.md).
## Abfragezeichenfolge
Prüft den Teil der URL nach einem „`?`“, sofern vorhanden.
**Anmerkung**
**Für standortübergreifende Scripting-Abgleichsanweisungen empfehlen wir, dass Sie **Alle Abfrageparameter anstelle von Abfragezeichenfolge** wählen.** Wenn Sie **Alle Abfrageparameter** wählen, werden die WCUs Grundkosten um 10% erhöht.
## Einzelabfrageparameter
Prüft einen einzelnen Abfrageparameter, den Sie als Teil der Abfragezeichenfolge definiert haben. AWS WAF überprüft den Wert des von Ihnen angegebenen Parameters.
Für diese Option geben Sie auch ein **Query argument** (Abfrageargument) an. Wenn die z. B. URL `www.xyz.com?UserName=abc&SalesRegion=seattle` lautet, können Sie für das Abfrageargument `UserName` oder `SalesRegion` angeben. Die maximale Länge des Argumentnamens beträgt 30 Zeichen. Der Name unterscheidet nicht zwischen Groß- und Kleinschreibung. Wenn Sie `UserName` angeben, stimmt AWS WAF also mit allen Varianten von `UserName` überein (einschließlich `username` und `UsERName`).
Wenn die Abfragezeichenfolge mehr als eine Instanz des von Ihnen angegebenen Abfragearguments enthält, werden AWS WAF alle Werte mithilfe OR von Logik auf eine Übereinstimmung überprüft. In der URL `www.xyz.com?SalesRegion=boston&SalesRegion=seattle` bewertet AWS WAF beispielsweise den Namen, den Sie für `boston` und `seattle` angegeben haben. Wenn eine der beiden Varianten übereinstimmt, ist die Überprüfung eine Übereinstimmung.
## Alle Abfrageparameter
Prüft alle Abfrageparameter in der Anforderung. Dies ähnelt der Komponentenauswahl für einen einzelnen Abfrageparameter, AWS WAF überprüft jedoch die Werte aller Argumente innerhalb der Abfragezeichenfolge. Wenn die URL beispielsweise `www.xyz.com?UserName=abc&SalesRegion=seattle` ist, löst AWS WAF eine Übereinstimmung aus, wenn entweder der Wert von `UserName` oder `SalesRegion` den Prüfkriterien entspricht.
Wenn Sie diese Option wählen, werden die Grundkosten WCUs um 10% erhöht.
## Fließtext
Prüft den Anforderungstext, der als Klartext ausgewertet wird. Sie können den Text auch als JSON-Code auswerten, indem Sie den Inhaltstyp JSON verwenden.
Der Anforderungstext ist der Teil, der unmittelbar auf die Header der Anforderung folgt. Er enthält alle zusätzlichen Daten, die für die Webanforderung benötigt werden, z. B. Daten aus einem Formular.
+ In der Konsole wählen Sie dies unter der **Request option** (Anforderungsoption) **Body** (Text) aus, indem Sie den **Content type** (Inhaltstyp) **Plain text** (Klartext) auswählen.
+ In der API geben Sie in der `FieldToMatch`-Spezifikation der Regel `Body` an, um den Anforderungstext als Klartext zu untersuchen.
Für Application Load Balancer und AWS AppSync AWS WAF können die ersten 8 KB des Hauptteils einer Anfrage untersuchen. Denn CloudFront API Gateway, Amazon Cognito, App Runner und Verified Access AWS WAF können standardmäßig die ersten 16 KB überprüfen, und Sie können das Limit in Ihrer Protection Pack-Konfiguration (Web-ACL) auf bis zu 64 KB erhöhen. Weitere Informationen finden Sie unter [Überlegungen zur Durchführung der Körperinspektion in AWS WAF](web-acl-setting-body-inspection-limit.md).
Sie müssen für diesen Komponententyp die Handhabung zu großer Inhalte angeben. Bei der Verarbeitung von Übergrößen wird definiert, wie Anfragen AWS WAF behandelt werden, deren Textdaten größer sind als das, was untersucht AWS WAF werden kann. Sie können die Untersuchung fortsetzen oder überspringen und die Anforderung als mit der Regel übereinstimmend oder nicht mit der Regel übereinstimmend markieren. Weitere Informationen zur Handhabung zu großen Inhalten finden Sie unter [Übergroße Webanforderungskomponenten in AWS WAF](waf-oversize-request-components.md).
Sie können den Text auch als analysierten JSON-Code bewerten. Informationen zu diesem Konto finden Sie im folgenden Abschnitt.
## JSON-Text
Prüft den Anforderungstext, der als JSON-Code ausgewertet wird. Sie können den Text auch als Klartext auswerten.
Der Anforderungstext ist der Teil, der unmittelbar auf die Header der Anforderung folgt. Er enthält alle zusätzlichen Daten, die für die Webanforderung benötigt werden, z. B. Daten aus einem Formular.
+ In der Konsole wählen Sie dies unter der **Request option** (Anforderungsoption) **Body** (Text) aus, indem Sie den **Content type** (Inhaltstyp) **JSON** auswählen.
+ In der API geben Sie in der `FieldToMatch`-Spezifikation der Regel `JsonBody` an.
Für Application Load Balancer und AWS AppSync AWS WAF können die ersten 8 KB des Hauptteils einer Anfrage untersuchen. Denn CloudFront API Gateway, Amazon Cognito, App Runner und Verified Access AWS WAF können standardmäßig die ersten 16 KB überprüfen, und Sie können das Limit in Ihrer Protection Pack-Konfiguration (Web-ACL) auf bis zu 64 KB erhöhen. Weitere Informationen finden Sie unter [Überlegungen zur Durchführung der Körperinspektion in AWS WAF](web-acl-setting-body-inspection-limit.md).
Sie müssen für diesen Komponententyp die Handhabung zu großer Inhalte angeben. Bei der Verarbeitung von Übergrößen wird definiert, wie Anfragen AWS WAF behandelt werden, deren Textdaten größer sind als das, was untersucht AWS WAF werden kann. Sie können die Untersuchung fortsetzen oder überspringen und die Anforderung als mit der Regel übereinstimmend oder nicht mit der Regel übereinstimmend markieren. Weitere Informationen zur Handhabung zu großen Inhalten finden Sie unter [Übergroße Webanforderungskomponenten in AWS WAF](waf-oversize-request-components.md).
Wenn Sie diese Option wählen, verdoppeln sich die Grundkosten der Match-Anweisung. WCUs Wenn beispielsweise die Basiskosten der Match-Anweisung WCUs ohne JSON-Analyse 5 betragen, werden die Kosten bei Verwendung der JSON-Analyse auf 10 verdoppelt. WCUs
Für diese Option geben Sie zusätzliche Spezifikationen an, wie im folgenden Abschnitt beschrieben.
**Wie AWS WAF geht die JSON-Bodyinspektion vor**
Bei der AWS WAF Überprüfung des Hauptteils der Webanfrage als JSON werden Schritte ausgeführt, um den Hauptteil zu analysieren und die JSON-Elemente zur Überprüfung zu extrahieren. AWS WAF führt diese Schritte entsprechend Ihrer Konfigurationsauswahl aus.
Im Folgenden sind die Schritte aufgeführt, die AWS WAF ausgeführt werden.
1. **Analysieren Sie den Hauptteil** — AWS WAF analysiert den Inhalt des Hauptteils der Webanfrage, um die JSON-Elemente zur Überprüfung zu extrahieren. AWS WAF tut sein Bestes, um den gesamten Inhalt des Hauptteils zu analysieren, aber das Parsen kann aufgrund einer Vielzahl von Fehlerzuständen im Inhalt fehlschlagen. Beispiele hierfür sind ungültige Zeichen, doppelte Schlüssel, Kürzungen und Inhalte, deren Stammknoten kein Objekt oder Array ist.
Die Option **Fallback-Verhalten beim Parsen von Körpern** bestimmt, was passiert, wenn der JSON-Hauptteil AWS WAF nicht vollständig analysiert werden kann:
+ **Keine (Standardverhalten)** — AWS WAF wertet den Inhalt nur bis zu dem Punkt aus, an dem ein Analysefehler aufgetreten ist.
+ **Als Zeichenfolge auswerten** — Untersuchen Sie den Textkörper als reinen Text. AWS WAF wendet die Texttransformationen und Prüfkriterien, die Sie für die JSON-Prüfung definiert haben, auf die Texttextzeichenfolge an.
+ **Abgleichen** — Behandelt die Webanforderung so, als ob sie der Regelanweisung entspricht. AWS WAF wendet die Regelaktion auf die Anfrage an.
+ **No Match** (Keine Übereinstimmung) – Behandelt die Webanforderung als nicht mit der Regelanweisung übereinstimmend.
**Anmerkung**
Dieses Fallback-Verhalten wird nur ausgelöst, wenn beim AWS WAF Parsen der JSON-Zeichenfolge ein Fehler auftritt.
**Durch das Parsen wird das JSON nicht vollständig validiert**
AWS WAF Beim Parsen wird die eingegebene JSON-Zeichenfolge nicht vollständig validiert, sodass das Parsen auch bei ungültigem JSON erfolgreich sein kann.
AWS WAF Analysiert beispielsweise den folgenden ungültigen JSON-Code ohne Fehler:
+ Fehlendes Komma: `{"key1":"value1""key2":"value2"}`
+ Fehlender Doppelpunkt: `{"key1":"value1","key2""value2"}`
+ Zusätzliche Doppelpunkte: `{"key1"::"value1","key2""value2"}`
In Fällen wie diesen, in denen das Parsen erfolgreich ist, das Ergebnis aber kein vollständig gültiges JSON ist, kann das Ergebnis der nachfolgenden Bewertungsschritte variieren. Bei der Extraktion fehlen möglicherweise einige Elemente, oder die Regelauswertung kann zu unerwarteten Ergebnissen führen. Wir empfehlen Ihnen, den JSON-Code, den Sie in Ihrer Anwendung erhalten, zu validieren und ungültiges JSON nach Bedarf zu behandeln.
1. **Extrahieren Sie die JSON-Elemente** — AWS WAF identifiziert die Teilmenge der JSON-Elemente, die gemäß Ihren Einstellungen untersucht werden sollen:
+ Die Option **JSON match scope** spezifiziert die Typen von Elementen im JSON, die überprüft AWS WAF werden sollen.
Sie können **Keys** (Schlüssel), **Values** (Werte), oder **All** (Alle) für sowohl Schlüssel als auch Werte angeben.
**All** erfordert nicht, dass eine Übereinstimmung in den Schlüsseln und eine Übereinstimmung in den Werten gefunden wird. Es erfordert, dass eine Übereinstimmung in den Schlüsseln oder den Werten oder in beiden gefunden wird. Um eine Übereinstimmung in den Schlüsseln und in den Werten zu verlangen, verwenden Sie eine logische `AND` Anweisung, um zwei Vergleichsregeln zu kombinieren: eine, die die Schlüssel überprüft, und eine andere, die die Werte überprüft.
+ Die Option Zu **prüfender Inhalt gibt an, wie die Elementgruppe nach der Teilmenge gefiltert werden soll, die Sie untersuchen** möchten AWS WAF .
Sie müssen eine der folgenden Eigenschaften angeben:
+ **Vollständiger JSON-Inhalt** — Evaluiert alle Elemente.
+ **Nur eingeschlossene Elemente** — Wertet nur Elemente aus, deren Pfade den von Ihnen angegebenen JSON-Pointer-Kriterien entsprechen. Verwenden Sie diese Option nicht, um *alle* Pfade im JSON anzugeben. Verwenden Sie stattdessen **vollständigen JSON-Inhalt**.
Informationen zur JSON-Pointer-Syntax finden Sie in der Dokumentation [JavaScript Object Notation (JSON) Pointer der Internet Engineering Task Force (IETF)](https://tools.ietf.org/html/rfc6901).
Sie können beispielsweise in der Konsole Folgendes eingeben:
```
/dogs/0/name
/dogs/1/name
```
In der API oder CLI können Sie Folgendes angeben:
```
"IncludedPaths": ["/dogs/0/name", "/dogs/1/name"]
```
Nehmen wir beispielsweise an, dass die Einstellung **Zu prüfender Inhalt auf** **Nur eingeschlossene Elemente** und die Einstellung Eingeschlossene Elemente auf. `/a/b`
Für das folgende Beispiel für einen JSON-Hauptteil:
```
{
"a":{
"c":"d",
"b":{
"e":{
"f":"g"
}
}
}
}
```
Die Elementgruppen, die nach jeder Einstellung des **JSON-Übereinstimmungsbereichs** suchen AWS WAF würden, sind unten aufgeführt. Beachten Sie, dass der Schlüssel`b`, der Teil des Pfads der eingeschlossenen Elemente ist, nicht ausgewertet wird.
+ **Alle**:`e`, `f,` und`g`.
+ **Schlüssel**: `e` und`f`.
+ **Werte**:`g`.
1. **Untersuchen Sie den JSON-Elementsatz** — AWS WAF wendet alle von Ihnen angegebenen Texttransformationen auf die extrahierten JSON-Elemente an und vergleicht dann den resultierenden Elementsatz mit den Übereinstimmungskriterien der Regelanweisung. Dies ist dasselbe Transformations- und Bewertungsverhalten wie bei anderen Webanforderungskomponenten. Wenn eines der extrahierten JSON-Elemente übereinstimmt, entspricht die Webanforderung der Regel.
# Verwendung weitergeleiteter IP-Adressen in AWS WAF
Dieser Abschnitt gilt für Regelanweisungen, die die IP-Adresse einer Webanforderung verwenden. AWS WAF Verwendet standardmäßig die IP-Adresse aus dem Ursprung der Webanfrage. Wenn eine Webanforderung jedoch einen oder mehrere Proxys oder Load Balancer durchläuft, enthält der Ursprung der Webanforderung die Adresse des letzten Proxys und nicht die Ursprungsadresse des Clients. In diesem Fall wird die ursprüngliche Clientadresse normalerweise in einem anderen HTTP-Header weitergeleitet. Dieser Header ist normalerweise `X-Forwarded-For` (XFF), es kann aber auch ein anderer sein.
**Regelanweisungen, die IP-Adressen verwenden**
Folgende Regelanweisungen verwenden IP-Adressen:
+ [IP-Set-Übereinstimmung](waf-rule-statement-type-ipset-match.md) – Prüft die IP-Adresse auf eine Übereinstimmung mit den Adressen, die in einem IP-Set definiert sind.
+ [Geographische Übereinstimmung](waf-rule-statement-type-geo-match.md)- Verwendet die IP-Adresse, um das Herkunftsland und die Herkunftsregion zu bestimmen, und vergleicht das Herkunftsland mit einer Liste von Ländern.
+ [ASN-Übereinstimmung](waf-rule-statement-type-asn-match.md)- Ermittelt anhand der IP-Adresse die Autonome Systemnummer (ASN) und gleicht die ASN mit einer Liste von ab. ASNs
+ [Verwenden von ratenbasierten Regelaussagen](waf-rule-statement-type-rate-based.md)- Kann Anfragen nach ihren IP-Adressen zusammenfassen, um sicherzustellen, dass keine einzelne IP-Adresse Anfragen mit zu hoher Geschwindigkeit sendet. Sie können die IP-Adressaggregation allein oder in Kombination mit anderen Aggregationsschlüsseln verwenden.
Sie können anweisen AWS WAF , für jede dieser Regelanweisungen eine weitergeleitete IP-Adresse zu verwenden, entweder aus dem `X-Forwarded-For` Header oder aus einem anderen HTTP-Header, anstatt den Ursprung der Webanfrage zu verwenden. Einzelheiten zur Bereitstellung der Spezifikationen finden Sie in den Empfehlungn zu den einzelnen Regelausweisungstypen.
**Anmerkung**
Wenn ein Header fehlt, wird jede Anweisung, die diesen Header verwendet, als „Keine Übereinstimmung“ AWS WAF bewertet. Wenn Sie eine NOT-Anweisung mit dem Ergebnis „Keine Übereinstimmung“ verwenden, wird die Auswertung in „Übereinstimmung“ AWS WAF umgewandelt. Fehlende Header lösen kein Fallback-Verhalten aus, sondern nur ungültige Header-Werte.
**Fallback-Verhalten**
Wenn Sie die weitergeleitete IP-Adresse verwenden, geben Sie den Übereinstimmungsstatus AWS WAF an, der der Webanfrage zugewiesen werden soll, falls die Anfrage an der angegebenen Position keine gültige IP-Adresse hat:
+ **MATCH** — Behandelt die Webanforderung so, als ob sie der Regelanweisung entspricht. AWS WAF wendet die Regelaktion auf die Anfrage an.
+ **KEINE ÜBEREINSTIMMUNG** — Behandelt die Webanforderung so, als ob sie nicht mit der Regelanweisung übereinstimmt.
**In AWS WAF Bot Control verwendete IP-Adressen**
Die von Bot Control verwaltete Regelgruppe verifiziert Bots anhand der IP-Adressen von AWS WAF. Wenn Sie Bot Control verwenden und verifizierte Bots haben, die durch einen Proxy oder Load Balancer geleitet werden, müssen Sie sie explizit mit einer benutzerdefinierten Regel zulassen. Sie können beispielsweise eine benutzerdefinierte IP-Set-Abgleichregel konfigurieren, die Ihre verifizierten Bots anhand weitergeleiteter IP-Adressen erkennt und zulässt. Mit der Regel können Sie Ihre Bot-Verwaltung auf verschiedene Arten anpassen. Weitere Informationen und Beispiele finden Sie unter [AWS WAF Bot-Steuerung](waf-bot-control.md).
**Allgemeine Überlegungen zur Verwendung weitergeleiteter IP-Adressen**
Bedenken Sie Folgendes, bevor Sie eine weitergeleitete IP-Adresse verwenden:
+ Ein Header kann auf dem Weg von Proxys geändert werden, und die Proxys behandeln den Header möglicherweise auf verschiedene Arten.
+ Angreifer können den Inhalt des Headers ändern, um AWS WAF -Inspektionen zu umgehen.
+ Die IP-Adresse im Header kann fehlerhaft oder ungültig sein.
+ Der von Ihnen angegebene Header ist möglicherweise überhaupt nicht in einer Anforderung vorhanden.
**Überlegungen zur Verwendung weitergeleiteter IP-Adressen mit AWS WAF**
In der folgenden Liste werden die Anforderungen und Vorbehalte für die Verwendung weitergeleiteter IP-Adressen in AWS WAF folgenden Bereichen beschrieben:
+ Für jede einzelne Regel können Sie einen Header für die weitergeleitete IP-Adresse angeben. Bei der Header-Spezifikation wird zwischen Groß- und Kleinschreibung unterschieden.
+ Bei ratenbasierten Regelanweisungen übernehmen verschachtelte Eingrenzungsanweisungen die weitergeleitete IP-Konfiguration nicht. Geben Sie die Konfiguration für jede Anweisung an, die eine weitergeleitete IP-Adresse verwendet.
+ Für Geo-Match-, ASN-Abgleich- und ratenbasierte Regeln wird die erste Adresse im Header AWS WAF verwendet. Wenn ein Header beispielsweise Verwendungen enthält `10.1.1.1, 127.0.0.0, 10.10.10.10` AWS WAF `10.1.1.1`
+ Für einen IP-Set-Abgleich geben Sie an, ob ein Abgleich mit der ersten, letzten oder irgendeiner Adresse im Header durchgeführt werden soll. Wenn Sie eine angeben, werden alle AWS WAF Adressen in der Kopfzeile auf eine Übereinstimmung überprüft, bis zu 10 Adressen. Wenn die Kopfzeile mehr als 10 Adressen enthält, werden die letzten AWS WAF 10 überprüft.
+ Bei Headern mit mehreren Adressen müssen die einzelnen Adressen durch Kommata getrennt sein. Wenn eine Anforderung ein anderes Trennzeichen als ein Komma verwendet, betrachtet AWS WAF die IP-Adressen im Header als fehlerhaft.
+ Wenn die IP-Adressen im Header fehlerhaft oder ungültig sind, bezeichnet AWS WAF die Webanforderung entsprechend dem Fallback-Verhalten, das Sie in der Konfiguration für weitergeleitete IP-Adressen angeben, als mit der Regel übereinstimmend oder nicht.
+ Wenn der von Ihnen angegebene Header in einer Anfrage nicht vorhanden ist, AWS WAF wird die Regel überhaupt nicht auf die Anfrage angewendet. Das AWS WAF bedeutet, dass die Regelaktion nicht angewendet wird und das Fallback-Verhalten nicht angewendet wird.
+ Eine Regelanweisung, die einen weitergeleiteten IP-Header für die IP-Adresse verwendet, verwendet nicht die IP-Adresse, die vom Ursprung der Webanforderung gemeldet wird.
**Bewährte Methoden für die Verwendung weitergeleiteter IP-Adressen mit AWS WAF**
Halten Sie sich an die folgenden bewährten Methoden, wenn Sie weitergeleitete IP-Adressen verwenden:
+ Berücksichtigen Sie sorgfältig alle möglichen Status Ihrer Anforderungsheader, bevor Sie die Konfiguration für weitergeleitete IP-Adressen aktivieren. Möglicherweise müssen Sie mehr als eine Regel verwenden, um das gewünschte Verhalten zu erhalten.
+ Verwenden Sie für jede IP-Adressquelle eine Regel, um mehrere weitergeleitete IP-Header zu überprüfen oder den Ursprung der Webanforderung und einen weitergeleiteten IP-Header zu überprüfen.
+ Zum Blockieren der Webanforderungen mit ungültigen Headern stellen Sie die Regelaktion auf Blockieren und das Fallback-Verhalten für die Konfiguration für weitergeleitete IP-Adressen entsprechend ein.
**Beispiel-JSON-Code für weitergeleitete IP-Adressen**
Die folgende Geo-Übereinstimmungsanweisung stimmt nur überein, falls der `X-Forwarded-For`-Header eine IP enthält, deren Herkunftsland die `US` sind:
```
{
"Name": "XFFTestGeo",
"Priority": 0,
"Action": {
"Block": {}
},
"VisibilityConfig": {
"SampledRequestsEnabled": true,
"CloudWatchMetricsEnabled": true,
"MetricName": "XFFTestGeo"
},
"Statement": {
"GeoMatchStatement": {
"CountryCodes": [
"US"
],
"ForwardedIPConfig": {
"HeaderName": "x-forwarded-for",
"FallbackBehavior": "MATCH"
}
}
}
}
```
Die folgende ratenbasierte Regel aggregiert Anforderungen basierend auf der ersten IP im `X-Forwarded-For`-Header. Die Regel zählt nur Anfragen, die mit der verschachtelten Geo-Match-Anweisung übereinstimmen, und blockiert nur Anfragen, die der Geo-Match-Anweisung entsprechen. Die verschachtelte Geo-Übereinstimmungsanweisung stellt außerdem anhand des `X-Forwarded-For`-Headers fest, ob die IP-Adresse aus den `US` stammt. Falls dies der Fall ist oder der Header vorhanden, aber fehlerhaft ist, gibt die Geo-Übereinstimmungsanweisung eine Übereinstimmung zurück.
```
{
"Name": "XFFTestRateGeo",
"Priority": 0,
"Action": {
"Block": {}
},
"VisibilityConfig": {
"SampledRequestsEnabled": true,
"CloudWatchMetricsEnabled": true,
"MetricName": "XFFTestRateGeo"
},
"Statement": {
"RateBasedStatement": {
"Limit": "100",
"AggregateKeyType": "FORWARDED_IP",
"ScopeDownStatement": {
"GeoMatchStatement": {
"CountryCodes": [
"US"
],
"ForwardedIPConfig": {
"HeaderName": "x-forwarded-for",
"FallbackBehavior": "MATCH"
}
}
},
"ForwardedIPConfig": {
"HeaderName": "x-forwarded-for",
"FallbackBehavior": "MATCH"
}
}
}
}
```
# Untersuchung von HTTP/2-Pseudo-Headern in AWS WAF
In diesem Abschnitt wird erklärt, wie Sie AWS WAF HTTP/2-Pseudo-Header untersuchen können.
Geschützte AWS Ressourcen, die HTTP/2-Verkehr unterstützen, leiten HTTP/2-Pseudo-Header nicht AWS WAF zur Überprüfung weiter, sondern stellen den Inhalt von Pseudo-Headern in Webanforderungskomponenten bereit, die Inspektionen durchführen. AWS WAF
Sie können diese Option verwenden AWS WAF , um nur die Pseudo-Header zu untersuchen, die in der folgenden Tabelle aufgeführt sind.
**HTTP/2-Pseudo-Header-Inhalte, die Webanforderungskomponenten zugeordnet sind**
| HTTP/2-Pseudo-Header | Zu inspizierende Webanforderungskomponente | Dokumentation |
| --- | --- | --- |
| `:method` | HTTP-Methode | [HTTP-Methode](waf-rule-statement-fields-list.md#waf-rule-statement-request-component-http-method) |
| `:authority` | `Host`-Header | [Einzelner Header](waf-rule-statement-fields-list.md#waf-rule-statement-request-component-single-header) [Alle Header](waf-rule-statement-fields-list.md#waf-rule-statement-request-component-headers) |
| `:path`URI-Pfad | URI-Pfad | [URI-Pfad](waf-rule-statement-fields-list.md#waf-rule-statement-request-component-uri-path) |
| `:path` query | Abfragezeichenfolge | [Abfragezeichenfolge](waf-rule-statement-fields-list.md#waf-rule-statement-request-component-query-string) [Einzelabfrageparameter](waf-rule-statement-fields-list.md#waf-rule-statement-request-component-single-query-param) [Alle Abfrageparameter](waf-rule-statement-fields-list.md#waf-rule-statement-request-component-all-query-params) |
# Verwenden von Texttransformationen in AWS WAF
In diesem Abschnitt wird erklärt, wie Sie Transformationen bereitstellen, die AWS WAF vor der Prüfung der Anfrage angewendet werden können.
In Anweisungen, die nach Mustern suchen oder Einschränkungen festlegen, können Sie Transformationen angeben, die angewendet werden sollen, bevor AWS WAF die Anfrage geprüft wird. Eine Transformation formatiert eine Webanforderung neu, um einige der unüblichen Formatierungen zu beseitigen, die Angreifer verwenden, um AWS WAF zu umgehen.
Wenn Sie dies mit der Auswahl der JSON-Text-Anforderungskomponente verwenden, wendet AWS WAF Ihre Transformationen nach dem Analysieren und Extrahieren der zu prüfenden Elemente aus dem JSON-Code an. Weitere Informationen finden Sie unter [JSON-Text](waf-rule-statement-fields-list.md#waf-rule-statement-request-component-json-body).
Wenn Sie mehr als eine Transformation bereitstellen, legen Sie auch die Reihenfolge fest, in der AWS WAF sie anwenden soll.
**WCUs**— Jede Texttransformation ist 10. WCUs
Die AWS WAF Konsole und die API-Dokumentation enthalten außerdem Anleitungen zu diesen Einstellungen an den folgenden Stellen:
+ **Rule Builder** in der Konsole – **Text transformation** (Texttransformation). Diese Option ist verfügbar, wenn Sie Anforderungskomponenten verwenden.
+ **API-Anweisungsinhalt** – `TextTransformations`Optionen für Texttransformationen
Jede Transformationsliste enthält die Konsolen- und API-Spezifikationen, gefolgt von der Beschreibung.
Base64 decode – `BASE64_DECODE`
AWS WAF dekodiert eine Base64-kodierte Zeichenfolge.
Base64 decode extension – `BASE64_DECODE_EXT`
AWS WAF dekodiert eine Base64-kodierte Zeichenfolge, verwendet jedoch eine fehlerverzeihende Implementierung, die ungültige Zeichen ignoriert.
Command line – `CMD_LINE`
Diese Option entschärft Situationen, in denen Angreifer möglicherweise einen Befehlszeilenbefehl des Betriebssystems eingeben und ungewöhnliche Formatierungen verwenden, um den Befehl ganz oder teilweise zu verschleiern.
Verwenden Sie diese Option, um die folgenden Transformationen durchzuführen:
+ Löschen der folgenden Zeichen: `\ " ' ^`
+ Löschen von Leerzeichen vor den folgenden Zeichen: `/ (`
+ Ersetzen der folgenden Zeichen durch ein Leerzeichen: `, ;`
+ Ersetzen mehrerer Leerzeichen durch ein Leerzeichen
+ Großbuchstaben (`A-Z`) in Kleinbuchstaben (`a-z`) umwandeln
Compress whitespace – `COMPRESS_WHITE_SPACE`
AWS WAF komprimiert Leerzeichen, indem mehrere Leerzeichen durch ein Leerzeichen und die folgenden Zeichen durch ein Leerzeichen (ASCII 32) ersetzt werden:
+ Formfeed (ASCII 12)
+ Registerkarte (ASCII 9)
+ Neue Zeile (ASCII 10)
+ Wagenrückfahrt (ASCII 13)
+ Vertikaler Tabulator (ASCII 11)
+ Sicheres Leerzeichen (ASCII 160)
CSS decode – `CSS_DECODE`
AWS WAF dekodiert Zeichen, die mit CSS 2.x-Escape-Regeln codiert wurden. `syndata.html#characters` Diese Funktion verwendet bei der DeCodierung bis zu zwei Bytes, sodass ASCII-Zeichen aufgedeckt werden können, die mit CSS-Codierung kodiert wurden und normalerweise nicht kodiert werden würden. Sie ist auch nützlich, um eine Umgehung zu verhindern, also eine Kombination aus einem Rückwärtsschrägstrich und nicht-hexadezimalen Zeichen. Beispielsweise `ja\vascript` für `javascript`.
Escape sequences decode – `ESCAPE_SEQ_DECODE`
AWS WAF dekodiert die folgenden ANSI C-Escape-Sequenzen:`\a`,,,`\b`,`\f`,,`\n`,`\r`,, `\t` `\v``\\`, `\xHH` (hexadezimal) `\?` `\'``\"`, (oktal). `\0OOO` Ungültige Codierungen verbleiben in der Ausgabe.
Hex decode – `HEX_DECODE`
AWS WAF dekodiert eine Folge von Hexadezimalzeichen in eine Binärdatei.
HTML entity decode – `HTML_ENTITY_DECODE`
AWS WAF ersetzt Zeichen, die im Hexadezimalformat `&#xhhhh;` oder Dezimalformat dargestellt werden, durch die entsprechenden Zeichen. `&#nnnn;`
AWS WAF ersetzt die folgenden HTML-codierten Zeichen durch unkodierte Zeichen. In dieser Liste wird HTML-Kodierung in Kleinbuchstaben verwendet, bei der Behandlung wird jedoch beispielsweise nicht zwischen Groß- und Kleinschreibung unterschieden und sie werden genauso behandelt. `&QuOt;` `"`
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/waf/latest/developerguide/waf-rule-statement-transformation.html)
JS decode – `JS_DECODE`
AWS WAF dekodiert JavaScript Escape-Sequenzen. Falls sich im ASCII-Codebereich mit voller Zeichenbreite von `\uHHHH` ein `FF01-FF5E`-Code befindet, wird das höhere Byte verwendet, um das untere Byte zu erkennen und anzupassen. Wenn nicht, wird nur das niedrigere Byte verwendet und das höhere Byte wird auf Null gesetzt, was zu einem möglichen Datenverlust führt.
Lowercase – `LOWERCASE`
AWS WAF wandelt Großbuchstaben (A-Z) in Kleinbuchstaben (a-z) um.
MD5 – `MD5`
AWS WAF berechnet einen MD5 Hash aus den Daten in der Eingabe. Der berechnete Hash liegt in einer rohen binären Form vor.
None – `NONE`
AWS WAF überprüft die Webanforderung so, wie sie empfangen wurde, ohne Texttransformationen.
Normalize path – `NORMALIZE_PATH`
AWS WAF normalisiert die Eingabezeichenfolge, indem mehrere Schrägstriche, Verzeichnis-Selbstverweise und Verzeichnisrückverweise, die nicht am Anfang der Eingabe stehen, entfernt werden.
Normalize path Windows – `NORMALIZE_PATH_WIN`
AWS WAF konvertiert Backslash-Zeichen in Schrägstriche und verarbeitet dann die resultierende Zeichenfolge mithilfe der Transformation. `NORMALIZE_PATH`
Remove nulls – `REMOVE_NULLS`
AWS WAF entfernt alle `NULL` Byte aus der Eingabe.
Replace comments – `REPLACE_COMMENTS`
AWS WAF ersetzt jedes Vorkommen eines Kommentars im C-Stil (/\$1... \$1/) durch ein einzelnes Leerzeichen. Mehrere aufeinanderfolgende Vorkommen werden nicht komprimiert. Nicht beendete Kommentare werden durch ein Leerzeichen (ASCII 0x20) ersetzt. Eigenständige Beendigungen von Kommentaren (\$1/) werdem nicht geändert.
Replace nulls – `REPLACE_NULLS`
AWS WAF ersetzt jedes `NULL` Byte in der Eingabe durch das Leerzeichen (ASCII 0x20).
SQL hex decode – `SQL_HEX_DECODE`
AWS WAF dekodiert SQL-Hex-Daten. AWS WAF Dekodiert beispielsweise (`0x414243`) nach (`ABC`).
URL decode – `URL_DECODE`
AWS WAF dekodiert einen URL-codierten Wert.
URL decode Unicode – `URL_DECODE_UNI`
Wie `URL_DECODE`, aber mit Unterstützung für Microsoft-spezifische `%u`-Kodierung. Falls sich der Code im ASCII-Codebereich mit voller Zeichenbreite von `FF01-FF5E` befindet, wird das höhere Byte verwendet, um das untere Byte zu erkennen und anzupassen. Andernfalls wird nur das niedrigere Byte verwendet und das höhere Byte wird auf Null gesetzt.
UTF8 to Unicode – `UTF8_TO_UNICODE`
AWS WAF konvertiert alle UTF-8-Zeichenfolgen nach Unicode. Dies hilft bei der Normalisierung von Eingaben und minimiert Falsch-Positives und Falsch-Negatives für nicht-englische Sprachen.
# Verwendung von Scope-Down-Aussagen in AWS WAF
In diesem Abschnitt wird erklärt, was eine Scope-Down-Anweisung ist und wie sie funktioniert.
Eine Scope-Down-Anweisung ist eine verschachtelbare Regelanweisung, die Sie in eine verwaltete Regelgruppenanweisung oder eine ratenbasierte Anweisung einfügen, um die Menge der Anfragen einzugrenzen, die die enthaltende Regel auswertet. Die enthaltende Regel wertet nur die Anforderungen aus, die zuerst der Scopedown-Anweisung entsprechen.
+ Anweisung für **verwaltete Regelgruppen — Wenn Sie einer Anweisung** für verwaltete Regelgruppen eine Scope-Down-Anweisung hinzufügen, wird jede Anforderung, die nicht mit der Scope-Down-Anweisung übereinstimmt, als nicht mit der Regelgruppe übereinstimmend AWS WAF bewertet. Nur Anforderungen, die der Eingrenzungsanweisung entsprechen, werden anhand der Regelgruppe ausgewertet. Für verwaltete Regelgruppen mit Preisen, die auf der Anzahl der ausgewerteten Anforderungen basieren, können Eingrenzungsamweisungen dazu beitragen, Kosten einzudämmen.
Weitere Informationen zu verwalteten Regelgruppenanweisungen finden Sie unter [Verwendung verwalteter Regelgruppenanweisungen in AWS WAF](waf-rule-statement-type-managed-rule-group.md).
+ **Ratenbasierte Regelaussage — Eine ratenbasierte Regelanweisung** ohne Angabe des Umfangs schränkt alle Anfragen ein, die von der Regel ausgewertet werden. Wenn Sie die Rate nur für eine bestimmte Kategorie von Anfragen kontrollieren möchten, fügen Sie der ratenbasierten Regel eine Angabe zum Umfang hinzu. Wenn Sie beispielsweise nur die Rate von Anfragen aus einem bestimmten geografischen Gebiet verfolgen und kontrollieren möchten, können Sie dieses geografische Gebiet in einer geographischen Zuordnung angeben und es Ihrer ratenbasierten Regel als Scopedown-Aussage hinzufügen.
Weitere Informationen über ratenbasierte Regelanweisungen finden Sie unter [Verwendung ratenbasierter Regelanweisungen in AWS WAF](waf-rule-statement-type-rate-based.md).
in Eingrenzungsanweisungen können Sie jede verschachtelbare Regel verwenden. Die verfügbaren Kontoauszüge finden Sie unter und. [Verwenden von Vergleichsregelanweisungen in AWS WAF](waf-rule-statements-match.md) [Verwendung logischer Regelanweisungen in AWS WAF](waf-rule-statements-logical.md) Die WCUs Anweisungen for a scope-down sind für die Regelanweisung WCUs erforderlich, die Sie darin definieren. Für die Verwendung einer Scope-Down-Erklärung fallen keine zusätzlichen Kosten an.
Sie können eine Scope-Down-Anweisung genauso konfigurieren, wie Sie es tun, wenn Sie die Anweisung in einer regulären Regel verwenden. Sie können beispielsweise Texttransformationen auf eine Webanforderungskomponente anwenden, die Sie untersuchen, und Sie können eine weitergeleitete IP-Adresse angeben, die als IP-Adresse verwendet werden soll. Diese Konfigurationen gelten nur für die Scope-Down-Anweisung und werden nicht von der zugehörigen verwalteten Regelgruppe oder der ratenbasierten Regelanweisung übernommen.
Wenn Sie beispielsweise Texttransformationen auf eine Abfragezeichenfolge in Ihrer Scope-Down-Anweisung anwenden, überprüft die Scope-Down-Anweisung die Abfragezeichenfolge nach der Anwendung der Transformationen. Wenn die Anforderung den Kriterien der Scope-Down-Anweisung entspricht, AWS WAF wird die Webanforderung in ihrem ursprünglichen Zustand, ohne die Transformationen der Scope-Down-Anweisung, an die enthaltende Regel übergeben. Die Regel, die die Scope-Down-Anweisung enthält, wendet möglicherweise eigene Texttransformationen an, erbt aber keine von der Scope-Down-Anweisung.
Sie können keine Scope-Down-Anweisung verwenden, um eine Konfiguration zur Anforderungsprüfung für die Anweisung, die die Regel enthält, anzugeben. Sie können eine Scope-Down-Anweisung nicht als Präprozessor für Webanfragen für die enthaltene Regelanweisung verwenden. Die einzige Rolle einer Scope-Down-Anweisung besteht darin, zu bestimmen, welche Anfragen zur Überprüfung an die Anweisung, die die Regel enthält, weitergeleitet werden.
# Verweisen auf wiederverwendbare Entitäten in AWS WAF
In diesem Abschnitt wird erklärt, wie wiederverwendbare Entitäten in AWS WAF funktionieren.
Einige Regeln verwenden wiederverwendbare Entitäten, die außerhalb Ihrer Website verwaltet werdenACLs, entweder von Ihnen oder einem AWS Marketplace Verkäufer. AWS Wenn die wiederverwendbare Entität aktualisiert wird, überträgt AWS WAF die Aktualisierung an Ihre Regel. Wenn Sie beispielsweise eine Regelgruppe mit AWS verwalteten Regeln in einem Schutzpaket (Web-ACL) verwenden, wird bei der AWS Aktualisierung der Regelgruppe die Änderung an Ihre Web-ACL AWS weitergegeben, um deren Verhalten zu aktualisieren. Wenn Sie eine IP-Set-Anweisung in einer Regel verwenden, wird die Änderung bei der Aktualisierung des Satzes an alle Regeln AWS WAF weitergegeben, die darauf verweisen, sodass alle Schutzpakete (Web ACLs), die diese Regeln verwenden, up-to-date zusammen mit Ihren Änderungen beibehalten werden.
Im Folgenden finden Sie die wiederverwendbaren Entitäten, die Sie in einer Regelanweisung verwenden können.
+ **IP-Sets** – Sie erstellen und verwalten Ihre eigenen IP-Sets. In der Konsole können Sie über den Navigationsbereich darauf zugreifen. Informationen zur Verwaltung von IP-Sets finden Sie unter [IP-Sätze und Regex-Mustersätze in AWS WAF](waf-referenced-set-managing.md).
+ **Regex-Match-Sets** – Sie erstellen und verwalten Ihre eigenen Regex-Match-Sets. In der Konsole können Sie über den Navigationsbereich darauf zugreifen. Informationen zur Verwaltung von Regex-Mustersätzen finden Sie unter [IP-Sätze und Regex-Mustersätze in AWS WAF](waf-referenced-set-managing.md).
+ **AWS Regelgruppen für verwaltete Regeln** — AWS verwaltet diese Regelgruppen. Auf der Konsole stehen Ihnen diese zur Verfügung, wenn Sie Ihrem Schutzpaket (Web-ACL) eine verwaltete Regelgruppe hinzufügen. Weitere Informationen dazu finden Sie unter [AWS Liste der Regelgruppen für verwaltete Regeln](aws-managed-rule-groups-list.md).
+ **AWS Marketplace verwaltete Regelgruppen** — AWS Marketplace Verkäufer verwalten diese Regelgruppen, und Sie können sie abonnieren, um sie zu verwenden. Um Ihre Abonnements zu verwalten, wählen Sie im Navigationsbereich der Konsole **AWS Marketplace**. Die AWS Marketplace verwalteten Regelgruppen werden aufgelistet, wenn Sie Ihrem Protection Pack (Web-ACL) eine verwaltete Regelgruppe hinzufügen. Für Regelgruppen, die Sie noch nicht abonniert haben, finden Sie AWS Marketplace auf dieser Seite auch einen Link. Weitere Informationen zu AWS Marketplace vom Verkäufer verwalteten Regelgruppen finden Sie unter[AWS Marketplace Regelgruppen](marketplace-rule-groups.md).
+ **Ihre eigenen Regelgruppen** – Sie verwalten Ihre eigenen Regelgruppen. Dies geschieht normalerweise, wenn Sie ein Verhalten benötigen, das über die verwalteten Regelgruppen nicht verfügbar ist. In der Konsole können Sie über den Navigationsbereich darauf zugreifen. Weitere Informationen finden Sie unter [Verwaltung Ihrer eigenen Regelgruppen](waf-user-created-rule-groups.md).
**Löschen eines referenzierten Sets oder einer Regelgruppe**
Wenn Sie eine Entität löschen, auf die verwiesen wird, wird AWS WAF überprüft, ob sie derzeit in einem Schutzpaket (Web-ACL) verwendet wird. Wenn AWS WAF festgestellt wird, dass sie verwendet wird, werden Sie gewarnt. AWS WAF kann fast immer feststellen, ob ein Schutzpaket (Web-ACL) auf eine Entität verweist. In seltenen Fällen ist dies jedoch nicht möglich. Wenn Sie sicher sein müssen, dass die Entität, die Sie löschen möchten, nicht verwendet wird, überprüfen Sie, ob sie in Ihrer Website vorhanden ist, ACLs bevor Sie sie löschen.
# Verwenden von Vergleichsregelanweisungen in AWS WAF
In diesem Abschnitt wird erklärt, was eine Match-Anweisung ist und wie sie funktioniert.
Match-Anweisungen vergleichen die Webanfrage oder ihren Ursprung mit den von Ihnen angegebenen Kriterien. Bei vielen Anweisungen dieses Typs wird eine bestimmte Komponente der Anfrage auf übereinstimmende Inhalte AWS WAF verglichen.
Übereinstimmungsanweisungen sind schachtelbar. Sie können jede dieser Anweisungen in logischen Regelanweisungen verschachteln und sie in Scope-Down-Anweisungen verwenden. Hinweise zu logischen Regelanweisungen finden Sie unter. [Verwendung logischer Regelanweisungen in AWS WAF](waf-rule-statements-logical.md) Informationen zu Eingrenzungsanweisungen finden Sie unter [Verwendung von Scope-Down-Aussagen in AWS WAF](waf-rule-scope-down-statements.md).
Diese Tabelle beschreibt die regulären Match-Anweisungen, die Sie zu einer Regel hinzufügen können, und enthält einige Richtlinien für die Berechnung der jeweiligen Kapazitätseinheiten (WCU) von Protection Packs (Web ACL). Weitere Informationen dazu finden Sie WCUs unter[Web-ACL-Kapazitätseinheiten (WCUs) in AWS WAF](aws-waf-capacity-units.md).
| Übereinstimmungsanweisung | Description | WCUs |
| --- | --- | --- |
| [Geographische Übereinstimmung](waf-rule-statement-type-geo-match.md) | Überprüft das Ursprungsland der Anfrage und bringt Kennzeichnungen für das Herkunftsland und die Herkunftsregion an. | 1 |
| [ASN-Übereinstimmung](waf-rule-statement-type-asn-match.md) | Prüft die Anfrage anhand einer ASN, die IP-Adressen und Adressbereichen zugeordnet ist. | 1 |
| [IP-Set-Übereinstimmung](waf-rule-statement-type-ipset-match.md) | Gleicht die Anforderung mit einer Reihe von IP-Adressen und -Adressbereichen ab. | 1 für die meisten Fälle. Wenn Sie die Anweisung so konfigurieren, dass sie einen Header mit weitergeleiteten IP-Adressen verwendet und eine Position im Header von angebenAny, erhöhen Sie den Wert um WCUs 4. |
| [Regelanweisung für Bezeichnungsübereinstimmung](waf-rule-statement-type-label-match.md) | Prüft die Anforderung auf Labels, die durch andere Regeln im selben Schutzpaket (Web-ACL) hinzugefügt wurden. | 1 |
| [Regex-Übereinstimmungsregel-Anweisung](waf-rule-statement-type-regex-match.md) | Vergleicht ein Regex-Muster mit einer bestimmten Anforderungskomponente. | 3, als Basiskosten. Wenn Sie die Anforderungskomponente **Alle Abfrageparameter** verwenden, fügen Sie 10 WCUs hinzu. Wenn Sie den **JSON-Hauptteil** der Anforderungskomponente verwenden, verdoppeln Sie die Grundkosten WCUs. Fügen Sie für jede **Texttransformation**, die Sie anwenden, 10 hinzu WCUs. |
| [Regex-Mustersatz](waf-rule-statement-type-regex-pattern-set-match.md) | Vergleicht RegEx-Muster mit einer bestimmten Anforderungskomponente. | 25 pro Mustersatz, als Basiskosten. Wenn Sie die Anforderungskomponente **Alle Abfrageparameter** verwenden, fügen Sie 10 hinzu WCUs. Wenn Sie den **JSON-Hauptteil** der Anforderungskomponente verwenden, verdoppeln Sie die Grundkosten WCUs. Fügen Sie für jede **Texttransformation**, die Sie anwenden, 10 hinzu WCUs. |
| [Größenbeschränkung](waf-rule-statement-type-size-constraint-match.md) | Prüft Größenbeschränkungen gegen eine bestimmte Anforderungskomponente. | 1, als Basiskosten. Wenn Sie die Anforderungskomponente **Alle Abfrageparameter** verwenden, fügen Sie 10 hinzu WCUs. Wenn Sie den **JSON-Hauptteil** der Anforderungskomponente verwenden, verdoppeln Sie die Grundkosten WCUs. Fügen Sie für jede **Texttransformation**, die Sie anwenden, 10 hinzu WCUs. |
| [SQLiAngriff](waf-rule-statement-type-sqli-match.md) | Sucht nach schädlichem SQL-Code in einer bestimmten Anforderungskomponente. | 20, als Basiskosten. Wenn Sie die Anforderungskomponente **Alle Abfrageparameter** verwenden, fügen Sie 10 hinzu WCUs. Wenn Sie den **JSON-Hauptteil** der Anforderungskomponente verwenden, verdoppeln Sie die Grundkosten WCUs. Fügen Sie für jede **Texttransformation**, die Sie anwenden, 10 hinzu WCUs. |
| [Zeichenfolgen-Übereinstimmung](waf-rule-statement-type-string-match.md) | Vergleicht eine Zeichenfolge mit einer angegebenen Anforderungskomponente. | Die Basiskosten hängen vom Typ der Zeichenfolgen-Übereinstimmung ab und liegen zwischen 1 und 10. Wenn Sie die Anforderungskomponente **Alle Abfrageparameter** verwenden, fügen Sie 10 hinzu WCUs. Wenn Sie den **JSON-Hauptteil** der Anforderungskomponente verwenden, verdoppeln Sie die Grundkosten WCUs. Fügen Sie für jede **Texttransformation**, die Sie anwenden, 10 hinzu WCUs. |
| [XSS-Scripting-Angriff](waf-rule-statement-type-xss-match.md) | Überprüft auf Cross-Site-Scripting-Angriffe in einer bestimmten Anforderungskomponente. | 40, als Basiskosten. Wenn Sie die Anforderungskomponente **Alle Abfrageparameter** verwenden, fügen Sie 10 hinzu WCUs. Wenn Sie den **JSON-Hauptteil** der Anforderungskomponente verwenden, verdoppeln Sie die Grundkosten WCUs. Fügen Sie für jede **Texttransformation**, die Sie anwenden, 10 hinzu WCUs. |
# Anweisung für Regel zur geographischen Übereinstimmung
In diesem Abschnitt wird erklärt, was eine geografische Übereinstimmungsaussage ist und wie sie funktioniert.
Verwenden Sie geografische Angaben oder Geo-Match-Angaben, um Webanfragen nach Herkunftsland und -region zu verwalten. Eine Geo-Match-Anweisung fügt Webanfragen Labels hinzu, die das Herkunftsland und die Herkunftsregion angeben. Diese Bezeichnungen werden unabhängig davon hinzugefügt, ob die Kriterien für die Aussage mit der Anfrage übereinstimmen. Eine Geo-Match-Anweisung führt auch einen Abgleich mit dem Herkunftsland der Anfrage durch.
## Wie benutzt man die Geo-Match-Erklärung
Sie können die Geo-Match-Anweisung wie folgt für den Länder- oder Regionalabgleich verwenden:
+ **Land** — Sie können eine Geo-Match-Regel als eigenständige Geo-Match-Regel verwenden, um Anfragen zu verwalten, die ausschließlich auf ihrem Herkunftsland basieren. Die Regelaussage stimmt mit den Ländercodes überein. Sie können auch einer Geo-Match-Regel mit einer Label-Match-Regel folgen, die mit dem Herkunftsland-Label übereinstimmt.
**Anmerkung**
Um Traffic aus Hongkong zu filtern, verwenden Sie den ISO-3166-1-Alpha-2-Ländercode `HK` in Ihrem Geo-Match-Statement.
+ **Region** — Verwenden Sie eine Geo-Match-Regel, gefolgt von einer Label-Match-Regel, um Anfragen auf der Grundlage ihrer Herkunftsregion zu verwalten. Sie können eine Geo-Match-Regel nicht allein für den Abgleich mit Regionalcodes verwenden.
Informationen zur Verwendung von Label-Abgleichsregeln finden Sie unter [Regelanweisung für Bezeichnungsübereinstimmung](waf-rule-statement-type-label-match.md) und[Etikettierung von Webanfragen in AWS WAF](waf-labels.md).
## So funktioniert die Geo-Match-Anweisung
AWS WAF Verwaltet mit der Geo-Match-Anweisung jede Webanfrage wie folgt:
1. **Ermittelt die Landes- und Regionalcodes der Anfrage** — AWS WAF bestimmt das Land und die Region einer Anfrage anhand ihrer IP-Adresse. AWS WAF Verwendet standardmäßig die IP-Adresse des Ursprungs der Webanfrage. Sie können anweisen AWS WAF , eine IP-Adresse aus einem alternativen Anforderungsheader zu verwenden`X-Forwarded-For`, indem Sie beispielsweise die Konfiguration für weitergeleitete IP-Adressen in den Einstellungen für die Regelanweisung aktivieren.
AWS WAF bestimmt den Speicherort von Anfragen mithilfe von MaxMind GeoIP-Datenbanken. MaxMind meldet eine sehr hohe Genauigkeit ihrer Daten auf Landesebene, obwohl die Genauigkeit je nach Faktoren wie Land und Art des geistigen Eigentums variiert. Weitere Informationen MaxMind dazu finden Sie unter [MaxMind IP-Geolokalisierung](https://support.maxmind.com/hc/en-us/sections/4407519834267-IP-Geolocation). Wenn Sie der Meinung sind, dass einige der GeoIP-Daten falsch sind, können Sie unter [MaxMind Correct Geo IP2 ](https://support.maxmind.com/hc/en-us/articles/4408252036123-GeoIP-Correction) Data eine Korrekturanfrage an Maxmind stellen.
AWS WAF verwendet die Alpha-2-Länder- und Regionscodes der Norm 3166 der Internationalen Organisation für Normung (ISO). Sie finden die Codes an den folgenden Stellen:
+ Auf der ISO-Website können Sie auf der [ISO Online Browsing Platform (OBP)](https://www.iso.org/obp/ui#home) nach den Ländercodes suchen.
+ Auf Wikipedia sind die Ländercodes bei [ISO 3166-2](https://en.wikipedia.org/wiki/ISO_3166-2) aufgeführt.
Die Regionalcodes für ein Land sind unter der URL aufgeführt. `https://en.wikipedia.org/wiki/ISO_3166-2:` [Die Regionen für die Vereinigte Staaten beispielsweise [ISO 3166-2:US](https://en.wikipedia.org/wiki/ISO_3166-2:US) und für die Ukraine ISO 3166-2:UA.](https://en.wikipedia.org/wiki/ISO_3166-2:UA)
1. **Bestimmt das Landes- und Regionslabel, das der Anfrage hinzugefügt werden soll — Die** Beschriftungen geben an, ob die Geo-Match-Anweisung die Quell-IP oder eine weitergeleitete IP-Konfiguration verwendet.
+ **Herkunfts-IP**
Das Länderlabel ist`awswaf:clientip:geo:country:`. Beispiel für die Vereinigte Staaten:`awswaf:clientip:geo:country:US`.
Die Bezeichnung der Region lautet`awswaf:clientip:geo:region:-`. Beispiel für Oregon in den Vereinigte Staaten:`awswaf:clientip:geo:region:US-OR`.
+ **Weitergeleitete IP**
Das Länderlabel ist`awswaf:forwardedip:geo:country:`. Beispiel für die Vereinigte Staaten:`awswaf:forwardedip:geo:country:US`.
Die Bezeichnung der Region lautet`awswaf:forwardedip:geo:region:-`. Beispiel für Oregon in den Vereinigte Staaten:`awswaf:forwardedip:geo:region:US-OR`.
Wenn der Landes- oder Regionalcode für die angegebene IP-Adresse einer Anfrage nicht verfügbar ist, AWS WAF wird er `XX` in den Labels anstelle des Werts verwendet. Die folgende Bezeichnung bezieht sich beispielsweise auf eine Client-IP, deren Landesvorwahl nicht verfügbar ist: `awswaf:clientip:geo:country:XX` und die folgende Bezeichnung bezieht sich auf eine weitergeleitete IP, deren Land die Vereinigte Staaten ist, deren Regionalcode jedoch nicht verfügbar ist:`awswaf:forwardedip:geo:region:US-XX`.
1. **Prüft den Ländercode der Anfrage anhand der Regelkriterien**
Die Geo-Match-Anweisung fügt allen Anfragen, die geprüft werden, Länder- und Regionskennzeichnungen hinzu, unabhängig davon, ob eine Übereinstimmung gefunden wird.
**Anmerkung**
AWS WAF fügt am Ende der Auswertung der Webanforderung einer Regel alle Bezeichnungen hinzu. Aus diesem Grund muss jeder Labelabgleich, den Sie mit den Beschriftungen aus einer Geo-Match-Anweisung verwenden, in einer anderen Regel definiert werden als die Regel, die die Geo-Match-Anweisung enthält.
Wenn Sie nur Regionswerte überprüfen möchten, können Sie eine Geo-Match-Regel mit Count Aktion und einer einzigen Übereinstimmung mit der Landesvorwahl schreiben, gefolgt von einer Label-Abgleichsregel für die Regions-Labels. Sie müssen einen Ländercode angeben, damit die Geo-Match-Regel ausgewertet werden kann, auch bei diesem Ansatz. Sie können die Anzahl von Protokollierungs- und Zählmetriken reduzieren, indem Sie ein Land angeben, von dem es sehr unwahrscheinlich ist, dass Besucher auf Ihre Website gelangen.
## CloudFront Verteilungen und die Funktion zur CloudFront geografischen Beschränkung
Beachten Sie bei CloudFront Verteilungen, wenn Sie die CloudFront Funktion zur geografischen Beschränkung verwenden, dass die Funktion blockierte Anfragen nicht weiterleitet. AWS WAF Zulässige Anfragen werden weitergeleitet an AWS WAF. Wenn Sie Anfragen aufgrund der geografischen Lage und anderer Kriterien, die Sie angeben können, blockieren möchten AWS WAF, verwenden Sie die AWS WAF Geo-Match-Anweisung und nicht die Funktion zur CloudFront geografischen Beschränkung.
## Merkmale der Regelaussage
**Verschachtelung** – Sie können diesen Anweisungstyp verschachteln.
**WCUs **— 1 ECU.
**Einstellungen** — Diese Anweisung verwendet die folgenden Einstellungen:
+ **Ländercodes** — Eine Reihe von Ländercodes, die für einen Geo-Match verglichen werden können. Dabei muss es sich um zweistellige Ländercodes aus den ISO-Alpha-2-Ländercodes der internationalen Norm ISO 3166 handeln, zum Beispiel. `["US","CN"]`
+ **(Optional) Konfiguration für weitergeleitete IP-Adressen** — AWS WAF Verwendet standardmäßig die IP-Adresse im Ursprung der Webanfrage, um das Herkunftsland zu ermitteln. Alternativ können Sie die Regel so konfigurieren, dass `X-Forwarded-For` stattdessen eine weitergeleitete IP in einem HTTP-Header verwendet wird. AWS WAF verwendet die erste IP-Adresse im Header. Mit dieser Konfiguration geben Sie auch ein Fallback-Verhalten an, das auf eine Webanfrage mit einer falsch formatierten IP-Adresse im Header angewendet wird. Das Fallback-Verhalten legt das Übereinstimmungsergebnis für die Anforderung fest, auf Übereinstimmgung oder keine Übereinstimmung. Weitere Informationen finden Sie unter [Verwendung weitergeleiteter IP-Adressen](waf-rule-statement-forwarded-ip-address.md).
## Wo finde ich diese Regelaussage
+ **Rule Builder** in der Konsole – Wählen Sie für **Request option** (Anforderungsoption) die Option **Originates from a country in** (Ursprung aus einem Land in) aus.
+ **API** – [GeoMatchStatement](https://docs.aws.amazon.com/waf/latest/APIReference/API_GeoMatchStatement.html)
## Beispiele
Sie können die Geo-Match-Erklärung verwenden, um Anfragen aus bestimmten Ländern oder Regionen zu verwalten. Wenn Sie beispielsweise Anfragen aus bestimmten Ländern blockieren möchten, aber dennoch Anfragen von einer bestimmten Gruppe von IP-Adressen in diesen Ländern zulassen möchten, könnten Sie eine Regel mit der Einstellung der Aktion auf Block und den folgenden verschachtelten Anweisungen erstellen, die in Pseudocode dargestellt werden:
+ AND-Anweisung
+ Geomatch-Anweisung, die die Länder auflistet, die Sie blockieren möchten
+ NOT-Anweisung
+ IP-Set-Anweisung, die die IP-Adressen angibt, die Sie zulassen möchten.
Oder wenn Sie einige Regionen in bestimmten Ländern blockieren, aber dennoch Anfragen aus anderen Regionen in diesen Ländern zulassen möchten, können Sie zunächst eine Geo-Match-Regel definieren, bei der die Aktion auf eingestellt ist. Count Definieren Sie dann eine Label-Match-Regel, die mit den hinzugefügten Geo-Match-Labels übereinstimmt und die Anfragen nach Bedarf bearbeitet.
Der folgende Pseudocode beschreibt ein Beispiel für diesen Ansatz:
1. Geo-Match-Statement, in dem die Länder mit Regionen aufgeführt sind, die Sie blockieren möchten, deren Aktion jedoch auf Count gesetzt ist. Dadurch wird jede Webanfrage unabhängig vom Abgleichstatus gekennzeichnet und Sie erhalten außerdem Zählwerte für die Länder, für die Sie von Interesse sind.
1. `AND`Anweisung mit Block-Aktion
+ Label Match-Anweisung, die die Labels für die Länder angibt, die Sie blockieren möchten
+ `NOT`-Anweisung
+ Label Match-Anweisung, die die Bezeichnungen der Regionen in den Ländern angibt, die Sie durchlassen möchten
Die folgende JSON-Liste zeigt eine Implementierung der beiden Regeln, die im vorherigen Pseudocode beschrieben wurden. Diese Regeln blockieren den gesamten Verkehr aus den Vereinigte Staaten mit Ausnahme des Verkehrs aus Oregon und Washington. In der Geo-Match-Anweisung werden allen Anfragen, die geprüft werden, Länder- und Regionsetiketten hinzugefügt. Die Label-Match-Regel wird nach der Geo-Match-Regel ausgeführt, sodass sie mit den Land- und Regionsbezeichnungen abgeglichen werden kann, die die Geo-Match-Regel gerade hinzugefügt hat. Die Geo-Match-Anweisung verwendet eine weitergeleitete IP-Adresse, sodass beim Labelabgleich auch weitergeleitete IP-Labels angegeben werden.
```
{
"Name": "geoMatchForLabels",
"Priority": 10,
"Statement": {
"GeoMatchStatement": {
"CountryCodes": [
"US"
],
"ForwardedIPConfig": {
"HeaderName": "X-Forwarded-For",
"FallbackBehavior": "MATCH"
}
}
},
"Action": {
"Count": {}
},
"VisibilityConfig": {
"SampledRequestsEnabled": true,
"CloudWatchMetricsEnabled": true,
"MetricName": "geoMatchForLabels"
}
},
{
"Name": "blockUSButNotOROrWA",
"Priority": 11,
"Statement": {
"AndStatement": {
"Statements": [
{
"LabelMatchStatement": {
"Scope": "LABEL",
"Key": "awswaf:forwardedip:geo:country:US"
}
},
{
"NotStatement": {
"Statement": {
"OrStatement": {
"Statements": [
{
"LabelMatchStatement": {
"Scope": "LABEL",
"Key": "awswaf:forwardedip:geo:region:US-OR"
}
},
{
"LabelMatchStatement": {
"Scope": "LABEL",
"Key": "awswaf:forwardedip:geo:region:US-WA"
}
}
]
}
}
}
}
]
}
},
"Action": {
"Block": {}
},
"VisibilityConfig": {
"SampledRequestsEnabled": true,
"CloudWatchMetricsEnabled": true,
"MetricName": "blockUSButNotOROrWA"
}
}
```
Als weiteres Beispiel können Sie Geo-Matching mit ratenbasierten Regeln kombinieren, um Ressourcen für Benutzer in einem bestimmten Land oder einer bestimmten Region zu priorisieren. Sie erstellen für jede Geo-Match- oder Label-Match-Aussage, die Sie zur Differenzierung Ihrer Benutzer verwenden, eine andere ratenbasierte Abrechnung. Legen Sie ein höheres Ratenlimit für Benutzer im bevorzugten Land oder der bevorzugten Region und ein niedrigeres Ratenlimit für andere Benutzer fest.
Die folgende JSON-Liste zeigt eine Geo-Match-Regel, gefolgt von ratenbasierten Regeln, die die Verkehrsrate aus den Vereinigte Staaten begrenzen. Die Regeln ermöglichen es, dass Verkehr aus Oregon mit einer höheren Rate eingeht als Verkehr aus anderen Teilen des Landes.
```
{
"Name": "geoMatchForLabels",
"Priority": 190,
"Statement": {
"GeoMatchStatement": {
"CountryCodes": [
"US"
]
}
},
"Action": {
"Count": {}
},
"VisibilityConfig": {
"SampledRequestsEnabled": true,
"CloudWatchMetricsEnabled": true,
"MetricName": "geoMatchForLabels"
}
},
{
"Name": "rateLimitOregon",
"Priority": 195,
"Statement": {
"RateBasedStatement": {
"Limit": 3000,
"AggregateKeyType": "IP",
"ScopeDownStatement": {
"LabelMatchStatement": {
"Scope": "LABEL",
"Key": "awswaf:clientip:geo:region:US-OR"
}
}
}
},
"Action": {
"Block": {}
},
"VisibilityConfig": {
"SampledRequestsEnabled": true,
"CloudWatchMetricsEnabled": true,
"MetricName": "rateLimitOregon"
}
},
{
"Name": "rateLimitUSNotOR",
"Priority": 200,
"Statement": {
"RateBasedStatement": {
"Limit": 100,
"AggregateKeyType": "IP",
"ScopeDownStatement": {
"AndStatement": {
"Statements": [
{
"LabelMatchStatement": {
"Scope": "LABEL",
"Key": "awswaf:clientip:geo:country:US"
}
},
{
"NotStatement": {
"Statement": {
"LabelMatchStatement": {
"Scope": "LABEL",
"Key": "awswaf:clientip:geo:region:US-OR"
}
}
}
}
]
}
}
}
},
"Action": {
"Block": {}
},
"VisibilityConfig": {
"SampledRequestsEnabled": true,
"CloudWatchMetricsEnabled": true,
"MetricName": "rateLimitUSNotOR"
}
}
```
# IP-Set-Übereinstimmungsregelanweisung
In diesem Abschnitt wird erklärt, was eine IP-Set-Match-Anweisung ist und wie sie funktioniert.
Die IP-Set-Übereinstimmungsanweisung gleicht die IP-Adresse einer Webanforderung mit einer Reihe von IP-Adressen und -Adressbereichen ab. Verwenden Sie diese Option, um Webanforderungen basierend auf den IP-Adressen zuzulassen oder zu blockieren, von denen die Anforderungen stammen. Standardmäßig verwendet AWS WAF die IP-Adresse aus dem Ursprung der Webanforderung, aber Sie können die Regel so konfigurieren, dass sie einen HTTP-Header wie `X-Forwarded-For` verwendet.
AWS WAF unterstützt alle IPv4 und IPv6 CIDR-Bereiche mit Ausnahme `/0` von. Weitere Informationen zur CIDR-Notation finden Sie im Wikipedia-Artikel [Classless Inter-Domain Routing](https://en.wikipedia.org/wiki/Classless_Inter-Domain_Routing). Ein IP-Set kann bis zu 10.000 IP-Adressen oder IP-Adressbereiche zur Überprüfung aufnehmen.
**Anmerkung**
Jede IP-Set-Match-Regel verweist auf ein IP-Set, das Sie unabhängig von Ihren Regeln erstellen und pflegen. Sie können einen einzelnen IP-Satz in mehreren Regeln verwenden. Wenn Sie den Satz aktualisieren, auf den verwiesen AWS WAF wird, werden automatisch alle Regeln aktualisiert, die darauf verweisen.
Informationen zum Erstellen und Verwalten eines IP-Sets finden Sie unter [Einen IP-Satz erstellen und verwalten in AWS WAF](waf-ip-set-managing.md).
Wenn Sie die Regeln in Ihrer Regelgruppe oder Ihrem Schutzpaket (Web-ACL) hinzufügen oder aktualisieren, wählen Sie die Option **IP-Set** und wählen Sie den Namen des IP-Sets aus, den Sie verwenden möchten.
## Eigenschaften der Regelaussage
**Verschachtelung** – Sie können diesen Anweisungstyp verschachteln.
**WCUs**— 1 WCU für die meisten. Wenn Sie die Anweisung für die Verwendung weitergeleiteter IP-Adressen konfigurieren und eine Position von angebenANY, erhöhen Sie die WCU-Nutzung um 4.
Diese Anweisung verwendet die folgenden Einstellungen:
+ **IP-Set-Spezifikation** – Wählen Sie in der Liste das IP-Set, das Sie verwenden möchten, oder erstellen Sie ein neues.
+ **(Optional) Weitergeleitete IP-Konfiguration** – ein alternativer weitergeleiteter IP-Header-Name, der anstelle des Anforderungsursprungs verwendet werden soll. Sie geben an, ob ein Abgleich mit der ersten, letzten oder irgendeiner Adresse im Header durchgeführt werden soll. Außerdem geben Sie ein Fallback-Verhalten an, das auf eine Webanforderung mit einer fehlerhaften IP-Adresse im angegebenen Header angewendet werden soll. Das Fallback-Verhalten legt das Übereinstimmungsergebnis für die Anforderung fest, auf Übereinstimmgung oder keine Übereinstimmung. Weitere Informationen finden Sie unter [Verwendung weitergeleiteter IP-Adressen](waf-rule-statement-forwarded-ip-address.md).
## Wo finde ich diese Regelaussage
**Wo finde ich diese Regelerklärung**
+ **Rule Builder** in der Konsole – Wählen Sie für **Request option** (Anforderungsoption) die Option **Originates from an IP address in** (Ursprung von einer IP-Adresse in) aus.
+ Seite **Add my own rules and rule groups** (Eigene Regeln und Regelgruppen hinzufügen) in der Konsole. Wählen Sie die Option **IP set** (IP-Set) aus.
+ **API** – [IPSetReferenceStatement](https://docs.aws.amazon.com/waf/latest/APIReference/API_IPSetReferenceStatement.html)
# Anweisung zur Übereinstimmungsregel für autonome Systemnummern (ASN)
Eine ASN-Match-Rule-Anweisung in AWS WAF ermöglicht es Ihnen, den Webverkehr anhand der Autonomen Systemnummer (ASN) zu überprüfen, die der IP-Adresse der Anfrage zugeordnet ist. ASNs sind eindeutige Kennungen, die großen Internetnetzwerken zugewiesen werden, die von Organisationen wie Internetdienstanbietern, Unternehmen, Universitäten oder Regierungsbehörden verwaltet werden. Mithilfe von ASN Match Statements können Sie Datenverkehr von bestimmten Netzwerkorganisationen zulassen oder blockieren, ohne einzelne IP-Adressen verwalten zu müssen. Dieser Ansatz bietet eine stabilere und effizientere Methode zur Zugriffskontrolle als IP-basierte Regeln, da sie ASNs sich seltener ändern als IP-Bereiche.
Der ASN-Abgleich ist besonders nützlich, wenn es darum geht, Datenverkehr aus bekannten problematischen Netzwerken zu blockieren oder den Zugriff nur über vertrauenswürdige Partnernetzwerke zuzulassen. Die ASN-Match-Anweisung bietet Flexibilität bei der Bestimmung der Client-IP-Adresse durch eine optionale Konfiguration für weitergeleitete IP-Adressen. Dadurch ist sie mit verschiedenen Netzwerkkonfigurationen kompatibel, einschließlich solcher, die Content Delivery Networks (CDNs) oder Reverse-Proxys verwenden.
**Anmerkung**
ASN Matching ergänzt die standardmäßigen Authentifizierungs- und Autorisierungskontrollen, ersetzt sie jedoch nicht. Wir empfehlen Ihnen, Authentifizierungs- und Autorisierungsmechanismen wie IAM zu implementieren, um die Identität aller Anfragen in Ihren Anwendungen zu überprüfen.
## So funktioniert die ASN-Match-Anweisung
AWS WAF bestimmt die ASN einer Anfrage anhand ihrer IP-Adresse. AWS WAF Verwendet standardmäßig die IP-Adresse des Ursprungs der Webanfrage. Sie können so konfigurieren AWS WAF , dass eine IP-Adresse aus einem alternativen Anforderungsheader verwendet wird`X-Forwarded-For`, indem Sie beispielsweise die Konfiguration für weitergeleitete IP-Adressen in den Einstellungen für die Regelanweisung aktivieren.
Die ASN Match-Anweisung vergleicht die ASN der Anfrage mit der in der Regel ASNs angegebenen Liste. Wenn die ASN mit einer in der Liste übereinstimmt, wird die Anweisung als wahr ausgewertet und die zugehörige Regelaktion wird angewendet.
### Behandlung nicht zugeordnet ASNs
Wenn AWS WAF keine ASN für eine gültige IP-Adresse ermittelt werden kann, wird ASN 0 zugewiesen. Sie können ASN 0 in Ihre Regel aufnehmen, um diese Fälle explizit zu behandeln.
### Fallback-Verhalten für ungültige IP-Adressen
*Wenn Sie die ASN-Match-Anweisung so konfigurieren, dass weitergeleitete IP-Adressen verwendet werden, können Sie für Anfragen mit ungültigen oder fehlenden IP-Adressen im angegebenen Header das Fallback-Verhalten „*Match“ oder „No match*“ angeben.*
## Eigenschaften der Regelanweisung
**Verschachtelung** – Sie können diesen Anweisungstyp verschachteln.
**WCUs**— 1 ECU
Diese Anweisung verwendet die folgenden Einstellungen:
+ **ASN-Liste** — Eine Reihe von ASN-Nummern, die im Hinblick auf eine ASN-Übereinstimmung verglichen werden sollen. Gültige Werte liegen im Bereich von 0 bis 4294967295. Sie können für jede Regel bis zu 100 ASNs angeben.
+ **(Optional) Konfiguration für weitergeleitete IP-Adressen** — AWS WAF Verwendet standardmäßig die IP-Adresse im Ursprung der Webanfrage, um die ASN zu ermitteln. Alternativ können Sie die Regel so konfigurieren, dass `X-Forwarded-For` stattdessen eine weitergeleitete IP in einem HTTP-Header verwendet wird. Sie geben an, ob die erste, letzte oder eine beliebige Adresse im Header verwendet werden soll. Mit dieser Konfiguration geben Sie auch ein Fallback-Verhalten an, das auf eine Webanfrage mit einer falsch formatierten IP-Adresse im Header angewendet wird. Das Fallback-Verhalten legt das Übereinstimmungsergebnis für die Anforderung fest, auf Übereinstimmgung oder keine Übereinstimmung. Weitere Informationen finden Sie unter [Weitergeleitete IP-Adressen verwenden](https://docs.aws.amazon.com/waf/latest/developerguide/waf-rule-statement-forwarded-ip-address.html).
## Wo finde ich diese Regelaussage
+ **Rule Builder** auf der Konsole — Wählen Sie für die **Option Anfrage die Option** **Stammt von ASN in aus**.
+ **API** – [AsnMatchStatement](https://docs.aws.amazon.com/waf/latest/APIReference/API_AsnMatchStatement.html)
## Beispiele
In diesem Beispiel werden Anfragen blockiert, die von zwei bestimmten, aus einem `X-Forwarded-For` Header ASNs abgeleiteten Anfragen stammen. Wenn die IP-Adresse im Header falsch formatiert ist, gilt das konfigurierte Fallback-Verhalten. `NO_MATCH`
```
{
"Action": {
"Block": {}
},
"Name": "AsnMatchStatementRule",
"Priority": 1,
"Statement": {
"AsnMatchStatement": {
"AsnList": [64496, 64500]
},
"ForwardedIPConfig": {
"FallbackBehavior": "NO_MATCH",
"HeaderName": "X-Forwarded-For"
}
},
"VisibilityConfig": {
"CloudWatchMetricsEnabled": true,
"MetricName": "AsnMatchRuleMetrics",
"SampledRequestsEnabled": true
}
},
"VisibilityConfig": {
"CloudWatchMetricsEnabled": true,
"MetricName": "WebAclMetrics",
"SampledRequestsEnabled": true
}
}
```
# Regelanweisung für Bezeichnungsübereinstimmung
In diesem Abschnitt wird erklärt, was eine Label Match-Anweisung ist und wie sie funktioniert.
Die Bezeichnungs-Übereinstimmungsanweisung gleicht die Bezeichnungen, die sich in der Webanforderung befinden, mit einer Zeichenfolgenspezifikation ab. Bei den Bezeichnungen, die für eine Regel zur Überprüfung zur Verfügung stehen, handelt es sich um Bezeichnungen, die der Webanforderung bereits durch andere Regeln in derselben Evaluierung des Protection Packs (Web-ACL) hinzugefügt wurden.
Labels bleiben außerhalb der Evaluierung des Protection Packs (Web-ACL) nicht erhalten, aber Sie können in der Konsole auf Label-Metriken zugreifen CloudWatch und in der Konsole Zusammenfassungen der Labelinformationen für jedes Schutzpaket (Web-ACL) einsehen. AWS WAF Weitere Informationen erhalten Sie unter [Kennzeichnen Sie Metriken und Dimensionen](waf-metrics.md#waf-metrics-label) und [Überwachung und Optimierung Ihrer AWS WAF Schutzmaßnahmen](web-acl-testing-activities.md). Sie können Labels auch in den Protokollen sehen. Weitere Informationen finden Sie unter [Protokollfelder für den Traffic des Protection Packs (Web-ACL)](logging-fields.md).
**Anmerkung**
Eine Anweisung zur Zuordnung von Bezeichnungen kann nur Labels von Regeln anzeigen, die zu einem früheren Zeitpunkt im Protection Pack (Web-ACL) ausgewertet wurden. Informationen darüber, wie die Regeln und Regelgruppen in einem Protection Pack (Web-ACL) AWS WAF ausgewertet werden, finden Sie unter[Regelpriorität festlegen](web-acl-processing-order.md).
Weitere Informationen zum Hinzufügen und Abgleichen von Labels finden Sie unter[Etikettierung von Webanfragen in AWS WAF](waf-labels.md).
## Merkmale der Regelanweisung
**Verschachtelung** – Sie können diesen Anweisungstyp verschachteln.
**WCUs**— 1 ECU
Diese Anweisung verwendet die folgenden Einstellungen:
+ **Übereinstimmungsumfang** – Setzen Sie das auf **Label** (Bezeichnung), um einen Abgleich mit dem Bezeichnungsnamen und optional den vorhergehenden Namespaces und dem vorhergehenden Präfix durchzuführen. Stellen Sie das auf **Namespace**, um einen Abgleich mit einigen oder allen Namespace-Spezifikationen und optional dem vorhergehenden Präfix durchzuführen.
+ **Schlüssel** – Die Zeichenfolge, mit der Sie einen Abgleich durchführen möchten. Wenn Sie einen Namespace-Übereinstimmungsumfang angeben, sollten Sie nur Namespaces und optional das Präfix mit einem abschließenden Doppelpunkt angeben. Wenn Sie einen Bezeichnungs-Übereinstimmungsbereich angeben, muss dieser den Namen der Bezeichnung enthalten und kann optional vorhergehende Namespaces und das vorhergehende Präfix enthalten.
Weitere Informationen zu diesen Einstellungen finden Sie unter [AWS WAF Regeln, die den Bezeichnungen entsprechen](waf-rule-label-match.md) und [AWS WAF Beispiele für Label-Matches](waf-rule-label-match-examples.md).
## Wo finde ich diese Regelerklärung
+ **Rule Builder** in der Konsole – Wählen Sie für **Request option** (Anforderungsoption) die Option **Has label** (Hat Bezeichnung) aus.
+ **API** – [LabelMatchStatement](https://docs.aws.amazon.com/waf/latest/APIReference/API_LabelMatchStatement.html)
# Regex-Übereinstimmungsregel-Anweisung
In diesem Abschnitt wird erklärt, was eine Regex-Match-Anweisung ist und wie sie funktioniert.
Eine Regex-Match-Anweisung weist AWS WAF an, eine Anforderungskomponente einem einzelnen regulären Ausdruck (Regex) zuzuordnen. Eine Webanforderung stimmt mit der Anweisung überein, wenn die Anforderungskomponente mit dem angegebenen regulären Ausdruck übereinstimmt.
Dieser Anweisungstyp ist eine gute Alternative zu [Regex-Mustersatz Übereinstimmungsregelanweisung](waf-rule-statement-type-regex-pattern-set-match.md) für Situationen, in denen Sie Ihre Übereinstimmungskriterien mit mathematischer Logik kombinieren möchten. Wenn Sie beispielsweise möchten, dass eine Anforderungskomponente einen Abgleich mit einigen regulären Ausdrücken vornimmt, aber andere ausschließt, können Sie die Regex-Übereinstimmungsanweisungen mit [AND-Regelanweisung](waf-rule-statement-type-and.md) und [NOT-Regelanweisung](waf-rule-statement-type-not.md) kombinieren.
AWS WAF unterstützt mit einigen Ausnahmen die von der PCRE-Bibliothek verwendete Mustersyntax. `libpcre` Die Bibliothek ist unter [PCRE - Perl Compatible Regular Expressions](http://www.pcre.org/) (Perl-kompatible reguläre Ausdrücke) dokumentiert. Hinweise zur AWS WAF Unterstützung finden Sie unter[Unterstützte Syntax für reguläre Ausdrücke in AWS WAF](waf-regex-pattern-support.md).
## Merkmale der Regelaussage
**Verschachtelung** – Sie können diesen Anweisungstyp verschachteln.
**WCUs**— 3 WCUs, als Basiskosten. Wenn Sie die Anforderungskomponente **Alle Abfrageparameter** verwenden, fügen Sie 10 hinzu WCUs. Wenn Sie den **JSON-Hauptteil** der Anforderungskomponente verwenden, verdoppeln Sie die Grundkosten WCUs. Fügen Sie für jede **Texttransformation**, die Sie anwenden, 10 hinzu WCUs.
Dieser Anweisungstyp arbeitet mit einer Webanforderungskomponente und erfordert die folgenden Einstellungen für Anforderungskomponenten:
+ **Anforderungskomponente** — Der Teil der Webanforderung, der überprüft werden soll, z. B. eine Abfragezeichenfolge oder der Hauptteil.
**Warnung**
Wenn Sie die Anforderungskomponenten **Body**, **JSON-Text**, **Header** oder **Cookies untersuchen, sollten** Sie sich über die Einschränkungen informieren, mit denen der Inhalt überprüft AWS WAF werden kann. [Übergroße Webanforderungskomponenten in AWS WAF](waf-oversize-request-components.md)
Informationen über Webanforderungskomponenten finden Sie unter [Anpassen der Einstellungen für Regelanweisungen in AWS WAF](waf-rule-statement-fields.md).
+ **Optionale Texttransformationen** — Transformationen, die Sie an der Anforderungskomponente durchführen AWS WAF möchten, bevor Sie sie überprüfen. Sie könnten beispielsweise in Kleinschreibung umwandeln oder Leerzeichen normalisieren. Wenn Sie mehr als eine Transformation angeben, werden diese in der angegebenen Reihenfolge AWS WAF verarbeitet. Weitere Informationen finden Sie unter [Verwenden von Texttransformationen in AWS WAF](waf-rule-statement-transformation.md).
## Wo finde ich diese Regelaussage
+ **Rule Builder** in der Konsole – Wählen Sie für**Match type** (Übereinstimmungstyp) die Option **Matches regular expression** (Stimmt mit regulärem Ausdruck überein) aus.
+ **API** – [RegexMatchStatement](https://docs.aws.amazon.com/waf/latest/APIReference/API_RegexMatchStatement.html)
# Regex-Mustersatz Übereinstimmungsregelanweisung
In diesem Abschnitt wird erklärt, was eine Regex Pattern Set Match-Anweisung ist und wie sie funktioniert.
Die Regex-Mustersatzübereinstimmung überprüft den Teil der Webanforderung, den Sie für die regulären Ausdrucksmuster angeben, die Sie in einem Regex-Mustersatz angegeben haben.
AWS WAF unterstützt mit einigen Ausnahmen die von der PCRE-Bibliothek `libpcre` verwendete Mustersyntax. Die Bibliothek ist unter [PCRE - Perl Compatible Regular Expressions](http://www.pcre.org/) (Perl-kompatible reguläre Ausdrücke) dokumentiert. Hinweise zur AWS WAF Unterstützung finden Sie unter[Unterstützte Syntax für reguläre Ausdrücke in AWS WAF](waf-regex-pattern-support.md).
**Anmerkung**
Jeder RegEx-Mustersatz bezieht sich auf einen RegEx-Mustersatz, den Sie unabhängig von Ihren Regeln erstellen und pflegen. Sie können einen einzelnen Regex-Mustersatz in mehreren Regeln verwenden. Wenn Sie den Satz aktualisieren, auf den verwiesen AWS WAF wird, werden automatisch alle Regeln aktualisiert, die darauf verweisen.
Informationen zum Erstellen und Verwalten eines Regex-Mustersatzes finden Sie unter [Erstellen und Verwalten eines Regex-Musters in AWS WAF](waf-regex-pattern-set-managing.md).
Eine Regex-Patternset-Match-Anweisung weist AWS WAF an, innerhalb der von Ihnen ausgewählten Anforderungskomponente nach einem der Muster im Satz zu suchen. Eine Webanforderung stimmt mit der Regelanweisung für den Mustersatz überein, wenn die Anforderungskomponente mit einem der Muster im Satz übereinstimmt.
Wenn Sie Ihre Regex-Musterabgleiche mit Logik kombinieren möchten, um beispielsweise einen Abgleich mit einigen regulären Ausdrücken vorzunehmen, aber andere auszuschließen, können Sie [Regex-Übereinstimmungsregel-Anweisung](waf-rule-statement-type-regex-match.md) verwenden.
## Eigenschaften der Regelanweisung
**Verschachtelung** – Sie können diesen Anweisungstyp verschachteln.
**WCUs**— 25 WCUs, als Grundkosten. Wenn Sie die Anforderungskomponente **Alle Abfrageparameter** verwenden, fügen Sie 10 hinzu WCUs. Wenn Sie den **JSON-Hauptteil** der Anforderungskomponente verwenden, verdoppeln Sie die Grundkosten WCUs. Fügen Sie für jede **Texttransformation**, die Sie anwenden, 10 hinzu WCUs.
Dieser Anweisungstyp arbeitet mit einer Webanforderungskomponente und erfordert die folgenden Einstellungen für Anforderungskomponenten:
+ **Anforderungskomponente** — Der Teil der Webanforderung, der überprüft werden soll, z. B. eine Abfragezeichenfolge oder der Hauptteil.
**Warnung**
Wenn Sie die Anforderungskomponenten **Body**, **JSON-Text**, **Header** oder **Cookies untersuchen, sollten** Sie sich über die Einschränkungen informieren, mit denen der Inhalt überprüft AWS WAF werden kann. [Übergroße Webanforderungskomponenten in AWS WAF](waf-oversize-request-components.md)
Informationen über Webanforderungskomponenten finden Sie unter [Anpassen der Einstellungen für Regelanweisungen in AWS WAF](waf-rule-statement-fields.md).
+ **Optionale Texttransformationen** — Transformationen, die Sie an der Anforderungskomponente durchführen AWS WAF möchten, bevor Sie sie überprüfen. Sie könnten beispielsweise in Kleinschreibung umwandeln oder Leerzeichen normalisieren. Wenn Sie mehr als eine Transformation angeben, werden diese in der angegebenen Reihenfolge AWS WAF verarbeitet. Weitere Informationen finden Sie unter [Verwenden von Texttransformationen in AWS WAF](waf-rule-statement-transformation.md).
Diese Anweisung erfordert die folgenden Einstellungen:
+ Regex-Mustersatz-Spezifikation – Wählen Sie aus der Liste den Regex-Mustersatz, den Sie verwenden möchten, oder erstellen Sie einen neuen.
## Wo finde ich diese Regelaussage
+ **Rule Builder** in der Konsole – Wählen Sie für **Match type** (Übereinstimmungstyp) die Option **String Match Condition** (Zeichenfolgen-Übereinstimmungsbedingungen) > **Matches pattern from regular expression set** (Muster aus dem Satz mit regulärem Ausdruck stimmt überein) aus.
+ **API** – [RegexPatternSetReferenceStatement](https://docs.aws.amazon.com/waf/latest/APIReference/API_RegexPatternSetReferenceStatement.html)
# Größenbeschränkungsanweisung
In diesem Abschnitt wird erklärt, was eine Größenbeschränkungsanweisung ist und wie sie funktioniert.
Eine Größenbeschränkungsanweisung vergleicht die Anzahl der Byte, die für eine Webanforderungskomponente AWS WAF empfangen werden, mit einer Zahl, die Sie angeben, und stimmt entsprechend Ihren Vergleichskriterien überein.
Das Vergleichskriterium ist ein Operator wie größer als (>) oder kleiner als (<). Sie können beispielsweise Anfragen mit einer Abfragezeichenfolge mit einer Größe von mehr als 100 Byte abgleichen.
Wenn Sie den URI-Pfad überprüfen, zählt jeder Eintrag `/` im Pfad als ein Zeichen. Der URI-Pfad `/logo.jpg` ist beispielsweise neun Zeichen lang.
**Anmerkung**
Diese Anweisung überprüft nur die Größe der Webanforderungskomponente. Sie überprüft nicht den Inhalt der Komponente.
## Eigenschaften der Regelaussage
**Verschachtelung** – Sie können diesen Anweisungstyp verschachteln.
**WCUs**— 1 WCU als Basiskosten. Wenn Sie die Anforderungskomponente **Alle Abfrageparameter** verwenden, fügen Sie 10 WCUs hinzu. Wenn Sie den **JSON-Hauptteil** der Anforderungskomponente verwenden, verdoppeln Sie die Grundkosten WCUs. Fügen Sie für jede **Texttransformation**, die Sie anwenden, 10 hinzu WCUs.
Dieser Anweisungstyp arbeitet mit einer Webanforderungskomponente und erfordert die folgenden Einstellungen für Anforderungskomponenten:
+ **Anforderungskomponente** — Der Teil der Webanforderung, der überprüft werden soll, z. B. eine Abfragezeichenfolge oder der Hauptteil. Informationen über Webanforderungskomponenten finden Sie unter [Anpassen der Einstellungen für Regelanweisungen in AWS WAF](waf-rule-statement-fields.md).
Eine Größenbeschränkungsanweisung überprüft nur die Größe der Komponente, nachdem alle Transformationen angewendet wurden. Sie überprüft nicht den Inhalt der Komponente.
+ **Optionale Texttransformationen** — Transformationen, die Sie AWS WAF an der Anforderungskomponente durchführen möchten, bevor Sie deren Größe überprüfen. Sie könnten beispielsweise Leerraum komprimieren oder HTML-Entitäten dekodieren. Wenn Sie mehr als eine Transformation angeben, AWS WAF werden diese in der angegebenen Reihenfolge verarbeitet. Weitere Informationen finden Sie unter [Verwenden von Texttransformationen in AWS WAF](waf-rule-statement-transformation.md).
Zusätzlich erfordert diese Anweisung die folgenden Einstellungen:
+ **Größenabgleichsbedingung** – Dies gibt den numerischen Vergleichsoperator an, der verwendet werden soll, um die angegebene Größe mit der von Ihnen gewählten Anforderungskomponente zu vergleichen. Wählen Sie den Operator aus der Liste aus.
+ **Größe** — Die Größeneinstellung in Byte, die für den Vergleich verwendet werden soll.
## Wo finde ich diese Regelaussage
+ **Rule Builder** in der Konsole – Wählen Sie für **Match type** (Übereinstimmungstyp) unter **Size Match Condition** (Größen-Übereinstimmungsbedingung) die Bedingung aus, die Sie verwenden möchten.
+ **API** – [SizeConstraintStatement](https://docs.aws.amazon.com/waf/latest/APIReference/API_SizeConstraintStatement.html)
# SQL-Injection-Angriff-Regelanweisung
In diesem Abschnitt wird erklärt, was eine SQL-Injection-Regelanweisung ist und wie sie funktioniert.
Eine SQL-Injection-Regelanweisung sucht nach bösartigem SQL-Code. Angreifer fügen bösartigen SQL-Code in Webanfragen ein, um beispielsweise Ihre Datenbank zu ändern oder Daten daraus zu extrahieren.
## Eigenschaften von Regelanweisungen
**Verschachtelung** – Sie können diesen Anweisungstyp verschachteln.
**WCUs**— Die Grundkosten hängen von der Einstellung der Sensitivitätsstufe für die Regelaussage ab: Low Kosten 20 und High Kosten 30.
Wenn Sie die Anforderungskomponente **Alle Abfrageparameter** verwenden, fügen Sie 10 hinzu WCUs. Wenn Sie den **JSON-Hauptteil** der Anforderungskomponente verwenden, verdoppeln Sie die Grundkosten WCUs. Fügen Sie für jede **Texttransformation**, die Sie anwenden, 10 hinzu WCUs.
Dieser Anweisungstyp arbeitet mit einer Webanforderungskomponente und erfordert die folgenden Einstellungen für Anforderungskomponenten:
+ **Anforderungskomponente** — Der Teil der Webanforderung, der überprüft werden soll, z. B. eine Abfragezeichenfolge oder der Hauptteil.
**Warnung**
Wenn Sie die Anforderungskomponenten **Body**, **JSON-Text**, **Header** oder **Cookies untersuchen, sollten** Sie sich über die Einschränkungen informieren, mit denen der Inhalt überprüft AWS WAF werden kann. [Übergroße Webanforderungskomponenten in AWS WAF](waf-oversize-request-components.md)
Informationen über Webanforderungskomponenten finden Sie unter [Anpassen der Einstellungen für Regelanweisungen in AWS WAF](waf-rule-statement-fields.md).
+ **Optionale Texttransformationen** — Transformationen, die Sie an der Anforderungskomponente durchführen AWS WAF möchten, bevor Sie sie überprüfen. Sie könnten beispielsweise in Kleinschreibung umwandeln oder Leerzeichen normalisieren. Wenn Sie mehr als eine Transformation angeben, werden diese in der angegebenen Reihenfolge AWS WAF verarbeitet. Weitere Informationen finden Sie unter [Verwenden von Texttransformationen in AWS WAF](waf-rule-statement-transformation.md).
Darüber hinaus erfordert diese Anweisung die folgende Einstellung:
+ **Sensitivitätsstufe** — Mit dieser Einstellung wird die Sensitivität der SQL-Injection-Übereinstimmungskriterien eingestellt. Die Optionen sind LOW und HIGH. Die Standardeinstellung lautet LOW.
Diese HIGH Einstellung erkennt mehr SQL-Injection-Angriffe und ist die empfohlene Einstellung. Aufgrund der höheren Empfindlichkeit generiert diese Einstellung mehr Fehlalarme, insbesondere wenn Ihre Webanfragen in der Regel ungewöhnliche Zeichenfolgen enthalten. Beim Testen und Optimieren Ihres Schutzpakets (Web-ACL) müssen Sie möglicherweise mehr tun, um Fehlalarme zu vermeiden. Weitere Informationen finden Sie unter [Testen und Optimieren Ihrer AWS WAF Schutzmaßnahmen](web-acl-testing.md).
Die niedrigere Einstellung sorgt für eine weniger strenge SQL-Injection-Erkennung, was auch zu weniger Fehlalarmen führt. LOWkann eine bessere Wahl für Ressourcen sein, die über andere Schutzmaßnahmen gegen SQL-Injection-Angriffe verfügen oder die eine geringe Toleranz gegenüber Fehlalarmen aufweisen.
## Wo finde ich diese Regelaussage
+ **Rule Builder** in der Konsole – Wählen Sie für **Match type** (Übereinstimmungstyp) die Option **Attack match conditions** (Bedingungen für Angriffsabgleich) > **Contains SQL injection attacks** (Enthält SQL-Injection-Angriffe) aus.
+ **API** – [SqliMatchStatement](https://docs.aws.amazon.com/waf/latest/APIReference/API_SqliMatchStatement.html)
# Zeichenfolgen-Übereinstimmungsanweisung
In diesem Abschnitt wird erklärt, was eine String-Match-Anweisung ist und wie sie funktioniert.
Eine String-Match-Anweisung gibt an, AWS WAF nach welcher Zeichenfolge Sie in einer Anfrage suchen möchten, wo in der Anfrage gesucht werden soll und wie. Beispielsweise können Sie nach einer bestimmten Zeichenfolge am Anfang einer beliebigen Suchzeichenfolge in der Anforderung oder als genaue Übereinstimmung mit dem `User-agent`-Header der Anforderung suchen. Normalerweise besteht die Zeichenfolge aus druckbaren ASCII-Zeichen, aber Sie können jedes beliebige Zeichen von hexadezimal 0x00 bis 0xFF (dezimal 0 bis 255) verwenden.
## Eigenschaften der Regelaussage
**Verschachtelung** – Sie können diesen Anweisungstyp verschachteln.
**WCUs**— Die Grundkosten hängen von der Art des Spiels ab, das Sie verwenden.
+ **Stimmt genau mit Zeichenfolge überein** – 2
+ **Beginnt mit Zeichenfolge** – 2
+ **Endet mit Zeichenfolge** – 2
+ **Enthält Zeichenfolge** – 10
+ **Enthält das Wort** — 10
Wenn Sie die Anforderungskomponente **Alle Abfrageparameter** verwenden, fügen Sie 10 hinzu WCUs. Wenn Sie den **JSON-Hauptteil** der Anforderungskomponente verwenden, verdoppeln Sie die Grundkosten WCUs. Fügen Sie für jede **Texttransformation**, die Sie anwenden, 10 hinzu WCUs.
Dieser Anweisungstyp arbeitet mit einer Webanforderungskomponente und erfordert die folgenden Einstellungen für Anforderungskomponenten:
+ **Anforderungskomponente** — Der Teil der Webanforderung, der überprüft werden soll, z. B. eine Abfragezeichenfolge oder der Hauptteil.
**Warnung**
Wenn Sie die Anforderungskomponenten **Body**, **JSON-Text**, **Header** oder **Cookies untersuchen, sollten** Sie sich über die Einschränkungen informieren, mit denen der Inhalt überprüft AWS WAF werden kann. [Übergroße Webanforderungskomponenten in AWS WAF](waf-oversize-request-components.md)
Informationen über Webanforderungskomponenten finden Sie unter [Anpassen der Einstellungen für Regelanweisungen in AWS WAF](waf-rule-statement-fields.md).
+ **Optionale Texttransformationen** — Transformationen, die Sie an der Anforderungskomponente durchführen AWS WAF möchten, bevor Sie sie überprüfen. Sie könnten beispielsweise in Kleinschreibung umwandeln oder Leerzeichen normalisieren. Wenn Sie mehr als eine Transformation angeben, werden diese in der angegebenen Reihenfolge AWS WAF verarbeitet. Weitere Informationen finden Sie unter [Verwenden von Texttransformationen in AWS WAF](waf-rule-statement-transformation.md).
Zusätzlich erfordert diese Anweisung die folgenden Einstellungen:
+ **Übereinstimmende Zeichenfolge** — Dies ist die Zeichenfolge, die Sie AWS WAF mit der angegebenen Anforderungskomponente vergleichen möchten. Normalerweise besteht die Zeichenfolge aus druckbaren ASCII-Zeichen, aber Sie können jedes beliebige Zeichen von hexadezimal 0x00 bis 0xFF (dezimal 0 bis 255) verwenden.
+ **Bedingung für übereinstimmende Zeichenfolge** — Dies gibt den Suchtyp an, den Sie ausführen AWS WAF möchten.
+ **Exactly matches string** (Entspricht Zeichenfolge genau) – Die Zeichenfolge und der Wert der Steuerungskomponente sind identisch.
+ **Starts with string** (Beginnt mit Zeichenfolge) – Die Zeichenfolge wird am Anfang der Anforderungskomponente angezeigt.
+ **Ends with string** (Endet mit Zeichenfolge) – Die Zeichenfolge wird am Ende der Anforderungskomponente angezeigt.
+ **Contains string** (Enthält Zeichenfolge) – Die Zeichenfolge wird an beliebiger Stelle in der Anforderungskomponente angezeigt.
+ **Contains word** (Enthält Wort) – Die von Ihnen angegebene Zeichenfolge muss in der Anforderungskomponente angezeigt werden.
Bei dieser Option darf die von Ihnen angegebene Zeichenfolge nur alphanumerische Zeichen oder Unterstriche (A-Z, a-z, 0-9 oder \$1) enthalten.
Eine der folgenden Bedingungen muss erfüllt sein, damit die Anforderung übereinstimmt:
+ Die Zeichenfolge entspricht exakt dem Wert der Anforderungskomponente, z. B. dem Wert eines Headers.
+ Die Zeichenfolge steht am Anfang der Anforderungskomponente und wird von einem anderen Zeichen als einem alphanumerischen Zeichen oder Unterstrich (\$1) gefolgt, z. B. `BadBot;`.
+ Die Zeichenfolge befindet sich am Ende der Anforderungskomponente und wird von einem anderen Zeichen als einem alphanumerischen Zeichen oder Unterstrich (\$1), z. B. `;BadBot`, eingeleitet.
+ Die Zeichenfolge befindet sich in der Mitte der Anforderungskomponente und wird von anderen Zeichen als alphanumerischen Zeichen oder Unterstrichen (\$1) eingeleitet und gefolgt, z. B. `-BadBot;`.
## Wo finde ich diese Regelaussage
+ **Rule Builder** in der Konsole – Wählen Sie für **Match type** (Übereinstimmungstyp) die Option **String Match Condition** (Zeichenfolgen-Übereinstimmungsbedingungen) aus. Geben Sie dann die Zeichenfolgen ein, mit denen Sie einen Vergleich vornehmen möchten.
+ **API** – [ByteMatchStatement](https://docs.aws.amazon.com/waf/latest/APIReference/API_ByteMatchStatement.html)
# Cross-Site-Scripting-Angriffsregel-Anweisung
In diesem Abschnitt wird erklärt, was eine XSS-Angriffsanweisung (Cross-Site Scripting) ist und wie sie funktioniert.
Eine XSS-Angriffsanweisung untersucht eine Webanforderungskomponente auf schädliche Skripts. Bei einem XSS-Angriff nutzt der Angreifer Sicherheitslücken auf einer harmlosen Website, um bösartige Client-Site-Skripts in andere legitime Webbrowser einzuschleusen.
## Merkmale der Regelaussage
**Verschachtelung** – Sie können diesen Anweisungstyp verschachteln.
**WCUs**— 40 WCUs, als Grundkosten. Wenn Sie die Anforderungskomponente **Alle Abfrageparameter** verwenden, fügen Sie 10 hinzu WCUs. Wenn Sie den **JSON-Hauptteil** der Anforderungskomponente verwenden, verdoppeln Sie die Grundkosten WCUs. Fügen Sie für jede **Texttransformation**, die Sie anwenden, 10 hinzu WCUs.
Dieser Anweisungstyp arbeitet mit einer Webanforderungskomponente und erfordert die folgenden Einstellungen für Anforderungskomponenten:
+ **Anforderungskomponente** — Der Teil der Webanforderung, der überprüft werden soll, z. B. eine Abfragezeichenfolge oder der Hauptteil.
**Warnung**
Wenn Sie die Anforderungskomponenten **Body**, **JSON-Text**, **Header** oder **Cookies untersuchen, sollten** Sie sich über die Einschränkungen informieren, mit denen der Inhalt überprüft AWS WAF werden kann. [Übergroße Webanforderungskomponenten in AWS WAF](waf-oversize-request-components.md)
Informationen über Webanforderungskomponenten finden Sie unter [Anpassen der Einstellungen für Regelanweisungen in AWS WAF](waf-rule-statement-fields.md).
+ **Optionale Texttransformationen** — Transformationen, die Sie an der Anforderungskomponente durchführen AWS WAF möchten, bevor Sie sie überprüfen. Sie könnten beispielsweise in Kleinschreibung umwandeln oder Leerzeichen normalisieren. Wenn Sie mehr als eine Transformation angeben, werden diese in der angegebenen Reihenfolge AWS WAF verarbeitet. Weitere Informationen finden Sie unter [Verwenden von Texttransformationen in AWS WAF](waf-rule-statement-transformation.md).
## Wo finde ich diese Regelaussage
+ **Rule Builder** in der Konsole – Wählen Sie für **Match type** (Übereinstimmungstyp) die Option **Attack match conditions** (Bedingungen für Angriffsabgleich) > **Contains XSS injection attacks** (Enthält XSS-Injection-Angriffe) aus.
+ **API** – [XssMatchStatement](https://docs.aws.amazon.com/waf/latest/APIReference/API_XssMatchStatement.html)
# Verwendung logischer Regelanweisungen in AWS WAF
In diesem Abschnitt wird erklärt, was eine logische Regelaussage ist und wie sie funktioniert.
Verwenden Sie Anweisungen mit logischen Regeln, um andere Anweisungen zu kombinieren oder deren Ergebnisse zu negieren. Jede logische Regelanweisung benötigt mindestens eine verschachtelte Anweisung.
Verschachteln Sie die Anweisungen unter logischen Regelanweisungen, um die Ergebnisse der Regelanweisung logisch zu kombinieren oder zu negieren.
Logische Regelanweisungen sind verschachtelbar. Sie können sie in andere logische Regelanweisungen verschachteln und in Eingrenzungsanweisungen verwenden. Informationen zu Eingrenzungsanweisungen finden Sie unter [Verwendung von Scope-Down-Aussagen in AWS WAF](waf-rule-scope-down-statements.md).
**Anmerkung**
Der visuelle Editor in der Konsole unterstützt eine Ebene der Verschachtelung von Regelanweisungen, die für viele Anforderungen geeignet ist. Um mehrere Ebenen zu verschachteln, bearbeiten Sie die JSON-Darstellung der Regel in der Konsole oder verwenden Sie die APIs.
In dieser Tabelle werden die logischen Regelaussagen beschrieben und Richtlinien für die Berechnung der jeweiligen Kapazitätseinheiten (WCU) von Protection Pack (Web ACL) bereitgestellt. Weitere Informationen dazu finden Sie WCUs unter[Web-ACL-Kapazitätseinheiten (WCUs) in AWS WAF](aws-waf-capacity-units.md).
| Logische Anweisung | Description | WCUs |
| --- | --- | --- |
| [AND-Logik](waf-rule-statement-type-and.md) | Kombiniert verschachtelte Anweisungen mit AND-Logik. | Basierend auf verschachtelten Anweisungen |
| [NOT-Logik](waf-rule-statement-type-not.md) | Negiert die Ergebnisse einer verschachtelten Anweisung. | Basierend auf einer verschachtelten Anweisung |
| [OR-Logik](waf-rule-statement-type-or.md) | Kombiniert verschachtelte Anweisungen mit OR-Logik. | Basierend auf verschachtelten Anweisungen |
# AND-Regelanweisung
Die AND-Regelanweisung kombiniert verschachtelte Anweisungen mit einer logischen AND-Verknüpfung, sodass alle verschachtelten Anweisungen übereinstimmen müssen, damit die AND-Anweisung übereinstimmt. Dies erfordert mindestens zwei verschachtelte Anweisungen.
## Eigenschaften der Regelanweisung
**Verschachtelung** – Sie können diesen Anweisungstyp verschachteln.
**WCUs**— Hängt von den verschachtelten Anweisungen ab.
## Wo finde ich diese Regelaussage
+ **Rule Builder** in der Konsole – Wählen Sie für **If a request** (Wenn eine Anforderung) die Option **matches all the statements (AND)** (mit allen Anweisungen übereinstimmt (AND)) aus und füllen Sie dann die verschachtelten Anweisungen aus.
+ **API** – [AndStatement](https://docs.aws.amazon.com/waf/latest/APIReference/API_AndStatement.html)
## Beispiele
Die folgende Liste zeigt die Verwendung von AND und NOT logische Regelanweisungen, um Fehlalarme aus den Treffern einer SQL-Injection-Angriffsanweisung zu eliminieren. Nehmen wir für dieses Beispiel an, dass wir eine Einzelbyte-Match-Anweisung schreiben können, um die Anfragen abzugleichen, die zu falsch positiven Ergebnissen führen.
Die AND-Anweisung stimmt für Anfragen überein, die nicht mit der Byte-Match-Anweisung übereinstimmen und die der SQL-Injection-Angriffsanweisung entsprechen.
```
{
"Name": "SQLiExcludeFalsePositives",
"Priority": 0,
"Statement": {
"AndStatement": {
"Statements": [
{
"NotStatement": {
"Statement": {
"ByteMatchStatement": {
"SearchString": "string identifying a false positive",
"FieldToMatch": {
"Body": {
"OversizeHandling": "MATCH"
}
},
"TextTransformations": [
{
"Priority": 0,
"Type": "NONE"
}
],
"PositionalConstraint": "CONTAINS"
}
}
}
},
{
"SqliMatchStatement": {
"FieldToMatch": {
"Body": {
"OversizeHandling": "MATCH"
}
},
"TextTransformations": [
{
"Priority": 0,
"Type": "NONE"
}
]
}
}
]
}
},
"Action": {
"Block": {}
},
"VisibilityConfig": {
"SampledRequestsEnabled": true,
"CloudWatchMetricsEnabled": true,
"MetricName": "SQLiExcludeFalsePositives"
}
}
```
Mit dem visuellen Editor für Konsolenregeln können Sie eine unlogische Anweisung oder eine Anweisung unter einer NOT OR Oder-Anweisung verschachteln. AND Die Verschachtelung der NOT Anweisung ist im vorherigen Beispiel dargestellt.
Mit dem visuellen Editor für Konsolenregeln können Sie die meisten verschachtelbaren Anweisungen unter einer logischen Regelanweisung verschachteln, wie sie im vorherigen Beispiel gezeigt wurde. Sie können den Visual Editor nicht zum Verschachteln OR von AND OD-Anweisungen verwenden. Um diese Art der Verschachtelung zu konfigurieren, müssen Sie Ihre Regelanweisung in JSON angeben. Die folgende JSON-Regelliste enthält beispielsweise eine Anweisung, die in einer OR Anweisung verschachtelt istAND.
```
{
"Name": "match_rule",
"Priority": 0,
"Statement": {
"AndStatement": {
"Statements": [
{
"LabelMatchStatement": {
"Scope": "LABEL",
"Key": "awswaf:managed:aws:bot-control:bot:category:monitoring"
}
},
{
"NotStatement": {
"Statement": {
"LabelMatchStatement": {
"Scope": "LABEL",
"Key": "awswaf:managed:aws:bot-control:bot:name:pingdom"
}
}
}
},
{
"OrStatement": {
"Statements": [
{
"GeoMatchStatement": {
"CountryCodes": [
"JM",
"JP"
]
}
},
{
"ByteMatchStatement": {
"SearchString": "JCountryString",
"FieldToMatch": {
"Body": {}
},
"TextTransformations": [
{
"Priority": 0,
"Type": "NONE"
}
],
"PositionalConstraint": "CONTAINS"
}
}
]
}
}
]
}
},
"Action": {
"Block": {}
},
"VisibilityConfig": {
"SampledRequestsEnabled": true,
"CloudWatchMetricsEnabled": true,
"MetricName": "match_rule"
}
}
```
# NOT-Regelanweisung
Die NOT-Regelanweisung negiert logisch die Ergebnisse einer einzelnen verschachtelten Anweisung, sodass die verschachtelten Anweisungen nicht mit der NOT-Anweisung übereinstimmen dürfen und umgekehrt. Dies erfordert eine verschachtelte Anweisung.
Wenn Sie beispielsweise Anforderungen blockieren möchten, die nicht aus einem bestimmten Land stammen, erstellen Sie eine NOT-Anweisung mit einer Aktion, die auf Blockieren festgelegt ist, und verschachteln Sie eine geografische Match-Anweisung, die das Land angibt.
## Eigenschaften von Regelaussagen
**Verschachtelung** – Sie können diesen Anweisungstyp verschachteln.
**WCUs**— Hängt von der verschachtelten Anweisung ab.
## Wo finde ich diese Regelaussage
+ **Rule Builder** in der Konsole – Wählen Sie für **If a request** (Wenn eine Anforderung) die Option **doesn't match the statement (NOT)** (nicht mit der Anweisung übereinstimmt (NOT)) aus. Füllen Sie dann die verschachtelte Anweisung aus.
+ **API** – [NotStatement](https://docs.aws.amazon.com/waf/latest/APIReference/API_NotStatement.html)
# OR-Regelanweisung
Die OR-Regelanweisung kombiniert verschachtelte Anweisungen mit der OR-Logik, sodass eine der verschachtelten Anweisungen übereinstimmen muss, damit die OR-Anweisung übereinstimmt. Dies erfordert mindestens zwei verschachtelte Anweisungen.
Wenn Sie beispielsweise Anfragen blockieren möchten, die aus einem bestimmten Land kommen oder eine bestimmte Abfragezeichenfolge enthalten, könnten Sie eine Anweisung erstellen und darin eine OR Geo-Match-Anweisung für das Land und eine String-Match-Anweisung für die Abfragezeichenfolge verschachteln.
Wenn Sie stattdessen Anfragen blockieren möchten, die *nicht* aus einem bestimmten Land stammen oder eine bestimmte Abfragezeichenfolge enthalten, würden Sie die vorherige OR Anweisung so ändern, dass die Geo-Match-Anweisung eine Ebene tiefer in einer NOT Anweisung verschachtelt wird. Diese Verschachtelungsebene erfordert die Verwendung der JSON-Formatierung, weil die Konsole nur eine Verschachtelungsebene unterstützt.
## Eigenschaften der Regelaussage
**Verschachtelung** – Sie können diesen Anweisungstyp verschachteln.
**WCUs**— Hängt von den verschachtelten Anweisungen ab.
## Wo finde ich diese Regelaussage
+ **Rule Builder** in der Konsole – Wählen Sie für **If a request** (Wenn eine Anforderung) die Option **matches at least one of the statements (OR)** (mit mindestens einer der Anweisungen übereinstimmt (OR)) aus. Füllen Sie dann die verschachtelten Anweisungen aus.
+ **API** – [OrStatement](https://docs.aws.amazon.com/waf/latest/APIReference/API_OrStatement.html)
**Beispiele**
Die folgende Liste zeigt die Verwendung vonOR, um zwei andere Anweisungen zu kombinieren. Die OR Anweisung ist eine Übereinstimmung, wenn eine der verschachtelten Anweisungen übereinstimmt.
```
{
"Name": "neitherOfTwo",
"Priority": 1,
"Action": {
"Block": {}
},
"VisibilityConfig": {
"SampledRequestsEnabled": true,
"CloudWatchMetricsEnabled": true,
"MetricName": "neitherOfTwo"
},
"Statement": {
"OrStatement": {
"Statements": [
{
"GeoMatchStatement": {
"CountryCodes": [
"CA"
]
}
},
{
"IPSetReferenceStatement": {
"ARN": "arn:aws:wafv2:us-east-1:111111111111:regional/ipset/test-ip-set-22222222/33333333-4444-5555-6666-777777777777"
}
}
]
}
}
}
```
Mit dem visuellen Editor für Konsolenregeln können Sie die meisten verschachtelbaren Anweisungen unter einer logischen Regelanweisung verschachteln, aber Sie können den visuellen Editor nicht verwenden, um OR-Anweisungen zu verschachtelnOR. AND Um diese Art der Verschachtelung zu konfigurieren, müssen Sie Ihre Regelanweisung in JSON angeben. Die folgende JSON-Regelliste enthält beispielsweise eine Anweisung, die in einer OR Anweisung verschachtelt istAND.
```
{
"Name": "match_rule",
"Priority": 0,
"Statement": {
"AndStatement": {
"Statements": [
{
"LabelMatchStatement": {
"Scope": "LABEL",
"Key": "awswaf:managed:aws:bot-control:bot:category:monitoring"
}
},
{
"NotStatement": {
"Statement": {
"LabelMatchStatement": {
"Scope": "LABEL",
"Key": "awswaf:managed:aws:bot-control:bot:name:pingdom"
}
}
}
},
{
"OrStatement": {
"Statements": [
{
"GeoMatchStatement": {
"CountryCodes": [
"JM",
"JP"
]
}
},
{
"ByteMatchStatement": {
"SearchString": "JCountryString",
"FieldToMatch": {
"Body": {}
},
"TextTransformations": [
{
"Priority": 0,
"Type": "NONE"
}
],
"PositionalConstraint": "CONTAINS"
}
}
]
}
}
]
}
},
"Action": {
"Block": {}
},
"VisibilityConfig": {
"SampledRequestsEnabled": true,
"CloudWatchMetricsEnabled": true,
"MetricName": "match_rule"
}
}
```
# Verwendung ratenbasierter Regelanweisungen in AWS WAF
In diesem Abschnitt wird erklärt, was eine ratenbasierte Regelaussage ist und wie sie funktioniert.
Eine ratenbasierte Regel zählt eingehende Anfragen und begrenzt die Rate der Anfragen, wenn sie zu schnell eingehen. Die Regel aggregiert Anfragen gemäß Ihren Kriterien und zählt und begrenzt die aggregierten Gruppierungen auf der Grundlage des Bewertungsfensters, des Anforderungslimits und der Aktionseinstellungen der Regel.
**Anmerkung**
Sie können Webanfragen auch mit der gezielten Schutzstufe der Regelgruppe „ AWS Managed Rules“ von Bot Control einschränken. Für die Verwendung dieser verwalteten Regelgruppe fallen zusätzliche Gebühren an. Weitere Informationen finden Sie unter [Optionen zur Ratenbegrenzung in ratenbasierten Regeln und gezielten Bot-Kontrollregeln](waf-rate-limiting-options.md).
AWS WAF verfolgt und verwaltet Webanfragen separat für jede Instanz einer ratenbasierten Regel, die Sie verwenden. Wenn Sie beispielsweise dieselben Einstellungen für ratenbasierte Regeln in zwei Websites angebenACLs, stellt jede der beiden Regelanweisungen eine separate Instanz der ratenbasierten Regel dar und jede erhält ihre eigene Nachverfolgung und Verwaltung durch. AWS WAF Wenn Sie eine ratenbasierte Regel innerhalb einer Regelgruppe definieren und diese Regelgruppe dann an mehreren Stellen verwenden, erstellt jede Verwendung eine separate Instanz der ratenbasierten Regel, die ihre eigene Nachverfolgung und Verwaltung erhält. AWS WAF
**Keine Verschachtelung** – Sie können diesen Anweisungstyp nicht in andere Anweisungen einfügen. Sie können sie direkt in ein Schutzpaket (Web-ACL) oder eine Regelgruppe aufnehmen.
**Scope-down-Aussage** — Dieser Regeltyp kann eine Scope-down-Aussage enthalten, um den Umfang der Anfragen, die die Regel verfolgt, einzugrenzen und die Rate zu begrenzen. Die Scope-down-Aussage kann optional oder erforderlich sein, abhängig von Ihren anderen Regelkonfigurationseinstellungen. Die Einzelheiten werden in diesem Abschnitt behandelt. Allgemeine Informationen zu Scopedown-Aussagen finden Sie unter. [Verwendung von Scope-Down-Aussagen in AWS WAF](waf-rule-scope-down-statements.md)
**WCUs**— 2, als Grundkosten. Fügen Sie für jeden benutzerdefinierten Aggregationsschlüssel, den Sie angeben, 30 WCUs hinzu. Wenn Sie in der Regel eine Scope-Down-Anweisung verwenden, berechnen Sie den Wert dafür und fügen Sie ihn hinzu. WCUs
**Wo finde ich diese Regelaussage**
+ **Rule Builder** in Ihrem Schutzpaket (Web-ACL) auf der Konsole — Wählen Sie unter **Regel** für **Typ** die Option **Ratenbasierte** Regel aus.
+ **API** – [RateBasedStatement](https://docs.aws.amazon.com/waf/latest/APIReference/API_RateBasedStatement.html)
**Topics**
+ [Einstellungen für ratenbasierte Regeln auf hoher Ebene in AWS WAF](waf-rule-statement-type-rate-based-high-level-settings.md)
+ [Vorbehalte bei ratenbasierten Regeln AWS WAF](waf-rule-statement-type-rate-based-caveats.md)
+ [Aggregieren von ratenbasierten Regeln in AWS WAF](waf-rule-statement-type-rate-based-aggregation-options.md)
+ [Instanzen und Zählungen für die ratenbasierte Regelaggregation](waf-rule-statement-type-rate-based-aggregation-instances.md)
+ [Anwendung der Ratenbegrenzung auf Anfragen in AWS WAF](waf-rule-statement-type-rate-based-request-limiting.md)
+ [Beispiele für ratenbasierte Regeln in AWS WAF](waf-rule-statement-type-rate-based-examples.md)
+ [Auflisten von IP-Adressen, deren Rate durch ratenbasierte Regeln begrenzt wird](listing-managed-ips.md)
# Einstellungen für ratenbasierte Regeln auf hoher Ebene in AWS WAF
Eine ratenbasierte Regelanweisung verwendet die folgenden allgemeinen Einstellungen:
+ **Bewertungsfenster** — Der Zeitraum in Sekunden, der bei der Anzahl der Anfragen AWS WAF berücksichtigt werden soll, wenn man von der aktuellen Uhrzeit aus betrachtet. Beispiel: Bei einer Einstellung von 120 werden bei der AWS WAF Überprüfung der Rate die Anfragen für die 2 Minuten gezählt, die unmittelbar vor der aktuellen Uhrzeit liegen. Gültige Einstellungen sind 60 (1 Minute), 120 (2 Minuten), 300 (5 Minuten) und 600 (10 Minuten), und 300 (5 Minuten) ist die Standardeinstellung.
Diese Einstellung bestimmt nicht, wie oft die Rate AWS WAF überprüft wird, sondern wie weit sie bei jeder Überprüfung zurückblickt. AWS WAF überprüft die Rate regelmäßig, wobei der Zeitpunkt unabhängig von der Einstellung des Bewertungsfensters ist.
+ **Ratenlimit** — Die maximale Anzahl von Anfragen, die Ihren Kriterien entsprechen und nur innerhalb des angegebenen Bewertungsfensters erfasst werden AWS WAF sollen. Die niedrigste zulässige Limiteinstellung ist 10. Wenn dieser Grenzwert überschritten wird, AWS WAF wendet die Einstellung für die Regelaktion auf weitere Anfragen an, die Ihren Kriterien entsprechen.
AWS WAF wendet eine Ratenbegrenzung in der Nähe des von Ihnen festgelegten Limits an, garantiert jedoch nicht, dass das Limit exakt übereinstimmt. Weitere Informationen finden Sie unter [Vorbehalte bei ratenbasierten Regeln](waf-rule-statement-type-rate-based-caveats.md).
+ **Aggregation** von Anfragen — Die im Internet zu verwendenden Aggregationskriterien, die von der ratenbasierten Regel berücksichtigt werden, und die Ratenbegrenzungen. Das von Ihnen festgelegte Ratenlimit gilt für jede Aggregationsinstanz. Details dazu finden Sie unter [Aggregieren von ratenbasierten Regeln](waf-rule-statement-type-rate-based-aggregation-options.md) und [Aggregationsinstanzen und -zahlen](waf-rule-statement-type-rate-based-aggregation-instances.md).
+ **Aktion** — Die Aktion, die bei Anfragen ergriffen werden soll, die von der Regelrate begrenzt werden. Sie können jede beliebige Regelaktion verwenden, außer Allow Dies wird wie üblich auf Regelebene festgelegt, weist jedoch einige Einschränkungen und Verhaltensweisen auf, die für ratenbasierte Regeln spezifisch sind. Allgemeine Informationen zu Regelaktionen finden Sie unter. [Verwenden von Regelaktionen in AWS WAF](waf-rule-action.md) Spezifische Informationen zur Ratenbegrenzung finden Sie [Anwendung der Ratenbegrenzung auf Anfragen in AWS WAF](waf-rule-statement-type-rate-based-request-limiting.md) in diesem Abschnitt.
+ **Prüfungsumfang und Gebührenbegrenzung** — Sie können den Umfang der Anfragen, die in der tarifbasierten Abrechnung erfasst werden, und die Preisbegrenzungen einschränken, indem Sie eine Erklärung zum Umfang hinzufügen. Wenn Sie eine Erklärung zum Umfang angeben, aggregiert, zählt und begrenzt die Regel nur Anfragen, die mit dem Umfang übereinstimmen. Wenn Sie die Option „**Alle zählen**“ für die Aggregation von Anfragen wählen, ist die Scope-down-Anweisung erforderlich. Weitere Informationen zu Eingrenzungsanweisungen finden Sie unter [Verwenden von Scope-Down-Aussagen](waf-rule-scope-down-statements.md).
+ **(Optional) Konfiguration für weitergeleitete IP-Adressen — Diese Konfiguration** wird nur verwendet, wenn Sie die **IP-Adresse im Header** Ihrer Anforderungsaggregation angeben, entweder allein oder als Teil der Einstellungen für benutzerdefinierte Schlüssel. AWS WAF ruft die erste IP-Adresse im angegebenen Header ab und verwendet diese als Aggregationswert. Ein üblicher Header für diesen Zweck ist`X-Forwarded-For`, aber Sie können einen beliebigen Header angeben. Weitere Informationen finden Sie unter [Verwendung weitergeleiteter IP-Adressen](waf-rule-statement-forwarded-ip-address.md).
# Vorbehalte bei ratenbasierten Regeln AWS WAF
In diesem Abschnitt werden die Vorbehalte für die Verwendung tarifbasierter Regeln aufgeführt.
AWS WAF Die Ratenbegrenzung dient dazu, hohe Anforderungsraten zu kontrollieren und die Verfügbarkeit Ihrer Anwendung so effizient und effektiv wie möglich zu schützen. Es ist nicht für eine präzise Begrenzung der Anforderungsrate vorgesehen.
+ AWS WAF schätzt die aktuelle Anforderungsrate mithilfe eines Algorithmus, der neueren Anfragen mehr Bedeutung beimisst. Aus diesem Grund AWS WAF wird eine Ratenbegrenzung in der Nähe des von Ihnen festgelegten Limits angewendet, es wird jedoch nicht garantiert, dass das Limit exakt eingehalten wird.
+ Jedes Mal, wenn die Rate der Anfragen AWS WAF geschätzt wird, AWS WAF wird die Anzahl der Anfragen berücksichtigt, die während des konfigurierten Testfensters eingegangen sind. Aufgrund dieser und anderer Faktoren, wie etwa Verzögerungen bei der Übertragung, ist es möglich, dass Anfragen mehrere Minuten lang mit einer zu hohen Rate eingehen, bevor sie AWS WAF erkannt und durch die Rate begrenzt werden. In ähnlicher Weise kann die Anforderungsrate für einen bestimmten Zeitraum unter dem Grenzwert liegen, bevor der Rückgang AWS WAF erkannt und die Maßnahme zur Ratenbegrenzung eingestellt wird. In der Regel liegt diese Verzögerung unter 30 Sekunden.
+ Wenn Sie eine der Einstellungen für die Ratenbegrenzung in einer Regel ändern, die gerade verwendet wird, werden die Werte für die Ratenbegrenzung der Regel durch die Änderung zurückgesetzt. Dadurch können die Aktivitäten zur Ratenbegrenzung der Regel für bis zu einer Minute unterbrochen werden. Bei den Einstellungen für die Ratenbegrenzung handelt es sich um das Bewertungsfenster, das Ratenlimit, die Einstellungen für die Anforderungsaggregation, die Konfiguration der weitergeleiteten IP und den Inspektionsumfang.
# Aggregieren von ratenbasierten Regeln in AWS WAF
In diesem Abschnitt werden Ihre Optionen für die Aggregation von Anfragen erläutert.
Standardmäßig aggregiert und begrenzt eine ratenbasierte Regel Anfragen auf der Grundlage der IP-Adresse der Anfrage. Sie können die Regel so konfigurieren, dass sie verschiedene andere Aggregationsschlüssel und Tastenkombinationen verwendet. Sie können beispielsweise auf der Grundlage einer weitergeleiteten IP-Adresse, der HTTP-Methode oder eines Abfragearguments aggregieren. Sie können auch Aggregationsschlüsselkombinationen wie IP-Adresse und HTTP-Methode oder die Werte von zwei verschiedenen Cookies angeben.
**Anmerkung**
Alle Anforderungskomponenten, die Sie im Aggregationsschlüssel angeben, müssen in einer Webanforderung vorhanden sein, damit die Anforderung ausgewertet oder die Rate durch die Regel begrenzt wird.
Sie können Ihre ratenbasierte Regel mit den folgenden Aggregationsoptionen konfigurieren.
+ **Quell-IP-Adresse** — Aggregieren Sie, indem Sie nur die IP-Adresse verwenden, aus der die Webanfrage stammt.
Die Quell-IP-Adresse enthält möglicherweise nicht die Adresse des ursprünglichen Clients. Wenn eine Webanfrage einen oder mehrere Proxys oder Load Balancer durchläuft, enthält diese die Adresse des letzten Proxys.
+ **IP-Adresse im Header** — Aggregiert, wobei nur eine Clientadresse in einem HTTP-Header verwendet wird. Dies wird auch als weitergeleitete IP-Adresse bezeichnet.
Mit dieser Konfiguration geben Sie auch ein Fallback-Verhalten an, das auf eine Webanfrage mit einer falsch formatierten IP-Adresse im Header angewendet wird. Das Fallback-Verhalten legt das Übereinstimmungsergebnis für die Anforderung fest, auf Übereinstimmgung oder keine Übereinstimmung. Wenn keine Übereinstimmung vorliegt, zählt die ratenbasierte Regel die Anfrage nicht und begrenzt sie auch nicht auf die Rate. Bei Übereinstimmung gruppiert die ratenbasierte Regel die Anfrage zusammen mit anderen Anfragen, deren IP-Adresse im angegebenen Header falsch formatiert ist.
Gehen Sie bei dieser Option vorsichtig vor, da Header von Proxys inkonsistent verarbeitet werden können und sie auch geändert werden können, um die Überprüfung zu umgehen. Weitere Informationen und bewährte Methoden finden Sie unter. [Verwendung weitergeleiteter IP-Adressen in AWS WAF](waf-rule-statement-forwarded-ip-address.md)
+ **ASN** — Aggregieren Sie mithilfe einer Autonomen Systemnummer (ASN), die der Quell-IP-Adresse zugeordnet ist, als Aggregatschlüssel. Dies ist möglicherweise nicht die Adresse des ursprünglichen Clients. Wenn eine Webanforderung einen oder mehrere Proxys oder Load Balancer durchläuft, enthält diese die Adresse des letzten Proxys.
Wenn aus der IP-Adresse keine ASN abgeleitet werden AWS WAF kann, wird die ASN als ASN 0 gezählt. Wenn Sie keine Ratenbegrenzung auf unmapped anwenden möchten, können Sie eine Scopedown-Regel erstellen ASNs, die Anfragen mit ASN 0 ausschließt.
+ **ASN im Header** — Aggregieren Sie mithilfe einer ASN, die einer Client-IP-Adresse in einem HTTP-Header zugeordnet ist. Dies wird auch als weitergeleitete IP-Adresse bezeichnet. Mit dieser Konfiguration geben Sie auch ein Fallback-Verhalten an, das auf eine Webanfrage mit einer ungültigen oder falsch formatierten IP-Adresse angewendet werden soll. Das Fallback-Verhalten legt das Übereinstimmungsergebnis für die Anforderung fest, auf Übereinstimmgung oder keine Übereinstimmung. Wenn Sie das Fallback-Verhalten in der Konfiguration für die weitergeleitete IP-Adresse entsprechend festlegen, wird die ungültige IP-Adresse als übereinstimmender Wert AWS WAF behandelt. Auf diese Weise können AWS WAF Sie die Auswertung aller verbleibenden Teile des zusammengesetzten Schlüssels Ihrer ratenbasierten Regel fortsetzen. Wenn keine Übereinstimmung vorliegt, zählt die ratenbasierte Regel die Anfrage nicht und begrenzt sie auch nicht auf die Rate.
Gehen Sie bei dieser Option vorsichtig vor, da Header von Proxys inkonsistent verarbeitet und geändert werden können, um die Überprüfung zu umgehen. Weitere Informationen und bewährte Methoden finden Sie unter. [Verwendung weitergeleiteter IP-Adressen in AWS WAF](waf-rule-statement-forwarded-ip-address.md)
+ **Alle zählen** — Zählt und begrenzt die Rate aller Anfragen, die dem Geltungsbereich der Regel entsprechen. Für diese Option ist eine Scope-down-Aussage erforderlich. Diese Option wird in der Regel verwendet, um die Rate einer bestimmten Gruppe von Anfragen zu begrenzen, z. B. für alle Anfragen mit einer bestimmten Bezeichnung oder für alle Anfragen aus einem bestimmten geografischen Gebiet.
+ **Benutzerdefinierte Schlüssel** — Aggregieren Sie mithilfe eines oder mehrerer benutzerdefinierter Aggregationsschlüssel. Um eine der IP-Adressoptionen mit anderen Aggregationsschlüsseln zu kombinieren, definieren Sie sie hier unter benutzerdefinierte Schlüssel.
Benutzerdefinierte Aggregationsschlüssel sind eine Teilmenge der unter beschriebenen Optionen für Webanforderungskomponenten. [Komponenten anfordern in AWS WAF](waf-rule-statement-fields-list.md)
Die wichtigsten Optionen sind die folgenden. Sofern nicht anders angegeben, können Sie eine Option mehrfach verwenden, z. B. zwei Header oder drei Label-Namespaces.
+ **Label-Namespace** — Verwenden Sie einen Label-Namespace als Aggregationsschlüssel. Jeder eindeutige vollqualifizierte Labelname, der den angegebenen Label-Namespace hat, trägt zur Aggregationsinstanz bei. Wenn Sie nur einen Label-Namespace als Ihren benutzerdefinierten Schlüssel verwenden, definiert jeder Labelname eine Aggregationsinstanz vollständig.
Die ratenbasierte Regel verwendet nur Labels, die der Anforderung durch Regeln hinzugefügt wurden, die zuvor im Protection Pack (Web-ACL) bewertet wurden.
Informationen zu Label-Namespaces und Namen finden Sie unter. [Anforderungen an Labelsyntax und Benennung in AWS WAF](waf-rule-label-requirements.md)
+ **Header** — Verwenden Sie einen benannten Header als Aggregationsschlüssel. Jeder eindeutige Wert im Header trägt zur Aggregationsinstanz bei.
Der Header benötigt eine optionale Texttransformation. Siehe [Verwenden von Texttransformationen in AWS WAF](waf-rule-statement-transformation.md).
+ **Cookie** — Verwenden Sie ein benanntes Cookie als Aggregationsschlüssel. Jeder eindeutige Wert im Cookie trägt zur Aggregationsinstanz bei.
Das Cookie benötigt eine optionale Texttransformation. Siehe [Verwenden von Texttransformationen in AWS WAF](waf-rule-statement-transformation.md).
+ **Abfrageargument** — Verwenden Sie ein einzelnes Abfrageargument in der Anfrage als Aggregatschlüssel. Jeder eindeutige Wert für das benannte Abfrageargument trägt zur Aggregationsinstanz bei.
Für das Abfrageargument ist eine optionale Texttransformation erforderlich. Siehe [Verwenden von Texttransformationen in AWS WAF](waf-rule-statement-transformation.md).
+ **Abfragezeichenfolge** — Verwenden Sie die gesamte Abfragezeichenfolge in der Anfrage als Aggregatschlüssel. Jede einzelne Abfragezeichenfolge trägt zur Aggregationsinstanz bei. Sie können diesen Schlüsseltyp einmal verwenden.
Für die Abfragezeichenfolge ist eine optionale Texttransformation erforderlich. Siehe [Verwenden von Texttransformationen in AWS WAF](waf-rule-statement-transformation.md).
+ **URI-Pfad** — Verwenden Sie den URI-Pfad in der Anfrage als Aggregatschlüssel. Jeder eindeutige URI-Pfad trägt zur Aggregationsinstanz bei. Sie können diesen Schlüsseltyp einmal verwenden.
Für den URI-Pfad ist eine optionale Texttransformation erforderlich. Siehe [Verwenden von Texttransformationen in AWS WAF](waf-rule-statement-transformation.md).
+ **JA3 Fingerabdruck** — Verwenden Sie den JA3 Fingerabdruck in der Anfrage als aggregierten Schlüssel. Jeder eindeutige JA3 Fingerabdruck trägt zur Aggregationsinstanz bei. Sie können diesen Schlüsseltyp einmal verwenden.
+ **JA4 Fingerabdruck** — Verwenden Sie den JA4 Fingerabdruck in der Anfrage als aggregierten Schlüssel. Jeder eindeutige JA4 Fingerabdruck trägt zur Aggregationsinstanz bei. Sie können diesen Schlüsseltyp einmal verwenden.
+ **HTTP-Methode** — Verwenden Sie die HTTP-Methode der Anfrage als Aggregatschlüssel. Jede einzelne HTTP-Methode trägt zur Aggregationsinstanz bei. Sie können diesen Schlüsseltyp einmal verwenden.
+ **IP-Adresse** — Aggregiert mithilfe der IP-Adresse aus dem Ursprung der Webanfrage in Kombination mit anderen Schlüsseln.
Dies enthält möglicherweise nicht die Adresse des ursprünglichen Clients. Wenn eine Webanfrage einen oder mehrere Proxys oder Load Balancer durchläuft, enthält diese die Adresse des letzten Proxys.
+ **IP-Adresse im Header** — Aggregiert, indem die Client-Adresse in einem HTTP-Header in Kombination mit anderen Schlüsseln verwendet wird. Dies wird auch als weitergeleitete IP-Adresse bezeichnet.
Gehen Sie bei dieser Option vorsichtig vor, da Header von Proxys inkonsistent behandelt werden können und sie so geändert werden können, dass sie die Überprüfung umgehen. Weitere Informationen und bewährte Methoden finden Sie unter. [Verwendung weitergeleiteter IP-Adressen in AWS WAF](waf-rule-statement-forwarded-ip-address.md)
# Instanzen und Zählungen für die ratenbasierte Regelaggregation
In diesem Abschnitt wird erklärt, wie eine ratenbasierte Regel Webanfragen auswertet.
*Wenn eine ratenbasierte Regel Webanfragen anhand Ihrer Aggregationskriterien bewertet, definiert jeder eindeutige Satz von Werten, den die Regel für die angegebenen Aggregationsschlüssel findet, eine eindeutige Aggregationsinstanz.*
+ **Mehrere Schlüssel** — Wenn Sie mehrere benutzerdefinierte Schlüssel definiert haben, trägt der Wert für jeden Schlüssel zur Definition der Aggregationsinstanz bei. Jede eindeutige Kombination von Werten definiert eine Aggregationsinstanz.
+ **Einzelner Schlüssel** — Wenn Sie einen einzelnen Schlüssel ausgewählt haben, entweder in den benutzerdefinierten Schlüsseln oder indem Sie eine der Singleton-IP-Adressen ausgewählt haben, definiert jeder eindeutige Wert für den Schlüssel eine Aggregationsinstanz.
+ **Alle zählen — keine Schlüssel** — Wenn Sie die Aggregationsoption **Alle zählen ausgewählt haben, gehören alle** Anfragen, die die Regel auswertet, zu einer einzigen Aggregationsinstanz für die Regel. Für diese Auswahl ist eine Scopedown-Aussage erforderlich.
Eine ratenbasierte Regel zählt Webanfragen für jede Aggregationsinstanz, die sie identifiziert, separat.
Nehmen wir beispielsweise an, eine ratenbasierte Regel wertet Webanfragen mit den folgenden IP-Adressen und HTTP-Methodenwerten aus:
+ IP-Adresse 10.1.1.1, HTTP-Methode POST
+ IP-Adresse 10.1.1.1, HTTP-Methode GET
+ IP-Adresse 127.0.0.0, HTTP-Methode POST
+ IP-Adresse 10.1.1.1, HTTP-Methode GET
Die Regel erstellt verschiedene Aggregationsinstanzen gemäß Ihren Aggregationskriterien.
+ Wenn es sich bei den Aggregationskriterien nur um die IP-Adresse handelt, handelt es sich bei jeder einzelnen IP-Adresse um eine Aggregationsinstanz, und die Anfragen werden für jede Adresse AWS WAF separat gezählt. In unserem Beispiel wären die Aggregationsinstanzen und die Anzahl der Anfragen wie folgt:
+ IP-Adresse 10.1.1.1: Anzahl 3
+ IP-Adresse 127.0.0.0: Anzahl 1
+ Wenn das Aggregationskriterium eine HTTP-Methode ist, ist jede einzelne HTTP-Methode eine Aggregationsinstanz. In unserem Beispiel wären die Aggregationsinstanzen und die Anzahl der Anfragen wie folgt:
+ HTTP-Methode POST: Anzahl 2
+ HTTP-Methode GET: Anzahl 2
+ Wenn es sich bei den Aggregationskriterien um IP-Adresse und HTTP-Methode handelt, würden jede IP-Adresse und jede HTTP-Methode zur kombinierten Aggregationsinstanz beitragen. In unserem Beispiel wären die Aggregationsinstanzen und die Anzahl der Anfragen wie folgt:
+ IP-Adresse 10.1.1.1, HTTP-Methode POST: Anzahl 1
+ IP-Adresse 10.1.1.1, HTTP-Methode GET: Anzahl 2
+ IP-Adresse 127.0.0.0, HTTP-Methode POST: Anzahl 1
# Anwendung der Ratenbegrenzung auf Anfragen in AWS WAF
In diesem Abschnitt wird erklärt, wie das Verhalten bei ratenbasierten Regeln funktioniert.
Die Kriterien, die zur AWS WAF Festlegung von Ratenbegrenzungsanforderungen für eine ratenbasierte Regel verwendet werden, sind dieselben Kriterien, die für die Zusammenfassung von Anfragen für die Regel AWS WAF verwendet werden. Wenn Sie eine Scopedown-Aussage für die Regel definieren, werden AWS WAF nur Anfragen aggregiert, gezählt und mit Ratenbegrenzungen versehen, die der Scope-Down-Anweisung entsprechen.
Die Übereinstimmungskriterien, die dazu führen, dass eine ratenbasierte Regel ihre Regelaktionseinstellungen auf eine bestimmte Webanforderung anwendet, lauten wie folgt:
+ Die Webanforderung entspricht der Scope-Down-Anweisung der Regel, sofern eine definiert ist.
+ Die Webanforderung gehört zu einer Aggregationsinstanz, deren Anzahl der Anfragen derzeit den Grenzwert der Regel überschreitet.
**Wie AWS WAF wendet die Regelaktion an**
Wenn eine ratenbasierte Regel eine Ratenbegrenzung auf eine Anfrage anwendet, wendet sie die Regelaktion an, und wenn Sie in Ihrer Aktionsspezifikation eine benutzerdefinierte Handhabung oder Kennzeichnung definiert haben, wendet die Regel diese an. Diese Bearbeitung von Anfragen entspricht der Art und Weise, wie eine Vergleichsregel ihre Aktionseinstellungen auf passende Webanfragen anwendet. Eine ratenbasierte Regel wendet nur Bezeichnungen an oder führt andere Aktionen auf Anfragen aus, für die sie aktiv die Rate begrenzt.
Sie können jede beliebige Regelaktion verwenden, außer Allow Allgemeine Informationen zu Regelaktionen finden Sie unter[Verwenden von Regelaktionen in AWS WAF](waf-rule-action.md).
In der folgenden Liste wird beschrieben, wie die Ratenbegrenzung für die einzelnen Aktionen funktioniert.
+ **Block**— AWS WAF blockiert die Anfrage und wendet jedes benutzerdefinierte Blockierungsverhalten an, das Sie definiert haben.
+ **Count**— AWS WAF zählt die Anfrage, wendet alle benutzerdefinierten Header oder Labels an, die Sie definiert haben, und setzt die Prüfung der Anfrage mit dem Protection Pack (Web ACL) fort.
Durch diese Aktion wird die Anzahl der Anfragen nicht begrenzt. Es werden nur die Anfragen gezählt, die das Limit überschreiten.
+ **CAPTCHAoder Challenge** — AWS WAF behandelt die Anfrage entweder wie eine Block oder wie eineCount, abhängig vom Status des Tokens der Anfrage.
Diese Aktion begrenzt nicht die Anzahl der Anfragen, die gültige Token haben. Sie begrenzt die Anzahl der Anfragen, die das Limit überschreiten und denen auch gültige Token fehlen.
+ Wenn die Anfrage kein gültiges, noch nicht abgelaufenes Token hat, blockiert die Aktion die Anfrage und sendet das CAPTCHA-Puzzle oder die Browser-Challenge zurück an den Client.
Wenn der Endbenutzer oder der Client-Browser erfolgreich reagiert, erhält der Client ein gültiges Token und sendet die ursprüngliche Anfrage automatisch erneut. Wenn die Ratenbegrenzung für die Aggregationsinstanz weiterhin gültig ist, wird auf diese neue Anfrage mit dem gültigen, nicht abgelaufenen Token die Aktion angewendet, wie im nächsten Aufzählungspunkt beschrieben.
+ Wenn die Anfrage über ein gültiges, noch nicht abgelaufenes Token verfügt, überprüft die Challenge Aktion CAPTCHA oder das Token und führt keine Aktion für die Anfrage aus, ähnlich wie bei der Aktion. Count Die ratenbasierte Regel gibt die Auswertung der Anfrage zurück an das Protection Pack (Web-ACL), ohne eine abschließende Aktion zu ergreifen, und das Protection Pack (Web ACL) setzt die Auswertung der Anfrage fort.
Weitere Informationen finden Sie unter [CAPTCHAund Challenge in AWS WAF](waf-captcha-and-challenge.md).
**Wenn Sie nur die IP-Adresse oder die weitergeleitete IP-Adresse einschränken**
Wenn Sie die Regel so konfigurieren, dass nur die IP-Adresse für weitergeleitete IP-Adressen begrenzt wird, können Sie die Liste der IP-Adressen abrufen, für die die Regel derzeit eine Ratenbegrenzung vorsieht. Wenn Sie eine Scope-Down-Anweisung verwenden, sind nur die Anfragen in der IP-Liste, die der Scope-Down-Anweisung entsprechen, die ratenlimitiert sind. Hinweise zum Abrufen der IP-Adressliste finden Sie unter. [Auflisten von IP-Adressen, deren Rate durch ratenbasierte Regeln begrenzt wird](listing-managed-ips.md)
# Beispiele für ratenbasierte Regeln in AWS WAF
In diesem Abschnitt werden Beispielkonfigurationen für eine Vielzahl gängiger Anwendungsfälle für ratenbasierte Regeln beschrieben.
Jedes Beispiel enthält eine Beschreibung des Anwendungsfalls und zeigt dann in JSON-Auflistungen die Lösung für die benutzerdefiniert konfigurierten Regeln an.
**Anmerkung**
Die in diesen Beispielen gezeigten JSON-Auflistungen wurden in der Konsole erstellt, indem die Regel konfiguriert und dann mit dem **Rule JSON editor** (JSON-Regel-Editor) bearbeitet wurde.
**Topics**
+ [Ratenbegrenzung der Anfragen auf eine Anmeldeseite](waf-rate-based-example-limit-login-page.md)
+ [Ratenbegrenzung der Anfragen an eine Anmeldeseite von einer beliebigen IP-Adresse oder einem beliebigen User-Agent-Paar](waf-rate-based-example-limit-login-page-keys.md)
+ [Ratenbegrenzung der Anfragen, denen ein bestimmter Header fehlt](waf-rate-based-example-limit-missing-header.md)
+ [Ratenbegrenzung der Anfragen mit bestimmten Labels](waf-rate-based-example-limit-labels.md)
+ [Ratenbegrenzung der Anfragen für Labels, die einen bestimmten Label-Namespace haben](waf-rate-based-example-limit-label-aggregation.md)
+ [Ratenbegrenzung der Anfragen mit bestimmten ASNs](waf-rate-based-example-limit-asn.md)
# Ratenbegrenzung der Anfragen auf eine Anmeldeseite
**Um die Anzahl der Anfragen an die Anmeldeseite auf Ihrer Website zu begrenzen, ohne die Zugriffe auf den Rest Ihrer Website zu beeinträchtigen, könnten Sie eine ratenbasierte Regel mit einer Scopedown-Aussage erstellen, die Anfragen an Ihre Anmeldeseite abgleicht, und bei der die Anforderungsaggregation auf Alle zählen gesetzt ist.**
Die ratenbasierte Regel zählt alle Anfragen für die Anmeldeseite in einer einzigen Aggregationsinstanz und wendet die Regelaktion auf alle Anfragen an, die der Scope-Down-Anweisung entsprechen, wenn die Anfragen das Limit überschreiten.
Die folgende JSON-Liste zeigt ein Beispiel für diese Regelkonfiguration. Die Aggregationsoption „Alle zählen“ ist in der JSON-Datei als Einstellung `CONSTANT` aufgeführt. Dieses Beispiel entspricht Anmeldeseiten, die mit `/login` beginnen.
```
{
"Name": "test-rbr",
"Priority": 0,
"Action": {
"Block": {}
},
"VisibilityConfig": {
"SampledRequestsEnabled": true,
"CloudWatchMetricsEnabled": true,
"MetricName": "test-rbr"
},
"Statement": {
"RateBasedStatement": {
"Limit": 1000,
"EvaluationWindowSec": 300,
"AggregateKeyType": "CONSTANT",
"ScopeDownStatement": {
"ByteMatchStatement": {
"FieldToMatch": {
"UriPath": {}
},
"PositionalConstraint": "STARTS_WITH",
"SearchString": "/login",
"TextTransformations": [
{
"Type": "NONE",
"Priority": 0
}
]
}
}
}
}
}
```
# Ratenbegrenzung der Anfragen an eine Anmeldeseite von einer beliebigen IP-Adresse oder einem beliebigen User-Agent-Paar
Um die Anzahl der Anfragen an die Anmeldeseite auf Ihrer Website für IP-Adressen und Benutzeragentenpaare, die Ihr Limit überschreiten, zu begrenzen, setzen Sie die Anforderungsaggregation auf **Benutzerdefinierte Schlüssel** und geben Sie die Aggregationskriterien an.
Die folgende JSON-Liste zeigt ein Beispiel für diese Regelkonfiguration. In diesem Beispiel haben wir das Limit auf 100 Anfragen in einem beliebigen Zeitraum von fünf Minuten pro IP-Adresse und Benutzeragent-Paar festgelegt.
```
{
"Name": "test-rbr",
"Priority": 0,
"Action": {
"Block": {}
},
"VisibilityConfig": {
"SampledRequestsEnabled": true,
"CloudWatchMetricsEnabled": true,
"MetricName": "test-rbr"
},
"Statement": {
"RateBasedStatement": {
"Limit": 100,
"EvaluationWindowSec": 300,
"AggregateKeyType": "CUSTOM_KEYS",
"CustomKeys": [
{
"Header": {
"Name": "User-Agent",
"TextTransformations": [
{
"Priority": 0,
"Type": "NONE"
}
]
}
},
{
"IP": {}
}
],
"ScopeDownStatement": {
"ByteMatchStatement": {
"FieldToMatch": {
"UriPath": {}
},
"PositionalConstraint": "STARTS_WITH",
"SearchString": "/login",
"TextTransformations": [
{
"Type": "NONE",
"Priority": 0
}
]
}
}
}
}
}
```
# Ratenbegrenzung der Anfragen, denen ein bestimmter Header fehlt
Um die Anzahl der Anfragen zu begrenzen, denen ein bestimmter Header fehlt, können Sie die Aggregationsoption **Count all** mit einer Scope-Down-Anweisung verwenden. Konfigurieren Sie die Scope-Down-Anweisung mit einer logischen Anweisung, die eine `NOT` Anweisung enthält, die nur dann true zurückgibt, wenn der Header existiert und einen Wert hat.
Die folgende JSON-Liste zeigt ein Beispiel für diese Regelkonfiguration.
```
{
"Name": "test-rbr",
"Priority": 0,
"Action": {
"Block": {}
},
"VisibilityConfig": {
"SampledRequestsEnabled": true,
"CloudWatchMetricsEnabled": true,
"MetricName": "test-rbr"
},
"Statement": {
"RateBasedStatement": {
"Limit": 1000,
"AggregateKeyType": "CONSTANT",
"EvaluationWindowSec": 300,
"ScopeDownStatement": {
"NotStatement": {
"Statement": {
"SizeConstraintStatement": {
"FieldToMatch": {
"SingleHeader": {
"Name": "user-agent"
}
},
"ComparisonOperator": "GT",
"Size": 0,
"TextTransformations": [
{
"Type": "NONE",
"Priority": 0
}
]
}
}
}
}
}
}
}
```
# Ratenbegrenzung der Anfragen mit bestimmten Labels
Um die Anzahl der Anfragen verschiedener Kategorien zu begrenzen, können Sie die Ratenbegrenzung mit jeder Regel oder Regelgruppe kombinieren, die Anfragen Labels hinzufügt. Zu diesem Zweck konfigurieren Sie Ihr Schutzpaket (Web-ACL) wie folgt:
+ Fügen Sie die Regeln oder Regelgruppen hinzu, die Labels hinzufügen, und konfigurieren Sie sie so, dass sie die Anfragen, für die Sie eine Ratenbegrenzung festlegen möchten, nicht blockieren oder zulassen. Wenn Sie verwaltete Regelgruppen verwenden, müssen Sie möglicherweise einige Regelgruppenregelaktionen überschreiben, Count um dieses Verhalten zu erreichen.
+ Fügen Sie Ihrem Schutzpaket (Web-ACL) eine ratenbasierte Regel hinzu, deren Prioritätszahl höher ist als die der Labeling-Regeln und Regelgruppen. AWS WAF wertet Regeln in numerischer Reihenfolge aus, beginnend mit der niedrigsten Zahl, sodass Ihre ratenbasierte Regel nach den Kennzeichnungsregeln ausgeführt wird. Konfigurieren Sie Ihre Ratenbegrenzung für die Labels mithilfe einer Kombination aus dem Label-Abgleich in der Scopedown-Anweisung der Regel und der Label-Aggregation.
Im folgenden Beispiel wird die Regelgruppe AWS Managed Rules der Amazon IP-Reputationsliste verwendet. Die Regelgruppenregel `AWSManagedIPDDoSList` erkennt und kennzeichnet Anfragen, von IPs denen bekannt ist, dass sie aktiv an DDo S-Aktivitäten beteiligt sind. Die Aktion der Regel ist Count in der Regelgruppendefinition so konfiguriert. Weitere Informationen zur Regelgruppe finden Sie unter[Amazon IP-Reputationsliste](aws-managed-rule-groups-ip-rep.md#aws-managed-rule-groups-ip-rep-amazon).
Die folgende JSON-Liste des Protection Packs (Web ACL) verwendet die IP-Reputationsregelgruppe, gefolgt von einer Regel, die auf der Rate des Labelabgleichs basiert. Die ratenbasierte Regel verwendet eine Scopedown-Anweisung, um nach Anfragen zu filtern, die durch die Regelgruppenregel gekennzeichnet wurden. Die ratenbasierte Regelanweisung aggregiert die gefilterten Anfragen anhand ihrer IP-Adressen und begrenzt die Rate.
```
{
"Name": "test-web-acl",
"Id": ...
"ARN": ...
"DefaultAction": {
"Allow": {}
},
"Description": "",
"Rules": [
{
"Name": "AWS-AWSManagedRulesAmazonIpReputationList",
"Priority": 0,
"Statement": {
"ManagedRuleGroupStatement": {
"VendorName": "AWS",
"Name": "AWSManagedRulesAmazonIpReputationList"
}
},
"OverrideAction": {
"None": {}
},
"VisibilityConfig": {
"SampledRequestsEnabled": true,
"CloudWatchMetricsEnabled": true,
"MetricName": "AWS-AWSManagedRulesAmazonIpReputationList"
}
},
{
"Name": "test-rbr",
"Priority": 1,
"Statement": {
"RateBasedStatement": {
"Limit": 100,
"EvaluationWindowSec": 300,
"AggregateKeyType": "IP",
"ScopeDownStatement": {
"LabelMatchStatement": {
"Scope": "LABEL",
"Key": "awswaf:managed:aws:amazon-ip-list:AWSManagedIPDDoSList"
}
}
}
},
"Action": {
"Block": {}
},
"VisibilityConfig": {
"SampledRequestsEnabled": true,
"CloudWatchMetricsEnabled": true,
"MetricName": "test-rbr"
}
}
],
"VisibilityConfig": {
"SampledRequestsEnabled": true,
"CloudWatchMetricsEnabled": true,
"MetricName": "test-web-acl"
},
"Capacity": 28,
"ManagedByFirewallManager": false,
"RetrofittedByFirewallManager": false,
"LabelNamespace": "awswaf:0000000000:webacl:test-web-acl:"
}
```
# Ratenbegrenzung der Anfragen für Labels, die einen bestimmten Label-Namespace haben
**Anmerkung**
Die allgemeinen Regeln in der verwalteten Regelgruppe Bot Control fügen Labels für Bots verschiedener Kategorien hinzu, blockieren aber nur Anfragen von nicht verifizierten Bots. Informationen zu diesen Regeln finden Sie unter[Liste der Bot-Control-Regeln](aws-managed-rule-groups-bot.md#aws-managed-rule-groups-bot-rules).
Wenn Sie die verwaltete Regelgruppe Bot Control verwenden, können Sie eine Ratenbegrenzung für Anfragen von einzelnen verifizierten Bots hinzufügen. Dazu fügst du eine ratenbasierte Regel hinzu, die nach der Bot Control-Regelgruppe ausgeführt wird und Anfragen nach ihren Bot-Namensbezeichnungen zusammenfasst. Sie geben den Aggregationsschlüssel des **Label-Namespaces an und setzen den Namespace-Schlüssel** auf. `awswaf:managed:aws:bot-control:bot:name:` Jedes eindeutige Label mit dem angegebenen Namespace definiert eine Aggregationsinstanz. Zum Beispiel definieren die Labels `awswaf:managed:aws:bot-control:bot:name:axios` und `awswaf:managed:aws:bot-control:bot:name:curl` jedes Label eine Aggregationsinstanz.
Die folgende JSON-Liste des Protection Packs (Web-ACL) zeigt diese Konfiguration. Die Regel in diesem Beispiel begrenzt Anfragen für eine einzelne Bot-Aggregationsinstanz auf 1.000 innerhalb von zwei Minuten.
```
{
"Name": "test-web-acl",
"Id": ...
"ARN": ...
"DefaultAction": {
"Allow": {}
},
"Description": "",
"Rules": [
{
"Name": "AWS-AWSManagedRulesBotControlRuleSet",
"Priority": 0,
"Statement": {
"ManagedRuleGroupStatement": {
"VendorName": "AWS",
"Name": "AWSManagedRulesBotControlRuleSet",
"ManagedRuleGroupConfigs": [
{
"AWSManagedRulesBotControlRuleSet": {
"InspectionLevel": "COMMON"
}
}
]
}
},
"OverrideAction": {
"None": {}
},
"VisibilityConfig": {
"SampledRequestsEnabled": true,
"CloudWatchMetricsEnabled": true,
"MetricName": "AWS-AWSManagedRulesBotControlRuleSet"
}
},
{
"Name": "test-rbr",
"Priority": 1,
"Statement": {
"RateBasedStatement": {
"Limit": 1000,
"EvaluationWindowSec": 120,
"AggregateKeyType": "CUSTOM_KEYS",
"CustomKeys": [
{
"LabelNamespace": {
"Namespace": "awswaf:managed:aws:bot-control:bot:name:"
}
}
]
}
},
"Action": {
"Block": {}
},
"VisibilityConfig": {
"SampledRequestsEnabled": true,
"CloudWatchMetricsEnabled": true,
"MetricName": "test-rbr"
}
}
],
"VisibilityConfig": {
"SampledRequestsEnabled": true,
"CloudWatchMetricsEnabled": true,
"MetricName": "test-web-acl"
},
"Capacity": 82,
"ManagedByFirewallManager": false,
"RetrofittedByFirewallManager": false,
"LabelNamespace": "awswaf:0000000000:webacl:test-web-acl:"
}
```
# Ratenbegrenzung der Anfragen mit bestimmten ASNs
Um die Anzahl der Anfragen von bestimmten Autonomen Systemnummern (ASNs) auf der Grundlage der IP-Adresse der Anfragen zu begrenzen, legen Sie die Anforderungsaggregation auf *Benutzerdefinierte Schlüssel* fest und geben Sie die Aggregationskriterien an.
Die folgende JSON-Datei zeigt ein Beispiel für eine Regel, die aus ASNs weitergeleiteten IP-Adressen im Header abgeleitet wird. `X-Forwarded-For` Wenn eine ASN nicht abgeleitet werden AWS WAF kann, weil die IP-Adresse falsch formatiert ist, ist das Fallback-Verhalten auf eingestellt. `MATCH`
```
{
"Name": "test-rbr",
"Priority": 0,
"Statement": {
"RateBasedStatement": {
"AggregateKeyType": "CUSTOM_KEYS",
"CustomKeys": [
{
"ASN": {}
},
{
"ForwardedIP": {}
}
],
"EvaluationWindowSec": 300,
"ForwardedIPConfig": {
"FallbackBehavior": "MATCH",
"HeaderName": "X-Forwarded-For"
},
"Limit": 2000
}
},
"VisibilityConfig": {
"CloudWatchMetricsEnabled": true,
"MetricName": "test-rbr",
"SampledRequestsEnabled": true
}
}
```
# Auflisten von IP-Adressen, deren Rate durch ratenbasierte Regeln begrenzt wird
In diesem Abschnitt wird erklärt, wie Sie mithilfe der CLI, der API oder einer der folgenden Optionen auf die Liste der IP-Adressen zugreifen, die derzeit durch eine ratenbasierte Regel ratenbegrenzt sind. SDKs
Wenn Ihre ratenbasierte Regel nur anhand der IP-Adresse oder der weitergeleiteten IP-Adresse aggregiert wird, können Sie die Liste der IP-Adressen abrufen, für die die Regel derzeit eine Ratenbegrenzung vorsieht. AWS WAF speichert diese IP-Adressen in der Liste der verwalteten Schlüssel der Regel.
**Anmerkung**
Diese Option ist nur verfügbar, wenn Sie nur die IP-Adresse oder nur eine IP-Adresse in einem Header aggregieren. Wenn Sie die Anforderungsaggregation für benutzerdefinierte Schlüssel verwenden, können Sie keine Liste mit IP-Adressen mit begrenzter Geschwindigkeit abrufen, selbst wenn Sie eine der IP-Adressspezifikationen in Ihren benutzerdefinierten Schlüsseln verwenden.
Eine ratenbasierte Regel wendet ihre Regelaktion auf Anfragen aus der Liste der verwalteten Schlüssel der Regel an, die der Scopedown-Anweisung der Regel entsprechen. Wenn eine Regel keine Scopedown-Anweisung enthält, wendet sie die Aktion auf alle Anfragen von den IP-Adressen an, die in der Liste aufgeführt sind. Die Regelaktion ist Block standardmäßig, es kann sich aber auch um jede gültige Regelaktion handeln, mit Ausnahme von. Allow Die maximale Anzahl von IP-Adressen, für die AWS WAF eine Ratenbegrenzung mit einer einzigen ratenbasierten Regelinstanz möglich ist, beträgt 10.000. Wenn mehr als 10.000 Adressen das Ratenlimit überschreiten, werden die Adressen mit den höchsten Raten AWS WAF begrenzt.
Sie können über die CLI, die API oder eine der folgenden Optionen auf die Liste der verwalteten Schlüssel einer ratenbasierten Regel zugreifen. SDKs Dieses Thema behandelt den Zugriff über die CLI und APIs. Die Konsole bietet derzeit keinen Zugriff auf die Liste.
Für die AWS WAF API lautet der Befehl [GetRateBasedStatementManagedKeys](https://docs.aws.amazon.com/waf/latest/APIReference/API_GetRateBasedStatementManagedKeys.html).
Für die AWS WAF CLI lautet der Befehl [get-rate-based-statement-managed-keys](https://docs.aws.amazon.com/cli/latest/reference/wafv2/get-rate-based-statement-managed-keys.html).
Im Folgenden wird die Syntax zum Abrufen der Liste der ratenbegrenzten IP-Adressen für eine ratenbasierte Regel gezeigt, die in einem Schutzpaket (Web-ACL) auf einer Amazon-Distribution verwendet wird. CloudFront
```
aws wafv2 get-rate-based-statement-managed-keys --scope=CLOUDFRONT --region=us-east-1 --web-acl-name=WebACLName --web-acl-id=WebACLId --rule-name=RuleName
```
Im Folgenden wird die Syntax für eine regionale Anwendung, eine Amazon API Gateway Gateway-REST-API, einen Application Load Balancer, eine AWS AppSync GraphQL-API, einen Amazon Cognito Cognito-Benutzerpool, einen AWS App Runner Service oder eine AWS Verified AWS Amplify Access-Instance gezeigt.
```
aws wafv2 get-rate-based-statement-managed-keys --scope=REGIONAL --region=region --web-acl-name=WebACLName --web-acl-id=WebACLId --rule-name=RuleName
```
AWS WAF überwacht Webanfragen und verwaltet Schlüssel unabhängig für jede einzigartige Kombination aus Schutzpaket (Web-ACL), optionaler Regelgruppe und ratenbasierter Regel. Wenn Sie beispielsweise eine ratenbasierte Regel innerhalb einer Regelgruppe definieren und die Regelgruppe dann in einem Schutzpaket (Web-ACL) verwenden, Webanfragen AWS WAF überwachen und Schlüssel für dieses Schutzpaket (Web-ACL), die Regelgruppen-Referenzerklärung und die ratenbasierte Regelinstanz verwalten. Wenn Sie dieselbe Regelgruppe in einem zweiten Schutzpaket (Web-ACL) verwenden, AWS WAF überwacht sie Webanfragen und verwaltet Schlüssel für diese zweite Verwendung völlig unabhängig von Ihrer ersten.
Für eine ratenbasierte Regel, die Sie innerhalb einer Regelgruppe definiert haben, müssen Sie in Ihrer Anfrage zusätzlich zum Namen des Schutzpakets (Web-ACL) und dem Namen der ratenbasierten Regel innerhalb der Regelgruppe den Namen der Regelgruppen-Referenzanweisung angeben. Im Folgenden wird die Syntax für eine regionale Anwendung gezeigt, bei der die ratenbasierte Regel innerhalb einer Regelgruppe definiert ist und die Regelgruppe in einem Schutzpaket (Web-ACL) verwendet wird.
```
aws wafv2 get-rate-based-statement-managed-keys --scope=REGIONAL --region=region --web-acl-name=WebACLName --web-acl-id=WebACLId --rule-group-rule-name=RuleGroupRuleName --rule-name=RuleName
```
# Verwenden von Regelgruppenregelanweisungen in AWS WAF
**Anmerkung**
Regelgruppen-Regelanweisungen sind nicht verschachtelbar.
In diesem Abschnitt werden die Regelanweisungen für Regelgruppen beschrieben, die Sie in Ihrem Protection Pack (Web-ACL) verwenden können. Die Kapazitätseinheiten () des Regelgruppen-Schutzpakets (Web-ACLWCUs) werden vom Eigentümer der Regelgruppe bei der Erstellung festgelegt. Weitere Informationen dazu WCUs finden Sie unter[Web-ACL-Kapazitätseinheiten (WCUs) in AWS WAF](aws-waf-capacity-units.md).
| Regelgruppenanweisung | Description | WCUs |
| --- | --- | --- |
| [Verwenden von verwalteten Regelgruppenanweisungen](waf-rule-statement-type-managed-rule-group.md) | Führt die Regeln aus, die in der angegebenen verwalteten Regelgruppe definiert sind. Sie können den Umfang der Anfragen, die die Regelgruppe auswertet, einschränken, indem Sie eine Scopedown-Anweisung hinzufügen. Sie können eine verwaltete Regelgruppenanweisung nicht innerhalb eines anderen Anweisungstyps verschachteln. | Definiert durch die Regelgruppe, zuzüglich aller zusätzlichen Regeln WCUs für eine Scope-Down-Anweisung. |
| [Verwenden von Regelgruppenanweisungen](waf-rule-statement-type-rule-group.md) | Führt die Regeln aus, die in einer Regelgruppe definiert sind, die Sie verwalten. Sie können einer Regelgruppen-Referenzaussage für Ihre eigene Regelgruppe keine Scope-Down-Anweisung hinzufügen. Sie können eine Regelgruppenanweisung nicht innerhalb eines anderen Anweisungstyps verschachteln | Das WCU-Limit legen Sie beim Anlegen für die Regelgruppe fest. |
# Verwendung verwalteter Regelgruppenanweisungen in AWS WAF
In diesem Abschnitt wird erklärt, wie Regelanweisungen für verwaltete Regelgruppen funktionieren.
Mit der Regelanweisung für verwaltete Regelgruppen wird in der Regelliste Ihres Protection Packs (Web-ACL) ein Verweis auf eine verwaltete Regelgruppe hinzugefügt. Sie sehen diese Option nicht unter Ihren Regelanweisungen auf der Konsole, aber wenn Sie mit dem JSON-Format Ihrer Web-ACL arbeiten, werden alle verwalteten Regelgruppen, die Sie hinzugefügt haben, unter den Regeln des Protection Packs (Web-ACL) als dieser Typ angezeigt.
Eine verwaltete Regelgruppe ist entweder eine Regelgruppe mit AWS verwalteten Regeln, von denen die meisten für AWS WAF Kunden kostenlos sind, oder eine AWS Marketplace verwaltete Regelgruppe. Sie abonnieren automatisch die kostenpflichtigen Regelgruppen für AWS verwaltete Regeln, wenn Sie sie Ihrem Schutzpaket (Web-ACL) hinzufügen. Sie können AWS Marketplace verwaltete Regelgruppen über abonnieren AWS Marketplace. Weitere Informationen finden Sie unter [Verwenden verwalteter Regelgruppen in AWS WAF](waf-managed-rule-groups.md).
Wenn Sie einem Schutzpaket (Web-ACL) eine Regelgruppe hinzufügen, können Sie die Aktionen der Regeln in der Gruppe durch Count oder durch eine andere Regelaktion überschreiben. Weitere Informationen finden Sie unter [Regelgruppenaktionen überschreiben in AWS WAF](web-acl-rule-group-override-options.md).
Sie können den Umfang der Anfragen einschränken, die anhand der Regelgruppe AWS WAF ausgewertet werden. Dazu fügen Sie eine Eingrenzungsanweisung innerhalb der Regelgruppenanweisung hinzu. Informationen zu Eingrenzungsanweisungen finden Sie unter [Verwendung von Scope-Down-Aussagen in AWS WAF](waf-rule-scope-down-statements.md). Das kann Ihnen helfen, zu verwalten, wie sich die Regelgruppe auf Ihren Datenverkehr auswirkt, und die mit dem Verkehrsvolumen verbundenen Kosten einzudämmen, wenn Sie die Regelgruppe verwenden. Informationen und Beispiele für die Verwendung von Scopedown-Anweisungen mit der verwalteten Regelgruppe von AWS WAF Bot Control finden Sie unter. [AWS WAF Bot-Steuerung](waf-bot-control.md)
## Eigenschaften von Regelaussagen
**Keine Verschachtelung** – Sie können diesen Anweisungstyp nicht in andere Anweisungen einfügen und ihn auch nicht in eine Regelgruppe aufnehmen. Sie können es direkt in ein Schutzpaket (Web-ACL) aufnehmen.
**(Optional) Eingrenzungsanweisung** – Dieser Regeltyp benötigt eine optionale Eingrenzungsanweisung, um einzuschränken, welche Anforderungen die Regelgruppe auswertet. Weitere Informationen finden Sie unter [Verwendung von Scope-Down-Aussagen in AWS WAF](waf-rule-scope-down-statements.md).
**WCUs**— Wird bei der Erstellung für die Regelgruppe festgelegt.
## Wo finde ich diese Regelaussage
+ **Konsole** — Wählen **Sie während der Erstellung eines Schutzpakets (Web-ACL) auf der Seite Regeln und Regelgruppen** hinzufügen die Option **Verwaltete Regelgruppen hinzufügen** und suchen und wählen Sie dann die Regelgruppe aus, die Sie verwenden möchten.
+ **API** – [ManagedRuleGroupStatement](https://docs.aws.amazon.com/waf/latest/APIReference/API_ManagedRuleGroupStatement.html)
# Verwenden von Regelgruppenanweisungen in AWS WAF
In diesem Abschnitt wird erklärt, wie Regelgruppenregelanweisungen funktionieren.
Die Regelgruppen-Regelanweisung fügt einer Regelgruppe, die Sie verwalten, einen Verweis auf die Regelliste Ihres Protection Packs (Web-ACL) hinzu. Sie sehen diese Option nicht unter Ihren Regelanweisungen auf der Konsole, aber wenn Sie mit dem JSON-Format Ihres Schutzpakets (Web-ACL) arbeiten, werden alle von Ihnen hinzugefügten Regelgruppen unter den Regeln des Schutzpakets (Web-ACL) als dieser Typ angezeigt. Informationen zur Verwendung eigener Regelgruppen finden Sie unter [Verwaltung Ihrer eigenen Regelgruppen](waf-user-created-rule-groups.md).
Wenn Sie einem Schutzpaket (Web-ACL) eine Regelgruppe hinzufügen, können Sie die Aktionen der Regeln in der Gruppe durch Count oder durch eine andere Regelaktion überschreiben. Weitere Informationen finden Sie unter [Regelgruppenaktionen überschreiben in AWS WAF](web-acl-rule-group-override-options.md).
## Merkmale der Regelanweisung
**Keine Verschachtelung** – Sie können diesen Anweisungstyp nicht in andere Anweisungen einfügen und ihn auch nicht in eine Regelgruppe aufnehmen. Sie können es direkt in ein Schutzpaket (Web-ACL) aufnehmen.
**WCUs**— Wird bei der Erstellung für die Regelgruppe festgelegt.
## Wo finde ich diese Regelaussage
+ **Konsole** — Wählen **Sie beim Erstellen eines Schutzpakets (Web-ACL) auf der Seite Regeln und Regelgruppen** **hinzufügen die Optionen Eigene Regeln und Regelgruppen** hinzufügen, **Regelgruppe** aus und fügen Sie dann die Regelgruppe hinzu, die Sie verwenden möchten.
+ **API** – [RuleGroupReferenceStatement](https://docs.aws.amazon.com/waf/latest/APIReference/API_RuleGroupReferenceStatement.html)