Web verwenden ACLs in AWS WAF - AWS WAFAWS Firewall Manager, und AWS Shield Advanced

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Web verwenden ACLs in AWS WAF

Auf dieser Seite wird erklärt, was eine Web-Zugriffskontrollliste (WebACL) ist und wie sie funktioniert.

Ein Web ACL bietet Ihnen eine detaillierte Kontrolle über alle HTTP (S) -Webanfragen, auf die Ihre geschützte Ressource reagiert. Sie können Amazon CloudFront, Amazon API Gateway, Application Load Balancer schützen, AWS AppSync, Amazon Cognito, AWS App Runner, und AWS Ressourcen für verifizierten Zugriff.

Sie können Kriterien wie die folgenden verwenden, um Anforderungen zuzulassen oder zu blockieren:

  • Ursprung der IP-Adresse der Anforderung

  • Ursprungsland der Anforderung

  • Zeichenfolgen-Übereinstimmung oder Regex-Übereinstimmung in einem Teil der Anforderung

  • Größe eines bestimmten Teils der Anforderung

  • Erkennung von bösartigem SQL Code oder Scripting

Sie können die Anforderungen auch auf jede beliebige Kombination dieser Bedingungen überprüfen. Sie können Webanfragen blockieren oder zählen, die nicht nur die angegebenen Bedingungen erfüllen, sondern auch eine bestimmte Anzahl von Anfragen in einer Minute überschreiten. Sie können Bedingungen über logische Operatoren kombinieren. Sie können auch CAPTCHA Rätsel lösen und Anfragen im Hintergrund von Clientsitzungen abfragen.

Sie geben Ihre Matching-Kriterien und die Aktion an, die Sie bei Spielen ergreifen möchten AWS WAF Regelaussagen. Sie können Regelanweisungen direkt in Ihrem Web ACL und in wiederverwendbaren Regelgruppen definieren, die Sie in Ihrem Web verwendenACL. Eine vollständige Liste der Optionen finden Sie unter Verwenden von Regelanweisungen in AWS WAF und Verwenden von Regelaktionen in AWS WAF.

Wenn Sie ein Web erstellenACL, geben Sie die Arten von Ressourcen an, mit denen Sie es verwenden möchten. Weitere Informationen finden Sie unter Ein Web erstellen ACL in AWS WAF. Nachdem Sie ein Web definiert habenACL, können Sie es Ihren Ressourcen zuordnen, um sie zu schützen. Weitere Informationen finden Sie unter Zuordnen oder Aufheben der Zuordnung eines Webs zu einem ACL AWS Ressource.

Anmerkung

In manchen Fällen AWS WAF möglicherweise tritt ein interner Fehler auf, der die Antwort auf zugehörige Probleme verzögert AWS Ressourcen darüber, ob eine Anfrage zugelassen oder blockiert werden soll. In diesen Fällen CloudFront wird die Anfrage in der Regel zugelassen oder der Inhalt bereitgestellt, während die Regionaldienste die Anfrage in der Regel ablehnen und den Inhalt nicht bereitstellen.

Risiken rund um Produktionsdatenverkehr

Bevor Sie Änderungen in Ihrem Web ACL für den produktiven Traffic implementieren, testen und optimieren Sie sie in einer Staging- oder Testumgebung, bis Sie mit den möglichen Auswirkungen auf Ihren Traffic zufrieden sind. Testen und optimieren Sie dann Ihre aktualisierten Regeln im Zählmodus mit Ihrem Produktionsdatenverkehr, bevor Sie sie aktivieren. Anleitungen finden Sie unter Testen und Tunen Ihres AWS WAF Schutzmaßnahmen.

Anmerkung

Bei der Nutzung von mehr als 1.500 WCUs in einer Website ACL fallen Kosten an, die über den ACL Basispreis der Website hinausgehen. Weitere Informationen finden Sie unter ACLWebkapazitätseinheiten (WCUs) in AWS WAF und AWS WAF Preisgestaltung.

Temporäre Inkonsistenzen bei Updates

Wenn Sie ein Web ACL oder ein anderes erstellen oder ändern AWS WAF Ressourcen: Es dauert ein wenig Zeit, bis die Änderungen in allen Bereichen, in denen die Ressourcen gespeichert sind, wirksam werden. Die Übertragungszeit kann zwischen einigen Sekunden und mehreren Minuten liegen.

Im Folgenden finden Sie Beispiele für temporäre Inkonsistenzen, die Ihnen bei der Übertragung von Änderungen möglicherweise auffallen:

  • Wenn Sie nach dem Erstellen eines ACL Webs versuchen, es einer Ressource zuzuordnen, wird möglicherweise eine Ausnahme angezeigt, die darauf hinweist, dass das Web nicht verfügbar ACL ist.

  • Nachdem Sie einer Website eine Regelgruppe hinzugefügt habenACL, gelten die neuen Regelgruppenregeln möglicherweise in einem Bereich, in dem das Web verwendet ACL wird, und nicht in einem anderen.

  • Nachdem Sie eine Regelaktionseinstellung geändert haben, sehen Sie möglicherweise an einigen Stellen die alte Aktion und an anderen die neue Aktion.

  • Nachdem Sie einem IP-Satz, der in einer Sperrregel verwendet wird, eine IP-Adresse hinzugefügt haben, wird die neue Adresse möglicherweise in einem Bereich blockiert, während sie in einem anderen weiterhin zulässig ist.

Themen