**Wir stellen vor: ein neues Konsolenerlebnis für AWS WAF**

Sie können das aktualisierte Erlebnis jetzt verwenden, um überall in der Konsole auf AWS WAF Funktionen zuzugreifen. Weitere Informationen finden Sie unter [Arbeiten mit der Konsole](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html). 

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Verwenden von Schutzpaketen (Web ACLs) mit Regeln und Regelgruppen in AWS WAF
<a name="web-acl-processing"></a>

In diesem Abschnitt wird beschrieben, wie Schutzpakete (Web ACLs) und Web mit Regeln und Regelgruppen ACLs funktionieren.

Die Art und Weise, wie ein Protection Pack (Web-ACL) eine Webanfrage verarbeitet, hängt von folgenden Faktoren ab: 
+ Die numerischen Prioritätseinstellungen der Regeln im Protection Pack (Web-ACL) und innerhalb von Regelgruppen
+ Die Aktionseinstellungen der Regeln und des Schutzpakets (Web-ACL)
+ Alle Überschreibungen, die Sie an den Regeln in den Regelgruppen vornehmen, die Sie hinzufügen

Eine Liste der Einstellungen für Regelaktionen finden Sie unter [Verwenden von Regelaktionen in AWS WAF](waf-rule-action.md). 

Sie können die Bearbeitung von Anfragen und Antworten in Ihren Regelaktionseinstellungen und den Standardeinstellungen für Aktionen des Protection Packs (Web ACL) anpassen. Weitere Informationen finden Sie unter [Maßgeschneiderte Webanfragen und Antworten in AWS WAF](waf-custom-request-response.md).

**Topics**
+ [

# Regelpriorität festlegen
](web-acl-processing-order.md)
+ [

# Wie AWS WAF geht man mit Regel- und Regelgruppenaktionen um
](web-acl-rule-actions.md)
+ [

# Regelgruppenaktionen überschreiben in AWS WAF
](web-acl-rule-group-override-options.md)

# Regelpriorität festlegen
<a name="web-acl-processing-order"></a>

In diesem Abschnitt wird erklärt, wie numerische Prioritätseinstellungen AWS WAF verwendet werden, um die Bewertungsreihenfolge für Regeln festzulegen.

In einem Schutzpaket (Web-ACL) und in jeder Regelgruppe legen Sie die Reihenfolge der Auswertung der Regeln anhand numerischer Prioritätseinstellungen fest. Sie müssen jeder Regel in einem Schutzpaket (Web-ACL) eine eindeutige Prioritätseinstellung innerhalb dieses Schutzpakets (Web-ACL) zuweisen, und Sie müssen jeder Regel in einer Regelgruppe eine eindeutige Prioritätseinstellung innerhalb dieser Regelgruppe zuweisen. 

**Anmerkung**  
Wenn Sie Regelgruppen verwalten, AWS WAF weisen Ihnen die Schutzpakete (Web ACLs) über die Konsole eindeutige numerische Prioritätseinstellungen zu, die auf der Reihenfolge der Regeln in der Liste basieren. AWS WAF weist der Regel oben in der Liste die niedrigste numerische Priorität und der Regel unten die höchste numerische Priorität zu. 

Bei der AWS WAF Auswertung einer Regelgruppe oder eines Schutzpakets (Web-ACL) anhand einer Webanfrage werden die Regeln von der Einstellung mit der niedrigsten numerischen Priorität bis entweder eine Übereinstimmung gefunden, die die Auswertung beendet, oder bis alle Regeln aufgebraucht sind.

Angenommen, Sie haben die folgenden Regeln und Regelgruppen in Ihrem Schutzpaket (Web-ACL), die wie folgt priorisiert sind:
+ Regel1 – Priorität 0
+ RuleGroupA — Priorität 100
  + RegelA1 – Priorität 10.000
  + RegelA2 – Priorität 20.000
+ Regel2 – Priorität 200
+ RuleGroupB — Priorität 300
  + RegelB1 – Priorität 0
  + RegelB2 – Priorität 1

AWS WAF würde die Regeln für dieses Schutzpaket (Web-ACL) in der folgenden Reihenfolge auswerten:
+ Regel 1
+ RuleGroupEine Regel A1
+ RuleGroupEine Regel A2
+ Regel 2
+ RuleGroupVon RuleB1
+ RuleGroupVon RuleB2

# Wie AWS WAF geht man mit Regel- und Regelgruppenaktionen um
<a name="web-acl-rule-actions"></a>

In diesem Abschnitt wird erklärt, wie Regeln und Regelgruppen zur Handhabung von Aktionen AWS WAF verwendet werden.

Wenn Sie Ihre Regeln und Regelgruppen konfigurieren, wählen Sie aus, wie Sie passende Webanfragen behandeln AWS WAF möchten: 
+ **Allowund Block beenden Aktionen — Allow und Block Aktionen** beenden alle anderen Verarbeitungen des Schutzpakets (Web-ACL) bei der entsprechenden Webanforderung. Wenn eine Regel in einem Schutzpaket (Web-ACL) eine Entsprechung für eine Anfrage findet und die Regelaktion Allow oder lautetBlock, bestimmt diese Übereinstimmung die endgültige Disposition der Webanfrage für das Protection Pack (Web-ACL). AWS WAF verarbeitet keine anderen Regeln im Schutzpaket (Web-ACL), die nach der entsprechenden Regel kommen. Dies gilt für Regeln, die Sie direkt zum Protection Pack (Web-ACL) hinzufügen, und für Regeln, die sich innerhalb einer hinzugefügten Regelgruppe befinden. Bei dieser Block Aktion empfängt oder verarbeitet die geschützte Ressource die Webanforderung nicht.
+ **Countist eine Aktion, die nicht beendet** wird — Wenn eine Regel mit einer Count Aktion einer Anfrage entspricht, AWS WAF zählt die Anfrage und setzt dann die Verarbeitung der Regeln fort, die im Regelsatz des Protection Packs (Web-ACL) folgen. 
+ **CAPTCHAund es Challenge kann sich um Aktionen handeln, die nicht beenden oder beenden** — Wenn eine Regel mit einer dieser Aktionen einer Anfrage entspricht, AWS WAF wird ihr Token-Status überprüft. Wenn die Anforderung über ein gültiges Token verfügt, wird die Übereinstimmung ähnlich wie eine Count Übereinstimmung AWS WAF behandelt und anschließend die Verarbeitung der Regeln fortgesetzt, die im Regelsatz des Protection Packs (Web-ACL) enthalten sind. Wenn die Anfrage kein gültiges Token hat, wird die Auswertung AWS WAF beendet und dem Client ein CAPTCHA-Rätsel oder eine Aufforderung zur Lösung einer unbeaufsichtigten Clientsitzung im Hintergrund gesendet. 

Wenn die Regelauswertung zu keiner abschließenden Aktion führt, wird die Standardaktion des Protection Packs (Web-ACL) auf die Anfrage AWS WAF angewendet. Weitere Informationen finden Sie unter [Einstellung der Standardaktion für das Protection Pack (Web-ACL) in AWS WAF](web-acl-default-action.md).

In Ihrem Schutzpaket (Web-ACL) können Sie die Aktionseinstellungen für Regeln innerhalb einer Regelgruppe überschreiben und Sie können die Aktion überschreiben, die von einer Regelgruppe zurückgegeben wird. Weitere Informationen finden Sie unter [Regelgruppenaktionen überschreiben in AWS WAF](web-acl-rule-group-override-options.md). 

**Interaktion zwischen Aktionen und Prioritätseinstellungen**  
Die Aktionen, die auf eine Webanfrage AWS WAF angewendet werden, werden von den numerischen Prioritätseinstellungen der Regeln im Schutzpaket (Web-ACL) beeinflusst. Angenommen, Ihr Schutzpaket (Web-ACL) enthält eine Regel mit Allow Aktion und einer numerischen Priorität von 50 und eine weitere Regel mit Count Aktion und einer numerischen Priorität von 100. AWS WAF bewertet die Regeln in einem Schutzpaket (Web-ACL) in der Reihenfolge ihrer Priorität, beginnend mit der niedrigsten Einstellung, sodass die Zulassungsregel vor der Zählerregel ausgewertet wird. Eine Webanforderung, die beiden Regeln entspricht, entspricht zuerst der Zulassungsregel. Da Allow es sich um eine abschließende Aktion handelt, AWS WAF wird die Auswertung bei dieser Übereinstimmung gestoppt und die Anfrage nicht anhand der Zählregel bewertet. 
+ Wenn Sie nur Anfragen, die nicht der Zulassungsregel entsprechen, in Ihre Kennzahlen zur Zählregel aufnehmen möchten, dann würden die Prioritätseinstellungen der Regeln funktionieren. 
+ Wenn Sie dagegen Metriken aus der Zählregel auch für Anfragen zählen möchten, die der Zulassungsregel entsprechen, müssten Sie der Zählregel eine niedrigere numerische Priorität zuweisen als der Zulassungsregel, sodass sie zuerst ausgeführt wird. 

Weitere Informationen zu Prioritätseinstellungen finden Sie unter [Regelpriorität festlegen](web-acl-processing-order.md). 

# Regelgruppenaktionen überschreiben in AWS WAF
<a name="web-acl-rule-group-override-options"></a>

In diesem Abschnitt wird erklärt, wie Regelgruppenaktionen außer Kraft gesetzt werden können.

Wenn Sie Ihrem Protection Pack (Web-ACL) eine Regelgruppe hinzufügen, können Sie die Aktionen außer Kraft setzen, die sie bei entsprechenden Webanfragen ausführt. Durch das Überschreiben der Aktionen für eine Regelgruppe in Ihrer Konfiguration des Schutzpakets (Web-ACL) wird die Regelgruppe selbst nicht geändert. Es ändert nur, wie die Regelgruppe im Kontext des Schutzpakets (Web-ACL) AWS WAF verwendet wird. 

## Regelgruppen-Regelaktionen überschreiben
<a name="web-acl-rule-group-override-options-rules"></a>

Sie können die Aktionen der Regeln innerhalb einer Regelgruppe durch jede gültige Regelaktion überschreiben. Wenn Sie dies tun, werden übereinstimmende Anfragen genauso behandelt, als ob die Aktion der konfigurierten Regel die Einstellung zum Außerkraftsetzen wäre. 

**Anmerkung**  
Regelaktionen können beendend oder nicht beendend sein. Eine abschließende Aktion beendet die Auswertung der Anfrage durch das Protection Pack (Web-ACL) und lässt sie entweder an Ihre geschützte Anwendung weiterleiten oder blockiert sie. 

Hier sind die Optionen für die Regelaktion: 
+ **Allow**— AWS WAF ermöglicht die Weiterleitung der Anfrage zur Bearbeitung und Beantwortung an die geschützte AWS Ressource. Dies ist eine abschließende Aktion. In von Ihnen definierten Regeln können Sie benutzerdefinierte Header in die Anfrage einfügen, bevor Sie sie an die geschützte Ressource weiterleiten.
+ **Block**— AWS WAF blockiert die Anfrage. Dies ist eine abschließende Aktion. Standardmäßig antwortet Ihre geschützte AWS Ressource mit einem `403 (Forbidden)` HTTP-Statuscode. In Regeln, die Sie definieren, können Sie die Antwort anpassen. Wenn eine Anfrage AWS WAF blockiert wird, bestimmen die Block Aktionseinstellungen die Antwort, die die geschützte Ressource an den Client zurücksendet. 
+ **Count**— AWS WAF zählt die Anfrage, bestimmt aber nicht, ob sie zugelassen oder blockiert werden soll. Dies ist eine Aktion, die nicht beendet wird. AWS WAF setzt die Verarbeitung der verbleibenden Regeln im Schutzpaket (Web-ACL) fort. In von Ihnen definierten Regeln können Sie benutzerdefinierte Header in die Anforderung einfügen und Labels hinzufügen, mit denen andere Regeln übereinstimmen können.
+ **CAPTCHAund Challenge** — AWS WAF verwendet CAPTCHA-Rätsel und stille Challenges, um zu überprüfen, ob die Anfrage nicht von einem Bot stammt, und AWS WAF verwendet Tokens, um die letzten erfolgreichen Kundenantworten nachzuverfolgen. 

  CAPTCHA-Rätsel und stille Herausforderungen können nur ausgeführt werden, wenn Browser auf HTTPS-Endpunkte zugreifen. Browser-Clients müssen in sicheren Kontexten ausgeführt werden, um Token zu erhalten. 
**Anmerkung**  
Ihnen werden zusätzliche Gebühren berechnet, wenn Sie die Aktion CAPTCHA oder Challenge Regel in einer Ihrer Regeln oder als Überschreibung von Regelaktionen in einer Regelgruppe verwenden. Weitere Informationen finden Sie unter [AWS WAF  – Preise](https://aws.amazon.com/waf/pricing/).

  Diese Regelaktionen können abhängig vom Status des Tokens in der Anfrage beendet oder nicht beendet werden: 
  + **Nicht terminierend für ein gültiges, nicht abgelaufenes Token** — Wenn das Token gemäß dem konfigurierten CAPTCHA oder der Challenge-Immunitätszeit gültig und nicht abgelaufen ist, wird die Anfrage ähnlich wie die Aktion behandelt. AWS WAF Count AWS WAF überprüft die Webanforderung weiterhin auf der Grundlage der verbleibenden Regeln im Schutzpaket (Web-ACL). Ähnlich wie bei der Count Konfiguration können Sie in von Ihnen definierten Regeln diese Aktionen optional mit benutzerdefinierten Headern konfigurieren, die in die Anfrage eingefügt werden, und Sie können Labels hinzufügen, mit denen andere Regeln abgleichen können. 
  + **Beenden mit blockierter Anfrage für ein ungültiges oder abgelaufenes Token** — Wenn das Token ungültig ist oder der angegebene Zeitstempel abgelaufen ist, wird die Überprüfung der Webanforderung AWS WAF beendet und die Anfrage blockiert, ähnlich wie bei der Aktion. Block AWS WAF antwortet dem Client dann mit einem benutzerdefinierten Antwortcode. Denn CAPTCHA wenn der Inhalt der Anfrage darauf hindeutet, dass der Client-Browser damit umgehen kann, AWS WAF sendet er ein CAPTCHA-Puzzle in einem JavaScript Interstitial, das menschliche Kunden von Bots unterscheiden soll. Für die Challenge Aktion wird ein JavaScript Interstitial mit einer stillen Aufforderung AWS WAF gesendet, mit der normale Browser von Sitzungen unterschieden werden sollen, die von Bots ausgeführt werden. 

  Weitere Informationen finden Sie unter [CAPTCHAund Challenge in AWS WAF](waf-captcha-and-challenge.md).

Informationen zur Verwendung dieser Option finden Sie unter [Regelaktionen in einer Regelgruppe überschreiben](web-acl-rule-group-settings.md#web-acl-rule-group-rule-action-override).

### Überschreiben der Regelaktion an Count
<a name="web-acl-rule-group-override-to-count"></a>

Der häufigste Anwendungsfall für das Außerkraftsetzen von Regelaktionen ist das Überschreiben einiger oder aller RegelaktionenCount, um das Verhalten einer Regelgruppe zu testen und zu überwachen, bevor sie in Betrieb genommen wird. 

Sie können dies auch verwenden, um Fehler bei einer Regelgruppe zu beheben, die Fehlalarme generiert. Falsch positive Ergebnisse treten auf, wenn eine Regelgruppe Datenverkehr blockiert, von dem Sie nicht erwarten, dass er blockiert wird. Wenn Sie innerhalb einer Regelgruppe eine Regel identifizieren, die Anfragen blockiert, die Sie zulassen möchten, können Sie die Anzahl der Aktionen für diese Regel außer Kraft setzen, um sie von der Bearbeitung Ihrer Anfragen auszuschließen.

Weitere Informationen zur Verwendung der Überschreibung von Regelaktionen beim Testen finden Sie unter[Testen und Optimieren Ihrer AWS WAF Schutzmaßnahmen](web-acl-testing.md).

### JSON-Auflistung: `RuleActionOverrides` ersetzt `ExcludedRules`
<a name="web-acl-rule-group-override-replaces-exclude"></a>

Wenn Sie Count in Ihrer Konfiguration des Schutzpakets (Web-ACL) vor dem 27. Oktober 2022 Regelaktionen für Regelgruppen auf festgelegt AWS WAF haben, haben Sie Ihre Überschreibungen in der JSON des Schutzpakets (Web-ACL) gespeichert als`ExcludedRules`. Die JSON-Einstellung für das Überschreiben einer Regel Count befindet sich jetzt in den `RuleActionOverrides` Einstellungen. 

Wir empfehlen Ihnen, alle `ExcludedRules` Einstellungen in Ihren JSON-Auflistungen auf `RuleActionOverrides` Einstellungen zu aktualisieren, bei denen die Aktion auf Count eingestellt ist. Die API akzeptiert beide Einstellungen, aber Sie erhalten Konsistenz in Ihren JSON-Auflistungen zwischen Ihrer Konsolenarbeit und Ihrer API-Arbeit, wenn Sie nur die neue `RuleActionOverrides` Einstellung verwenden. 

**Anmerkung**  
In der AWS WAF Konsole werden auf der Registerkarte „**Stichprobenanfragen**“ des Schutzpakets (Web-ACL) keine Beispiele für Regeln mit der alten Einstellung angezeigt. Weitere Informationen finden Sie unter [Anzeigen einer Stichprobe von Webanforderungen](web-acl-testing-view-sample.md). 

Wenn Sie die AWS WAF Konsole verwenden, um die vorhandenen Regelgruppeneinstellungen zu bearbeiten, konvertiert die Konsole automatisch alle `ExcludedRules` Einstellungen im JSON in `RuleActionOverrides` Einstellungen, wobei die Aktion „Überschreiben“ auf Count gesetzt ist. 
+ Beispiel für eine aktuelle Einstellung: 

  ```
         "ManagedRuleGroupStatement": {
            "VendorName": "AWS",
            "Name": "AWSManagedRulesAdminProtectionRuleSet",
            "RuleActionOverrides": [
              {
                "Name": "AdminProtection_URIPATH",
                "ActionToUse": {
                  "Count": {}
                }
              }
            ]
  ```
+ Beispiel für eine alte Einstellung: 

  ```
  OLD SETTING
         "ManagedRuleGroupStatement": {
            "VendorName": "AWS",
            "Name": "AWSManagedRulesAdminProtectionRuleSet",
            "ExcludedRules": [
              {
                "Name": "AdminProtection_URIPATH"
              }
            ]
  OLD SETTING
  ```

## Rückgabeaktion der Regelgruppe überschreiben zu Count
<a name="web-acl-rule-group-override-options-rule-group"></a>

Sie können die Aktion, die die Regelgruppe zurückgibt, überschreiben, indem Sie sie auf festlegenCount. 

**Anmerkung**  
Dies ist keine gute Option, um die Regeln in einer Regelgruppe zu testen, da sie nichts daran ändert, wie die Regelgruppe selbst AWS WAF ausgewertet wird. Es wirkt sich nur darauf aus AWS WAF , wie mit Ergebnissen umgegangen wird, die aus der Regelgruppenauswertung an das Protection Pack (Web-ACL) zurückgegeben werden. Wenn Sie die Regeln einer Regelgruppe testen möchten, gehen Sie wie im vorherigen Abschnitt ([Regelgruppen-Regelaktionen überschreiben](#web-acl-rule-group-override-options-rules)) beschrieben vor.

Wenn Sie die Regelgruppenaktion überschreibenCount, AWS WAF verarbeitet die Regelgruppenauswertung normal. 

Wenn keine Regeln in der Regelgruppe übereinstimmen oder wenn alle übereinstimmenden Regeln eine Count Aktion haben, hat diese Überschreibung keine Auswirkung auf die Verarbeitung der Regelgruppe oder des Schutzpakets (Web-ACL).

Die erste Regel in der Regelgruppe, die einer Webanforderung entspricht und die über eine abschließende Regelaktion verfügt, führt AWS WAF dazu, dass die Auswertung der Regelgruppe beendet wird und das Ergebnis der beendenden Aktion an die Evaluierungsebene des Protection Packs (Web-ACL) zurückgegeben wird. Zu diesem Zeitpunkt, bei der Evaluierung des Schutzpakets (Web-ACL), wird diese Außerkraftsetzung wirksam. AWS WAF setzt die abschließende Aktion außer Kraft, sodass das Ergebnis der Regelgruppenauswertung nur eine Count Aktion ist. AWS WAF setzt dann die Verarbeitung der restlichen Regeln im Schutzpaket (Web-ACL) fort.

Informationen zur Verwendung dieser Option finden Sie unter [Das Auswertungsergebnis einer Regelgruppe überschreiben in Count](web-acl-rule-group-settings.md#web-acl-rule-group-action-override).