**Wir stellen vor: ein neues Konsolenerlebnis für AWS WAF**

Sie können das aktualisierte Erlebnis jetzt verwenden, um überall in der Konsole auf AWS WAF Funktionen zuzugreifen. Weitere Informationen finden Sie unter [Arbeiten mit der Konsole](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html). 

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# AWS WAF Klassisch
<a name="classic-waf-chapter"></a>

**Warnung**  
AWS WAF Classic durchläuft derzeit einen geplanten end-of-life Prozess. In Ihrem AWS Health Dashboard finden Sie die Meilensteine und Daten, die für Ihre Region spezifisch sind.

**Anmerkung**  
Dies ist die **AWS WAF klassische** Dokumentation. Sie sollten diese Version nur verwenden, wenn Sie AWS WAF Ressourcen wie Regeln und Websites ACLs AWS WAF vor November 2019 erstellt und diese noch nicht auf die neueste Version migriert haben. Informationen zur Migration Ihrer Website finden Sie ACLs unter[Migrieren Sie Ihre AWS WAF Classic-Ressourcen zu AWS WAF](waf-migrating-from-classic.md).  
**Die neueste Version von** finden AWS WAF Sie unter[AWS WAF](waf-chapter.md). 

AWS WAF Classic ist eine Firewall für Webanwendungen, mit der Sie die HTTP- und HTTPS-Anfragen überwachen können, die an eine Amazon API Gateway Gateway-API, Amazon CloudFront oder einen Application Load Balancer weitergeleitet werden. AWS WAF Mit Classic können Sie auch den Zugriff auf Ihre Inhalte kontrollieren. Basierend auf von Ihnen angegebenen Bedingungen, z. B. den IP-Adressen, von denen Anfragen stammen, oder den Werten von Abfragezeichenfolgen, reagiert API Gateway CloudFront oder ein Application Load Balancer auf Anfragen entweder mit dem angeforderten Inhalt oder mit einem HTTP-403-Statuscode (Forbidden). Sie können auch so konfigurieren CloudFront , dass eine benutzerdefinierte Fehlerseite zurückgegeben wird, wenn eine Anfrage blockiert wird.

**Topics**
+ [AWS WAF Classic einrichten](classic-setting-up-waf.md)
+ [So funktioniert AWS WAF Classic](classic-how-aws-waf-works.md)
+ [AWS WAF Klassische Preisgestaltung](classic-aws-waf-pricing.md)
+ [Erste Schritte mit AWS WAF Classic](classic-getting-started.md)
+ [Erstellen und Konfigurieren einer Web-Zugriffskontrollliste (Web-ACL)](classic-web-acl.md)
+ [Arbeiten mit AWS WAF klassischen Regelgruppen zur Verwendung mit AWS Firewall Manager](classic-working-with-rule-groups.md)
+ [Erste Schritte mit AWS Firewall Manager , um AWS WAF klassische Regeln zu aktivieren](classic-getting-started-fms.md)
+ [Tutorial: Eine AWS Firewall Manager Richtlinie mit hierarchischen Regeln erstellen](hierarchical-rules.md)
+ [Protokollieren von Web-ACL-Traffic-Informationen](classic-logging.md)
+ [Auflisten der durch ratenbasierte Regeln blockierten IP-Adressen](classic-listing-managed-ips.md)
+ [So funktioniert AWS WAF Classic mit CloudFront Amazon-Funktionen](classic-cloudfront-features.md)
+ [Sicherheit in AWS WAF Classic](classic-security.md)
+ [AWS WAF Klassische Kontingente](classic-limits.md)

# AWS WAF Classic einrichten
<a name="classic-setting-up-waf"></a>

**Warnung**  
AWS WAF Classic durchläuft derzeit einen geplanten end-of-life Prozess. In Ihrem AWS Health Dashboard finden Sie die Meilensteine und Daten, die für Ihre Region spezifisch sind.

**Anmerkung**  
Dies ist die **AWS WAF klassische** Dokumentation. Sie sollten diese Version nur verwenden, wenn Sie AWS WAF Ressourcen wie Regeln und Websites ACLs AWS WAF vor November 2019 erstellt und diese noch nicht auf die neueste Version migriert haben. Informationen zur Migration Ihrer Website finden Sie ACLs unter[Migrieren Sie Ihre AWS WAF Classic-Ressourcen zu AWS WAF](waf-migrating-from-classic.md).  
**Die neueste Version von** finden AWS WAF Sie unter[AWS WAF](waf-chapter.md). 

In diesem Thema werden vorbereitende Schritte beschrieben, wie z. B. das Erstellen eines Benutzerkontos, um Sie auf die Verwendung von AWS WAF Classic vorzubereiten. Diese werden Ihnen nicht in Rechnung gestellt. Ihnen werden nur die AWS Dienste in Rechnung gestellt, die Sie nutzen. 

**Anmerkung**  
Wenn Sie ein neuer Nutzer von AWS WAF Classic sind AWS WAF, folgen Sie diesen Einrichtungsschritten nicht. Folgen Sie stattdessen den Schritten für die neueste Version von AWS WAF, unter[Einrichtung Ihres Kontos für die Nutzung der Dienste](setting-up-waf.md). 

Nachdem Sie diese Schritte abgeschlossen haben, finden Sie weitere Informationen [Erste Schritte mit AWS WAF Classic](classic-getting-started.md) zu den ersten Schritten mit AWS WAF Classic.

**Anmerkung**  
AWS Shield Standard ist in AWS WAF Classic enthalten und erfordert keine zusätzliche Einrichtung. Weitere Informationen finden Sie unter [So funktionieren AWS Shield und Shield Advanced](ddos-overview.md).

Bevor Sie AWS WAF Classic oder AWS Shield Advanced zum ersten Mal verwenden, führen Sie die Schritte in diesem Abschnitt durch. 

**Topics**
+ [Melde dich an für ein AWS-Konto](#sign-up-for-aws)
+ [Erstellen eines Benutzers mit Administratorzugriff](#create-an-admin)
+ [Tools herunterladen](#classic-setting-up-waf-tools)

## Melde dich an für ein AWS-Konto
<a name="sign-up-for-aws"></a>

Wenn Sie noch keine haben AWS-Konto, führen Sie die folgenden Schritte aus, um eine zu erstellen.

**Um sich für eine anzumelden AWS-Konto**

1. Öffnen Sie [https://portal.aws.amazon.com/billing/die Anmeldung.](https://portal.aws.amazon.com/billing/signup)

1. Folgen Sie den Online-Anweisungen.

   Während der Anmeldung erhalten Sie einen Telefonanruf oder eine Textnachricht und müssen einen Verifizierungscode über die Telefontasten eingeben.

   Wenn Sie sich für eine anmelden AWS-Konto, *Root-Benutzer des AWS-Kontos*wird eine erstellt. Der Root-Benutzer hat Zugriff auf alle AWS-Services und Ressourcen des Kontos. Als bewährte Sicherheitsmethode weisen Sie einem Benutzer Administratorzugriff zu und verwenden Sie nur den Root-Benutzer, um [Aufgaben auszuführen, die Root-Benutzerzugriff erfordern](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks).

AWS sendet Ihnen nach Abschluss des Anmeldevorgangs eine Bestätigungs-E-Mail. Sie können Ihre aktuellen Kontoaktivitäten jederzeit einsehen und Ihr Konto verwalten, indem Sie zu [https://aws.amazon.com/](https://aws.amazon.com/)gehen und **Mein Konto** auswählen.

## Erstellen eines Benutzers mit Administratorzugriff
<a name="create-an-admin"></a>

Nachdem Sie sich für einen angemeldet haben AWS-Konto, sichern Sie Ihren Root-Benutzer des AWS-Kontos AWS IAM Identity Center, aktivieren und erstellen Sie einen Administratorbenutzer, sodass Sie den Root-Benutzer nicht für alltägliche Aufgaben verwenden.

**Sichern Sie Ihre Root-Benutzer des AWS-Kontos**

1.  Melden Sie sich [AWS-Managementkonsole](https://console.aws.amazon.com/)als Kontoinhaber an, indem Sie **Root-Benutzer** auswählen und Ihre AWS-Konto E-Mail-Adresse eingeben. Geben Sie auf der nächsten Seite Ihr Passwort ein.

   Hilfe bei der Anmeldung mit dem Root-Benutzer finden Sie unter [Anmelden als Root-Benutzer](https://docs.aws.amazon.com/signin/latest/userguide/console-sign-in-tutorials.html#introduction-to-root-user-sign-in-tutorial) im *AWS-Anmeldung -Benutzerhandbuch* zu.

1. Aktivieren Sie die Multi-Faktor-Authentifizierung (MFA) für den Root-Benutzer.

   Anweisungen finden Sie unter [Aktivieren eines virtuellen MFA-Geräts für Ihren AWS-Konto Root-Benutzer (Konsole)](https://docs.aws.amazon.com/IAM/latest/UserGuide/enable-virt-mfa-for-root.html) im *IAM-Benutzerhandbuch*.

**Erstellen eines Benutzers mit Administratorzugriff**

1. Aktivieren Sie das IAM Identity Center.

   Anweisungen finden Sie unter [Aktivieren AWS IAM Identity Center](https://docs.aws.amazon.com//singlesignon/latest/userguide/get-set-up-for-idc.html) im *AWS IAM Identity Center -Benutzerhandbuch*.

1. Gewähren Sie einem Administratorbenutzer im IAM Identity Center Benutzerzugriff.

   *Ein Tutorial zur Verwendung von IAM-Identity-Center-Verzeichnis als Identitätsquelle finden Sie IAM-Identity-Center-Verzeichnis im Benutzerhandbuch unter [Benutzerzugriff mit der Standardeinstellung konfigurieren](https://docs.aws.amazon.com//singlesignon/latest/userguide/quick-start-default-idc.html).AWS IAM Identity Center *

**Anmelden als Administratorbenutzer**
+ Um sich mit Ihrem IAM-Identity-Center-Benutzer anzumelden, verwenden Sie die Anmelde-URL, die an Ihre E-Mail-Adresse gesendet wurde, als Sie den IAM-Identity-Center-Benutzer erstellt haben.

  Hilfe bei der Anmeldung mit einem IAM Identity Center-Benutzer finden Sie [im *AWS-Anmeldung Benutzerhandbuch* unter Anmeldung beim AWS Access-Portal](https://docs.aws.amazon.com/signin/latest/userguide/iam-id-center-sign-in-tutorial.html).

**Weiteren Benutzern Zugriff zuweisen**

1. Erstellen Sie im IAM-Identity-Center einen Berechtigungssatz, der den bewährten Vorgehensweisen für die Anwendung von geringsten Berechtigungen folgt.

   Anweisungen hierzu finden Sie unter [ Berechtigungssatz erstellen](https://docs.aws.amazon.com//singlesignon/latest/userguide/get-started-create-a-permission-set.html) im *AWS IAM Identity Center -Benutzerhandbuch*.

1. Weisen Sie Benutzer einer Gruppe zu und weisen Sie der Gruppe dann Single Sign-On-Zugriff zu.

   Eine genaue Anleitung finden Sie unter [ Gruppen hinzufügen](https://docs.aws.amazon.com//singlesignon/latest/userguide/addgroups.html) im *AWS IAM Identity Center -Benutzerhandbuch*.

## Tools herunterladen
<a name="classic-setting-up-waf-tools"></a>

Das AWS-Managementkonsole beinhaltet eine Konsole für AWS WAF Classic. Wenn Sie jedoch programmgesteuert auf AWS WAF Classic zugreifen möchten, finden Sie folgende Informationen:
+ Wenn Sie die AWS WAF Classic-API aufrufen möchten, ohne sich um Details auf niedriger Ebene wie das Zusammenstellen von HTTP-Anfragen kümmern zu müssen, können Sie ein SDK verwenden. AWS AWS SDKs Sie stellen Funktionen und Datentypen bereit, die die Funktionalität von AWS WAF Classic und anderen Diensten zusammenfassen. AWS Informationen zum Herunterladen eines AWS SDK finden Sie auf der entsprechenden Seite, die auch Voraussetzungen und Installationsanweisungen enthält:
  + [Java](https://aws.amazon.com/sdk-for-java/)
  + [JavaScript](https://aws.amazon.com/sdkforbrowser/)
  + [.NET](https://aws.amazon.com/sdk-for-net/)
  + [Node.js](https://aws.amazon.com/sdk-for-node-js/)
  + [PHP](https://aws.amazon.com/sdk-for-php/)
  + [Python](https://github.com/boto/boto)
  + [Ruby](https://aws.amazon.com/sdk-for-ruby/)

  Eine vollständige Liste von AWS SDKs finden Sie unter [Tools für Amazon Web Services](https://aws.amazon.com/tools/).
+ Wenn Sie eine Programmiersprache verwenden, für die AWS kein SDK bereitgestellt wird, dokumentiert die [AWS WAF API-Referenz](https://docs.aws.amazon.com/waf/latest/APIReference/) die Operationen, die AWS WAF Classic unterstützt. 
+ Das AWS Command Line Interface (AWS CLI) unterstützt AWS WAF Classic. AWS CLI Damit können Sie mehrere AWS Dienste von der Befehlszeile aus steuern und sie mithilfe von Skripten automatisieren. Weitere Informationen finden Sie unter [AWS Command Line Interface](https://aws.amazon.com/cli/).
+ AWS Tools for Windows PowerShell unterstützt AWS WAF Classic. Weitere Informationen finden Sie in der [AWS -Tools für PowerShell -Cmdlet-Referenz](https://aws.amazon.com/documentation/powershell/).

# So funktioniert AWS WAF Classic
<a name="classic-how-aws-waf-works"></a>

**Warnung**  
AWS WAF Classic durchläuft derzeit einen geplanten end-of-life Prozess. In Ihrem AWS Health Dashboard finden Sie die Meilensteine und Daten, die für Ihre Region spezifisch sind.

**Anmerkung**  
Dies ist die **AWS WAF klassische** Dokumentation. Sie sollten diese Version nur verwenden, wenn Sie AWS WAF Ressourcen wie Regeln und Websites ACLs AWS WAF vor November 2019 erstellt und diese noch nicht auf die neueste Version migriert haben. Informationen zur Migration Ihrer Website finden Sie ACLs unter[Migrieren Sie Ihre AWS WAF Classic-Ressourcen zu AWS WAF](waf-migrating-from-classic.md).  
**Die neueste Version von** finden AWS WAF Sie unter[AWS WAF](waf-chapter.md). 

Sie verwenden AWS WAF Classic, um zu steuern, wie API Gateway, Amazon CloudFront oder ein Application Load Balancer auf Webanfragen reagiert. Sie beginnen mit der Erstellung von Bedingungen, Regeln und Web-Zugriffskontrolllisten (WebACLs). Definieren Sie Ihre Bedingungen, kombinieren Sie diese in Regeln und kombinieren Sie die Regeln in einer Web-ACL.

**Anmerkung**  
Sie können AWS WAF Classic auch verwenden, um Ihre Anwendungen zu schützen, die in Amazon Elastic Container Service (Amazon ECS) -Containern gehostet werden. Amazon ECS ist ein hoch skalierbarer, schneller Container-Management-Service, der das Ausführen, Beenden und Verwalten von Docker-Containern in einem Cluster vereinfacht. Um diese Option zu verwenden, konfigurieren Sie Amazon ECS so, dass ein AWS WAF Classic-fähiger Application Load Balancer verwendet wird, um den Datenverkehr HTTP/HTTPS (Layer 7) zwischen den Aufgaben in Ihrem Service weiterzuleiten und zu schützen. Weitere Informationen finden Sie unter dem Thema [Service Load Balancing](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/service-load-balancing.html) im *Amazon Elastic Container Service Developer Guide*.

**Bedingungen**  
Bedingungen definieren die grundlegenden Merkmale, auf die AWS WAF Classic bei Webanfragen achten soll:  
+ Skripts sind möglicherweise bösartig. Angreifer betten Skripts ein, die Sicherheitslücken in Webanwendungen ausnutzen. Dies wird als *Cross-Site-Scripting* bezeichnet.
+ IP-Adressen oder Adressbereiche, aus denen Anforderungen stammen.
+ Land oder geografischer Standort, von dem die Anforderung stammt.
+ Länge der angegebenen Teile der Anforderung, wie z. B. die Abfragezeichenfolge.
+ SQL-Code, der möglicherweise bösartig ist. Angreifer, die versuchen, Daten aus Ihrer Datenbank zu extrahieren, indem sie bösartigen SQL-Code in eine Webanforderung einbetten. Dies wird als *SQL Injection* bezeichnet.
+ Zeichenfolgen, die in der Anforderung angezeigt werden, z. B. Werte im `User-Agent`-Header oder Textzeichenfolgen in der Abfragezeichenfolge. Sie können auch reguläre Ausdrücke (Regex) verwenden, um diese Zeichenfolgen anzugeben.
Einige Bedingungen nehmen mehrere Werte an. Sie können z. B. bis zu 10,000 IP-Adressen oder IP-Adressbereiche in einer IP-Bedingung angeben.

**Regeln**  
Sie kombinieren Bedingungen zu Regeln, um genau auf die Anfragen einzugehen, die Sie zulassen, blockieren oder zählen möchten. AWS WAF Classic bietet zwei Arten von Regeln:    
Reguläre Regel  
Reguläre Regeln verwenden nur Bedingungen für bestimmte Anforderungen. Basierend auf den jüngsten Anforderungen von einem Angreifer, die Sie ermittelt haben, können Sie beispielsweise eine Regel erstellen, die folgenden Bedingungen enthält:   
+ Die Anforderungen stammen von 192.0.2.44.
+ Sie enthalten den Wert `BadBot` im `User-Agent`-Header.
+ Sie scheinen schädlichen SQL-ähnlichen Code in die Abfragezeichenfolge einzufügen.
Wenn eine Regel mehrere Bedingungen enthält, wie in diesem Beispiel, sucht AWS WAF Classic nach Anfragen, die alle Bedingungen erfüllen — das heißt, es `AND` sind die Bedingungen zusammen.   
Fügen Sie mindestens eine Bedingung zu einer regulären Regel hinzu. Eine reguläre Regel ohne Bedingungen kann keine Anforderungen erfüllen, sodass die Aktion der Regel (Zulassen, Zählen oder Blockieren) nie ausgelöst wird.   
Ratenbasierte Regel  
Ratenbasierte Regeln sind wie normale Regeln mit einem zusätzlichen Ratenlimit. Eine ratenbasierte Regel zählt die Anfragen, die von IP-Adressen kommen, die die Bedingungen der Regel erfüllen. Wenn die Anfragen von einer IP-Adresse innerhalb von fünf Minuten das Ratenlimit überschreiten, kann die Regel eine Aktion auslösen. Es kann ein oder zwei Minuten dauern, bis die Aktion ausgelöst wird.   
Die Bedingungen sind für ratenbasierte Regeln optional. Wenn Sie in einer ratenbasierten Regel keine Bedingungen hinzufügen, gilt das Ratenlimit für alle IP-Adressen. Wenn Sie Bedingungen mit dem Ratenlimit kombinieren, gilt das Ratenlimit für IP-Adressen, die den Bedingungen entsprechen.   
Basierend auf den jüngsten Anforderungen von einem Angreifer, die Sie ermittelt haben, können Sie beispielsweise eine ratenbasierte Regel erstellen, die die folgenden Bedingungen enthält:   
+ Die Anforderungen stammen von 192.0.2.44.
+ Sie enthalten den Wert `BadBot` im `User-Agent`-Header.
In diesem ratenbasierten Regel legen Sie auch ein Ratenlimit fest. Angenommen, Sie erstellen ein Ratenlimit von 1.000. Wenn Anforderungen beide vorherigen Bedingungen erfüllen und es pro 5 Minuten mehr als 1.000 Anforderungen gibt, wird die in der Web-ACL definierte Regelaktion (Blockieren oder Zählen) ausgelöst.  
Anfragen, die nicht beide Bedingungen erfüllen, werden nicht auf das Ratenlimit angerechnet und sind von dieser Regel nicht betroffen.  
Nehmen wir für ein weiteres Beispiel an, Sie möchten die Anforderungen auf eine bestimmte Seite Ihrer Website beschränken. Dazu können Sie einer ratenbasierten Regel die folgende Übereinstimmungsbedingung für Zeichenfolgen hinzufügen:  
+ Der **Teil der Anforderung, nach dem gefiltert werden soll** ist `URI`.
+ Der **Übereinstimmungstyp** ist `Starts with`. 
+ Ein **Wert, der zugeordnet werden soll** ist `login`. 
Außerdem geben Sie ein `RateLimit` von 1.000 an.  
Indem Sie diese ratenbasierte Regel einer Web-ACL hinzufügen, können Sie die Anforderungen an Ihre Anmeldungsseite begrenzen, ohne dass der Rest Ihrer Website davon betroffen ist.

**Web ACLs**  
Nachdem Sie Ihre Bedingungen kombiniert haben, kombinieren Sie die Regeln in einer Web-ACL. Hier definieren Sie für jede Regel eine Aktion — Zulassen, Blockieren oder Zählen — und eine Standardaktion:    
**Eine Aktion für jede Regel**  
Wenn eine Webanforderung alle Bedingungen in einer Regel erfüllt, kann AWS WAF Classic die Anfrage entweder blockieren oder zulassen, dass die Anfrage an die API Gateway API, CloudFront Distribution oder einen Application Load Balancer weitergeleitet wird. Sie geben für jede Regel die Aktion an, die AWS WAF Classic ausführen soll.  
AWS WAF Classic vergleicht eine Anfrage mit den Regeln in einer Web-ACL in der Reihenfolge, in der Sie die Regeln aufgelistet haben. AWS WAF Classic ergreift dann die Aktion, die der ersten Regel zugeordnet ist, der die Anforderung entspricht. Wenn eine Webanforderung beispielsweise einer Regel entspricht, die Anfragen zulässt, und einer anderen Regel, die Anfragen blockiert, lässt AWS WAF Classic die Anfrage entweder zu oder blockiert sie, je nachdem, welche Regel zuerst aufgeführt ist.  
Wenn Sie eine neue Regel testen möchten, bevor Sie sie verwenden, können Sie AWS WAF Classic auch so konfigurieren, dass die Anfragen gezählt werden, die alle Bedingungen der Regel erfüllen. Wie Regeln zum Zulassen oder Blockieren von Anforderungen ist eine Regel, die Anforderungen zählt, von ihrer Position in der Liste der Regeln im Web-ACL abhängig. Wenn beispielsweise eine Webanforderung einer Regel entspricht, die Anforderungen zulässt, und einer zweiten Regel, die Anforderungen zählt, und wenn die Regel, die Anforderungen zulässt, zuerst aufgeführt ist, wird die Anforderung nicht gezählt.   
**Eine Standardaktion**  
Die Standardaktion bestimmt, ob AWS WAF Classic eine Anfrage zulässt oder blockiert, die nicht allen Bedingungen in einer der Regeln in der Web-ACL entspricht. Angenommen, Sie erstellen eine Web-ACL und fügen nur die Regel hinzu, die Sie zuvor definiert haben  
+ Die Anforderungen stammen von 192.0.2.44.
+ Sie enthalten den Wert `BadBot` im `User-Agent`-Header.
+ Sie scheinen schädlichen SQL-Code in die Abfragezeichenfolge einzufügen.
Wenn eine Anfrage nicht alle drei Bedingungen der Regel erfüllt und die Standardaktion lautet`ALLOW`, leitet AWS WAF Classic die Anfrage an API Gateway CloudFront oder einen Application Load Balancer weiter, und der Dienst antwortet mit dem angeforderten Objekt.  
Wenn Sie einer Web-ACL zwei oder mehr Regeln hinzufügen, führt AWS WAF Classic die Standardaktion nur aus, wenn eine Anfrage nicht alle Bedingungen in einer der Regeln erfüllt. Angenommen, Sie haben eine zweite Regel mit einer Bedingung hinzugefügt.  
+ Anforderungen mit dem Wert `BIGBadBot` im `User-Agent`-Header.
AWS WAF Classic führt die Standardaktion nur aus, wenn eine Anfrage nicht alle drei Bedingungen in der ersten Regel und die eine Bedingung in der zweiten Regel nicht erfüllt.
In einigen Fällen kann ein interner Fehler AWS WAF auftreten, der die Antwort an Amazon API Gateway, Amazon CloudFront oder einen Application Load Balancer bezüglich der Frage, ob eine Anfrage zugelassen oder blockiert werden soll, verzögert. In diesen Fällen CloudFront wird die Anfrage in der Regel zugelassen oder der Inhalt bereitgestellt. Ein API-Gateway und Application Load Balancer lehnen die Anforderung in der Regel ab und stellen keine Inhalte bereit.

# AWS WAF Klassische Preisgestaltung
<a name="classic-aws-waf-pricing"></a>

**Warnung**  
AWS WAF Classic durchläuft derzeit einen geplanten end-of-life Prozess. In Ihrem AWS Health Dashboard finden Sie die Meilensteine und Daten, die für Ihre Region spezifisch sind.

**Anmerkung**  
Dies ist die **AWS WAF klassische** Dokumentation. Sie sollten diese Version nur verwenden, wenn Sie AWS WAF Ressourcen wie Regeln und Websites ACLs AWS WAF vor November 2019 erstellt und diese noch nicht auf die neueste Version migriert haben. Informationen zur Migration Ihrer Website finden Sie ACLs unter[Migrieren Sie Ihre AWS WAF Classic-Ressourcen zu AWS WAF](waf-migrating-from-classic.md).  
**Die neueste Version von** finden AWS WAF Sie unter[AWS WAF](waf-chapter.md). 

Mit AWS WAF Classic zahlen Sie nur für das Web ACLs und die Regeln, die Sie erstellen, sowie für die Anzahl der HTTP-Anfragen, die AWS WAF Classic überprüft. Weitere Informationen finden Sie unter [AWS WAF Klassische Preisgestaltung](https://aws.amazon.com/waf/pricing/). 

# Erste Schritte mit AWS WAF Classic
<a name="classic-getting-started"></a>

**Warnung**  
AWS WAF Classic durchläuft derzeit einen geplanten end-of-life Prozess. In Ihrem AWS Health Dashboard finden Sie die Meilensteine und Daten, die für Ihre Region spezifisch sind.

**Anmerkung**  
Dies ist die **AWS WAF klassische** Dokumentation. Sie sollten diese Version nur verwenden, wenn Sie AWS WAF Ressourcen wie Regeln und Websites ACLs AWS WAF vor November 2019 erstellt und diese noch nicht auf die neueste Version migriert haben. Informationen zur Migration Ihrer Website finden Sie ACLs unter[Migrieren Sie Ihre AWS WAF Classic-Ressourcen zu AWS WAF](waf-migrating-from-classic.md).  
**Die neueste Version von** finden AWS WAF Sie unter[AWS WAF](waf-chapter.md). 

Dieses Tutorial zeigt, wie Sie AWS WAF Classic verwenden, um die folgenden Aufgaben auszuführen:
+ Richten Sie AWS WAF Classic ein.
+ Erstellen Sie mit der AWS WAF Classic-Konsole eine Web-Zugriffskontrollliste (Web-ACL) und geben Sie die Bedingungen an, die Sie zum Filtern von Webanfragen verwenden möchten. Sie können beispielsweise die IP-Adressen angeben, von denen die Anforderungen stammen, und die Werte in den Anforderungen, die nur von Angreifern verwendet werden.
+ Fügen Sie die Bedingungen einer Regel hinzu. Regeln können Sie auf die Webanforderungen anwenden, die Sie blockieren oder zulassen möchten. Eine Webanforderung muss alle Bedingungen in einer Regel erfüllen, bevor AWS WAF Classic Anfragen auf der Grundlage der von Ihnen angegebenen Bedingungen blockiert oder zulässt.
+ Fügen Sie die Regeln einer Web-ACL hinzu. Hier geben Sie an, ob Sie Webanforderungen basierend auf den Bedingungen, die Sie jeder Regel hinzufügen, blockieren oder zulassen möchten.
+ Geben Sie standardmäßig entweder „Blockieren” oder „Zulassen” an. Dies ist die Aktion, die AWS WAF Classic ergreift, wenn eine Webanforderung keiner Ihrer Regeln entspricht.
+ Wählen Sie die CloudFront Amazon-Distribution aus, für die AWS WAF Classic Webanfragen prüfen soll. Dieses Tutorial behandelt nur die Schritte für CloudFront, aber der Prozess für einen Application Load Balancer und Amazon API Gateway ist APIs im Wesentlichen derselbe. AWS WAF Classic for CloudFront ist für alle AWS-Regionen verfügbar. AWS WAF Classic zur Verwendung mit API Gateway oder einem Application Load Balancer ist in den Regionen verfügbar, die an den [AWS Service-Endpunkten](https://docs.aws.amazon.com/general/latest/gr/rande.html) aufgeführt sind. 

**Anmerkung**  
AWS In der Regel werden Ihnen weniger als 0,25 USD pro Tag für die Ressourcen in Rechnung gestellt, die Sie in diesem Tutorial erstellen. Wenn Sie das Tutorial beendet haben, empfehlen wir, dass Sie die Ressourcen löschen, um unnötige Kosten zu vermeiden. 

**Topics**
+ [Schritt 1: Classic einrichten AWS WAF](#classic-getting-started-aws-account)
+ [Schritt 2: Erstellen einer Web-ACL](#classic-getting-started-wizard-create-web-acl)
+ [Schritt 3: Erstellen einer IP-Übereinstimmungsbedingung](#classic-getting-started-wizard-create-ip-condition)
+ [Schritt 4: Erstellen einer Geo-Übereinstimmungsbedingung](#classic-getting-started-wizard-create-geo-condition)
+ [Schritt 5: Erstellen einer Zeichenfolgen-Übereinstimmungsbedingung](#classic-getting-started-wizard-create-string-condition)
+ [Schritt 5A: Erstellen einer Regex-Bedingung (optional)](#classic-getting-started-wizard-create-regex-condition)
+ [Schritt 6: Erstellen einer SQL Injection-Übereinstimmungsbedingung](#classic-getting-started-wizard-create-sql-condition)
+ [Schritt 7: (Optional) Erstellen von zusätzlichen Bedingungen](#classic-getting-started-wizard-create-optional-conditions)
+ [Schritt 8: Erstellen einer Regel und Hinzufügen von Bedingungen](#classic-getting-started-wizard-create-rule)
+ [Schritt 9: Hinzufügen der Regel zu einer Web-ACL](#classic-getting-started-wizard-add-rule)
+ [Schritt 10: Bereinigen Ihrer Ressourcen](#classic-getting-started-wizard-clean-up)

## Schritt 1: Classic einrichten AWS WAF
<a name="classic-getting-started-aws-account"></a>

Wenn Sie die allgemeinen Einrichtungsschritte unter noch nicht befolgt haben[AWS WAF Classic einrichten](classic-setting-up-waf.md), tun Sie dies jetzt. 

## Schritt 2: Erstellen einer Web-ACL
<a name="classic-getting-started-wizard-create-web-acl"></a>

Die AWS WAF Classic-Konsole führt Sie durch den Prozess der Konfiguration von AWS WAF Classic, um Webanfragen auf der Grundlage von von Ihnen festgelegter Bedingungen zu blockieren oder zuzulassen, wie z. B. die IP-Adressen, von denen die Anfragen stammen, oder die Werte in den Anfragen. In diesem Schritt erstellen Sie eine Web-ACL.<a name="classic-getting-started-wizard-create-web-acl-procedure"></a>

**So erstellen Sie eine Web-ACL**

1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die AWS WAF Konsole unter [https://console.aws.amazon.com/wafv2/](https://console.aws.amazon.com/wafv2/). 

   Wenn im Navigationsbereich **Zu AWS WAF Classic wechseln** angezeigt wird, wählen Sie es aus.

1. Wenn Sie AWS WAF Classic zum ersten Mal verwenden, wählen Sie **Go to AWS WAF Classic** und dann **Configure web ACL** aus. 

   Wenn Sie AWS WAF Classic schon einmal verwendet haben, wählen Sie ACLs im Navigationsbereich **Web** und dann **Web-ACL erstellen** aus.

1. Geben Sie auf der Seite **Name web ACL (Web-ACL benennen)** für **Web ACL name (Web-ACL-Name)** einen Namen ein. 
**Anmerkung**  
Sie können den Namen nach dem Erstellen der Web-ACL nicht mehr ändern.

1. Geben Sie als **CloudWatch Metrikname** einen Namen ein. Der Name darf nur alphanumerische Zeichen (A-Z, a-z, 0-9) enthalten. Es darf keine Leerzeichen enthalten.
**Anmerkung**  
Sie können den Namen nach dem Erstellen der Web-ACL nicht mehr ändern.

1. Wählen Sie unter **-Region** eine Region aus. Wenn Sie diese Web-ACL einer CloudFront Distribution zuordnen möchten, wählen Sie **Global (CloudFront)**. 

1. Wählen Sie für **AWS resource to associate** die Ressource aus, die Sie mit der Web-ACL verknüpfen möchten, und dann **Next**.

## Schritt 3: Erstellen einer IP-Übereinstimmungsbedingung
<a name="classic-getting-started-wizard-create-ip-condition"></a>

Eine IP-Übereinstimmungsbedingung gibt die IP-Adressen oder IP-Adressbereiche an, aus denen die Webanforderungen stammen. In diesem Schritt erstellen Sie eine IP-Übereinstimmungsbedingung. In einem späteren Schritt geben Sie an, ob Sie Anforderungen zulassen oder Anforderungen, die von angegebenen IP-Adressen stammen, blockieren möchten.

**Anmerkung**  
Weitere Informationen zu IP-Übereinstimmungsbedingungen finden Sie unter [Arbeiten mit IP-Übereinstimmungsbedingungen](classic-web-acl-ip-conditions.md).<a name="classic-getting-started-wizard-create-ip-condition-procedure"></a>

**So erstellen Sie eine IP-Übereinstimmungsbedingung**

1. Wählen Sie auf der Seite **Create conditions** für **IP match conditions** die Option **Create condition**.

1. Geben Sie im Dialogfeld **Create IP match condition (IP-Übereinstimmungsbedingung erstellen)** für **Name** einen Namen ein. Der Name darf nur alphanumerische Zeichen (A-Z, a-z, 0-9) oder die folgenden Sonderzeichen enthalten: \$1-\$1"\$1`\$1\$1\$1,./ .

1. Geben Sie für **Address (Adresse)** **192.0.2.0/24** ein. Dieser in der CIDR-Notation angegebene IP-Adressbereich umfasst die IP-Adressen von 192.0.2.0 bis 192.0.2.255. (Der IP-Adressbereich 192.0.2.0/24 ist für Beispiele reserviert, daher stammen von diesen IP-Adressen keine Anforderungen.)

   AWS WAF Classic unterstützt IPv4 Adressbereiche: /8 und jeden Bereich zwischen /16 und /32. AWS WAF Classic unterstützt die IPv6 Adressbereiche: /24, /32, /48, /56, /64 und /128. (Um eine einzelne IP-Adresse wie 192.0.2.44 anzugeben, geben Sie **192.0.2.44/32** ein.) Andere Bereiche werden nicht unterstützt.

   Weitere Informationen zu CIDR-Notationen finden Sie im Wikipedia-Artikel [Classless Inter-Domain Routing](https://en.wikipedia.org/wiki/Classless_Inter-Domain_Routing).

1. Wählen Sie **Erstellen** aus.

## Schritt 4: Erstellen einer Geo-Übereinstimmungsbedingung
<a name="classic-getting-started-wizard-create-geo-condition"></a>

Eine Geo-Übereinstimmungsbedingung gibt das Land oder die Länder an, von denen die Anforderung stammt. In diesem Schritt erstellen Sie eine Geo-Übereinstimmungsbedingung. In einem späteren Schritt geben Sie an, ob Sie Anforderungen zulassen oder Anforderungen, die von angegebenen IP-Adressen stammen, blockieren möchten, die aus den angegebenen Ländern stammen.

**Anmerkung**  
Weitere Informationen zu Geo-Übereinstimmungsbedingungen finden Sie unter [Arbeiten mit Geo-Übereinstimmungsbedingungen](classic-web-acl-geo-conditions.md).<a name="classic-getting-started-wizard-create-geo-condition-procedure"></a>

**So erstellen Sie eine Geo-Übereinstimmungsbedingung**

1. Wählen Sie auf der Seite **Create conditions** für **Geo match conditions** die Option **Create condition**.

1. Geben Sie im Dialogfeld **Create geo match condition (Geomatchbedingung erstellen)** für **Name** einen Namen ein. Der Name darf nur alphanumerische Zeichen (A-Z, a-z, 0-9) oder die folgenden Sonderzeichen enthalten: \$1-\$1"\$1`\$1\$1\$1,./ . 

1. Wählen Sie einen **Standorttyp** und ein Land. Derzeit kann der **Location type (Standorttyp)** nur **Country (Land)**sein.

1. Wählen Sie **Add location**.

1. Wählen Sie **Erstellen** aus.

## Schritt 5: Erstellen einer Zeichenfolgen-Übereinstimmungsbedingung
<a name="classic-getting-started-wizard-create-string-condition"></a>

Eine Bedingung für die Übereinstimmung mit einer Zeichenfolge identifiziert die Zeichenfolgen, nach denen AWS WAF Classic in einer Anforderung suchen soll, z. B. nach einem bestimmten Wert in einer Kopfzeile oder in einer Abfragezeichenfolge. Eine Zeichenfolge besteht aus druckbaren ASCII-Zeichen, aber Sie können beliebige Zeichen aus dem hexadezimalen Bereich von 0x00 bis 0xFF (dezimal 0 bis 255) angeben. In diesem Schritt erstellen Sie eine Zeichenfolgen-Übereinstimmungsbedingung. In einem späteren Schritt geben Sie an, ob Anforderungen, die die angegebenen Zeichenfolgen enthalten, zugelassen oder blockiert werden sollen.

**Anmerkung**  
Weitere Informationen zu Zeichenfolgen-Übereinstimmungsbedingungen finden Sie unter [Arbeiten mit Zeichenfolgen-Übereinstimmungsbedingungen](classic-web-acl-string-conditions.md).<a name="classic-getting-started-wizard-create-string-condition-procedure"></a>

**So erstellen Sie eine Zeichenfolgen-Übereinstimmungsbedingung**

1. Wählen Sie auf der Seite **Create conditions (Bedingungen erstellen)** für **String and regex match conditions (Zeichenfolgen- und Regex-Übereinstimmungsbedingungen)** die Option **Create condition (Bedingung erstellen)**.

1. Geben Sie im Dialogfenster **Create string match condition (Zeichenfolgen-Übereinstimmungsbedingung erstellen)** die folgenden Werte ein:  
**Name**  
Geben Sie einen Namen ein. Der Name darf nur alphanumerische Zeichen (A-Z, a-z, 0-9) oder die folgenden Sonderzeichen enthalten: \$1-\$1"\$1`\$1\$1\$1,./ .  
**Typ**  
Wählen Sie **String match**.  
**Teil der Anforderung, nach dem gefiltert werden soll**  
Wählen Sie den Teil der Webanforderung aus, den AWS WAF Classic nach einer bestimmten Zeichenfolge durchsuchen soll.   
Wählen Sie für dieses Beispiel **Header** aus.  
Wenn Sie für den Wert **Teil der Anforderung, nach dem gefiltert werden soll**, **Body** wählen, untersucht AWS WAF Classic nur die ersten 8192 Byte (8 KB), da nur die ersten 8192 Byte CloudFront zur Überprüfung weitergeleitet werden. Um Anfragen zuzulassen oder zu blockieren, deren Hauptteil länger als 8192 Byte ist, können Sie eine Größenbeschränkungsbedingung erstellen. (AWS WAF Classic ermittelt die Länge des Hauptteils aus den Anforderungsheadern.) Weitere Informationen finden Sie unter [Arbeiten mit Größenbeschränkungsbedingungen](classic-web-acl-size-conditions.md).  
**Header (Erforderlich, wenn "Header" als "Teil der Filter auf" festgelegt ist)**  
Da Sie **Header** als **Teil der Anfrage ausgewählt haben, nach dem gefiltert** werden soll, müssen Sie angeben, welchen Header AWS WAF Classic untersuchen soll. Geben Sie **User-Agent** ein. Bei diesem Wert wird nicht zwischen Groß- und Kleinschreibung unterschieden.  
**Übereinstimmungstyp**  
Wählen Sie aus, wo die angegebene Zeichenfolge im **User-Agent**-Header angezeigt werden soll, z. B. am Anfang, am Ende oder an einer beliebigen Stelle in der Zeichenfolge.   
Wählen Sie in diesem Beispiel **Exactly matches** aus, was bedeutet, dass AWS WAF Classic Webanfragen auf einen Header-Wert überprüft, der mit dem von Ihnen angegebenen Wert identisch ist.  
**Transformation**  
Um AWS WAF Classic zu umgehen, verwenden Angreifer ungewöhnliche Formatierungen in Webanfragen, indem sie beispielsweise Leerzeichen hinzufügen oder die Anfrage ganz oder teilweise URL-kodieren. Transformationen konvertieren die Webanfrage in ein standardisierteres Format, indem sie Leerzeichen entfernen, die Anfrage per URL-Dekodierung bearbeiten oder andere Operationen ausführen, die einen Großteil der ungewöhnlichen Formatierung der Angreifer beseitigen.  
Sie können nur einen einzigen Texttransformationstyp angeben.  
Wählen Sie für dieses Beispiel **Keiner** aus.  
**Der Wert ist base64-kodiert**  
Wenn Ihr Wert in **Value to match (Übereinstimmungswert)** übereinstimmt bereits base64-codiert ist, aktivieren Sie dieses Kontrollkästchen.   
Für dieses Beispiel aktivieren Sie das Kontrollkästchen nicht.  
**Wert, der zugeordnet werden soll**  
Geben Sie den Wert an, nach dem AWS WAF Classic in dem Teil der Webanfragen suchen soll, den Sie unter Teil der **Anfrage, nach dem gefiltert werden soll,** angegeben haben.  
Geben Sie für dieses Beispiel ein **BadBot**. AWS WAF Classic untersucht den `User-Agent` Header in Webanfragen auf den Wert **BadBot**.  
Die maximale Länge von **Value to match** ist 50 Zeichen. Wenn Sie einen base64-kodierten Wert angeben möchten, können Sie bis zu 50 Zeichen vor der Kodierung angeben.

1. Wenn Sie möchten, dass AWS WAF Classic Webanfragen auf mehrere Werte untersucht, z. B. auf einen `User-Agent` Header, der enthält, `BadBot` und auf eine Abfragezeichenfolge, die `BadParameter` Folgendes enthält, haben Sie zwei Möglichkeiten:
   + Wenn Sie Webanforderungen nur zulassen oder blockieren möchten, wenn diese beide Werte enthalten (`AND`), erstellen Sie eine Zeichenfolgen-Übereinstimmungsbedingung für jeden Wert. 
   + Wenn Sie Webanforderungen, die entweder einen oder beide Werte (`OR`) enthalten, zulassen oder blockieren möchten, fügen Sie beide Werte derselben Zeichenfolgen-Übereinstimmungsbedingung hinzu. 

   Wählen Sie für dieses Beispiel **Erstellen** aus.

## Schritt 5A: Erstellen einer Regex-Bedingung (optional)
<a name="classic-getting-started-wizard-create-regex-condition"></a>

Eine Bedingung für reguläre Ausdrücke ist eine Art von Bedingung für die Übereinstimmung mit Zeichenketten. Sie ist insofern ähnlich, als sie die Zeichenketten identifiziert, nach denen AWS WAF Classic in einer Anforderung suchen soll, z. B. einen bestimmten Wert in einer Kopfzeile oder in einer Abfragezeichenfolge. Der Hauptunterschied besteht darin, dass Sie einen regulären Ausdruck (Regex) verwenden, um das Zeichenkettenmuster anzugeben, nach dem AWS WAF Classic suchen soll. In diesem Schritt erstellen Sie eine Regex-Übereinstimmungsbedingung. In einem späteren Schritt geben Sie an, ob Anforderungen, die die angegebenen Zeichenfolgen enthalten, zugelassen oder blockiert werden sollen.

**Anmerkung**  
Weitere Informationen zu Regex-Übereinstimmungsbedingungen finden Sie unter [Arbeiten mit Regex-Übereinstimmungsbedingungen](classic-web-acl-regex-conditions.md).<a name="classic-getting-started-wizard-create-regex-condition-procedure"></a>

**So erstellen Sie eine Regex-Übereinstimmungsbedingung**

1. Wählen Sie auf der Seite **Create conditions (Bedingungen erstellen)** für **String match conditions (Zeichenfolgen-Übereinstimmungsbedingungen)** die Option **Create condition (Bedingung erstellen)**.

1. Geben Sie im Dialogfenster **Create string match condition (Zeichenfolgen-Übereinstimmungsbedingung erstellen)** die folgenden Werte ein:  
**Name**  
Geben Sie einen Namen ein. Der Name darf nur alphanumerische Zeichen (A-Z, a-z, 0-9) oder die folgenden Sonderzeichen enthalten: \$1-\$1"\$1`\$1\$1\$1,./ .  
**Typ**  
Wählen Sie **Regex match**  
**Teil der Anforderung, nach dem gefiltert werden soll**  
Wählen Sie den Teil der Webanforderung aus, den AWS WAF Classic nach einer bestimmten Zeichenfolge durchsuchen soll.   
Wählen Sie für dieses Beispiel **Body** aus.  
Wenn Sie für den Wert **Teil der Anforderung, nach dem gefiltert werden soll**, **Body** wählen, untersucht AWS WAF Classic nur die ersten 8192 Byte (8 KB), da nur die ersten 8192 Byte CloudFront zur Überprüfung weitergeleitet werden. Um Anfragen zuzulassen oder zu blockieren, deren Hauptteil länger als 8192 Byte ist, können Sie eine Größenbeschränkungsbedingung erstellen. (AWS WAF Classic ermittelt die Länge des Hauptteils aus den Anforderungsheadern.) Weitere Informationen finden Sie unter [Arbeiten mit Größenbeschränkungsbedingungen](classic-web-acl-size-conditions.md).  
**Transformation**  
Um AWS WAF Classic zu umgehen, verwenden Angreifer ungewöhnliche Formatierungen in Webanfragen, indem sie beispielsweise Leerzeichen hinzufügen oder die Anfrage ganz oder teilweise URL-kodieren. Transformationen konvertieren die Webanfrage in ein standardisierteres Format, indem sie Leerzeichen entfernen, die Anfrage per URL-Dekodierung bearbeiten oder andere Operationen ausführen, die einen Großteil der ungewöhnlichen Formatierung der Angreifer beseitigen.  
Sie können nur einen einzigen Texttransformationstyp angeben.  
Wählen Sie für dieses Beispiel **Keiner** aus.  
**Regex-Muster zur Übereinstimmung mit der Anfrage**  
Wählen Sie **Create regex pattern set**.  
**Neuer Mustersatzname**  
Geben Sie einen Namen ein und geben Sie dann das Regex-Muster an, nach dem AWS WAF Classic suchen soll.   
Geben Sie als Nächstes den regulären Ausdruck **I [a@] mAb [a@] dRequest** ein. AWS WAF Classic untersucht den `User-Agent` Header in Webanfragen auf die folgenden Werte:  
   + **Ich bin Request ABad**
   + **IamAB@dRequest**
   + **Ich @m Anfrage ABad**
   + **I@mAB@dRequest**

1. Wählen Sie **Create pattern set and add filter**.

1. Wählen Sie **Erstellen** aus.

## Schritt 6: Erstellen einer SQL Injection-Übereinstimmungsbedingung
<a name="classic-getting-started-wizard-create-sql-condition"></a>

Eine SQL-Injection-Match-Bedingung identifiziert den Teil von Webanfragen, wie z. B. einen Header oder eine Abfragezeichenfolge, den AWS WAF Classic auf bösartigen SQL-Code untersuchen soll. Angreifer nutzen SQL-Abfragen zum Extrahieren von Daten aus Ihrer Datenbank. In diesem Schritt erstellen Sie eine SQL Injections-Übereinstimmungsbedingung. In einem späteren Schritt geben Sie an, ob Sie Anforderungen zulassen oder blockieren möchten, die möglicherweise schädlichen SQL-Code enthalten.

**Anmerkung**  
Weitere Informationen zu Zeichenfolgen-Übereinstimmungsbedingungen finden Sie unter [Arbeiten mit SQL Injections-Übereinstimmungsbedingungen](classic-web-acl-sql-conditions.md).<a name="classic-getting-started-wizard-create-sql-condition-procedure"></a>

**So erstellen Sie eine SQL Injections-Übereinstimmungsbedingung**

1. Wählen Sie auf der Seite **Create conditions** für **SQL injection match conditions** die Option **Create condition**.

1. Geben Sie im Dialogfenster **Create SQL injection match condition (SQL-Injection-Übereinstimmungsbedingungen erstellen)** die folgenden Werte ein:  
**Name**  
Geben Sie einen Namen ein.  
**Teil der Anforderung, nach dem gefiltert werden soll**  
Wählen Sie den Teil der Webanfragen aus, den AWS WAF Classic auf bösartigen SQL-Code untersuchen soll.   
Wählen Sie für dieses Beispiel **Query string**.  
Wenn Sie für den Wert **Teil der Anforderung, nach dem gefiltert werden soll**, **Body** wählen, untersucht AWS WAF Classic nur die ersten 8192 Byte (8 KB), da nur die ersten 8192 Byte CloudFront zur Überprüfung weitergeleitet werden. Um Anfragen zuzulassen oder zu blockieren, deren Hauptteil länger als 8192 Byte ist, können Sie eine Größenbeschränkungsbedingung erstellen. (AWS WAF Classic ermittelt die Länge des Hauptteils aus den Anforderungsheadern.) Weitere Informationen finden Sie unter [Arbeiten mit Größenbeschränkungsbedingungen](classic-web-acl-size-conditions.md).  
**Transformation**  
Wählen Sie für dieses Beispiel **URL decode** aus.  
Angreifer verwenden ungewöhnliche Formatierungen, wie z. B. die URL-Kodierung, um AWS WAF Classic zu umgehen. Mit der **URL-Dekodierungsoption** wird ein Teil dieser Formatierung in der Webanforderung entfernt, bevor AWS WAF Classic die Anfrage überprüft.  
Sie können nur einen einzigen Texttransformationstyp angeben.

1. Wählen Sie **Erstellen** aus.

1. Wählen Sie **Weiter** aus. 

## Schritt 7: (Optional) Erstellen von zusätzlichen Bedingungen
<a name="classic-getting-started-wizard-create-optional-conditions"></a>

AWS WAF Classic beinhaltet weitere Bedingungen, darunter die folgenden:
+ **Bedingungen für Größenbeschränkungen** — Identifiziert den Teil von Webanfragen, z. B. einen Header oder eine Abfragezeichenfolge, dessen Länge AWS WAF Classic überprüfen soll. Weitere Informationen finden Sie unter [Arbeiten mit Größenbeschränkungsbedingungen](classic-web-acl-size-conditions.md).
+ **Siteübergreifende Scripting-Abgleichsbedingungen** — Identifiziert den Teil der Webanfragen, wie z. B. eine Kopfzeile oder eine Abfragezeichenfolge, den Sie auf schädliche Skripts untersuchen AWS WAF möchten. Weitere Informationen finden Sie unter [Arbeiten mit Cross-Site-Scripting-Übereinstimmungsbedingungen](classic-web-acl-xss-conditions.md).

Sie können diese Bedingungen jetzt erstellen oder zum Schritt [Schritt 8: Erstellen einer Regel und Hinzufügen von Bedingungen](#classic-getting-started-wizard-create-rule) wechseln.

## Schritt 8: Erstellen einer Regel und Hinzufügen von Bedingungen
<a name="classic-getting-started-wizard-create-rule"></a>

Sie erstellen eine Regel, um die Bedingungen anzugeben, nach denen AWS WAF Classic in Webanfragen suchen soll. Wenn Sie einer Regel mehr als eine Bedingung hinzufügen, muss eine Webanforderung allen Bedingungen in der Regel entsprechen, damit AWS WAF Classic Anfragen, die auf dieser Regel basieren, zulässt oder blockiert.

**Anmerkung**  
Weitere Informationen zu Regeln finden Sie unter [Arbeiten mit Regeln](classic-web-acl-rules.md).<a name="classic-getting-started-wizard-create-rule-procedure"></a>

**So erstellen Sie eine Regel und fügen Bedingungen hinzu**

1. Wählen Sie auf der Seite **Create rules** die Option **Create rule**.

1. Geben Sie im Dialogfenster **Create rule (Regel erstellen)** die folgenden Werte ein:  
**Name**  
Geben Sie einen Namen ein.   
**CloudWatch Name der Metrik**  
Geben Sie einen Namen für die CloudWatch Metrik ein, die AWS WAF Classic erstellen und der Regel zuordnen wird. Der Name darf nur alphanumerische Zeichen (A-Z, a-z, 0-9) enthalten. Es darf keine Leerzeichen enthalten.  
**Art der Regel**  
Wählen Sie entweder **Regular rule (Reguläre Regel)** oder **Rate-based rule (Ratenbasierte Regel)**. Ratenbasierte Regeln sind identisch mit regulären Regeln, berücksichtigen aber auch, wie viele Anfragen von der identifizierten IP-Adresse in einem Zeitraum von fünf Minuten eingehen. Weitere Informationen zu den Regelarten finden Sie unter [So funktioniert AWS WAF Classic](classic-how-aws-waf-works.md). Wählen Sie für dieses Beispiel `Regular rule` aus.  
**Ratenlimit**  
Geben Sie bei einer ratenbasierten Regel die maximale Anzahl von Anfragen ein, die in einem Zeitraum von fünf Minuten von einer IP-Adresse, die den Bedingungen der Regel entspricht, zulässig sind.

1. Für die erste Bedingung, die Sie der Regel hinzufügen möchten, legen Sie die folgenden Einstellungen fest:
   + Wählen Sie aus, ob AWS WAF Classic Anfragen zulassen oder blockieren soll, je nachdem, ob eine Webanforderung den Einstellungen in der Bedingung entspricht oder nicht.

     Wählen Sie für dieses Beispiel **does** aus.
   + Wählen Sie die Art der Bedingung aus, die Sie der Regel hinzufügen möchten, also eine IP-Übereinstimmungsbedingungen, eine Zeichenfolgen-Übereinstimmungsbedingung oder eine SQL Injections-Übereinstimmungsbedingung.

     Wählen Sie für dieses Beispiel **originate from IP addresses in** aus.
   + Wählen Sie die Bedingung aus, die Sie der Regel hinzufügen möchten.

     Wählen Sie für dieses Beispiel die IP-Übereinstimmungsbedingung aus, die Sie in vorherigen Aufgaben erstellt haben.

1. Klicken Sie auf **Bedingung hinzufügen**.

1. Fügen Sie die Geo-Übereinstimmungsbedingung hinzu, die Sie zuvor erstellt haben. Geben Sie die folgenden Werte an:
   + **Wenn eine Anfrage**
   + **stammt aus einem geografischen Standort in**
   + Wählen Sie die Geo-Übereinstimmungsbedingung aus.

1. Wählen Sie **Add another condition (Eine weitere Bedingung hinzufügen)** aus.

1. Fügen Sie die Zeichenfolgen-Übereinstimmungsbedingung hinzu, die Sie zuvor erstellt haben. Geben Sie die folgenden Werte an:
   + **Wenn eine Anfrage**
   + **mindestens einem der Filter in der Zeichenfolgen-Übereinstimmungsbedingung entspricht**
   + Wählen Sie die Zeichenfolgen-Übereinstimmungsbedingung aus.

1. Klicken Sie auf **Bedingung hinzufügen**.

1. Fügen Sie die SQL Injections-Übereinstimmungsbedingung hinzu, die Sie zuvor erstellt haben. Geben Sie die folgenden Werte an:
   + **Wenn eine Anfrage**
   + **mindestens einem der Filter in der SQL Injections-Übereinstimmungsbedingung entspricht**
   + Wählen Sie die SQL Injections-Übereinstimmungsbedingung aus.

1. Klicken Sie auf **Bedingung hinzufügen**.

1. Fügen Sie die Größenbeschränkungsbedingung hinzu, die Sie zuvor erstellt haben. Geben Sie die folgenden Werte an:
   + **Wenn eine Anfrage**
   + **mindestens einem der Filter in der Größenbeschränkungsbedingung entspricht**
   + Wählen Sie die Größenbeschränkungsbedingung aus.

1. Wenn Sie andere Bedingungen erstellt haben, z. B. eine Regex-Bedingung, fügen Sie sie auf ähnliche Weise hinzu.

1. Wählen Sie **Erstellen** aus. 

1. Wählen Sie für die **Default action****Allow all requests that don't match any rules**. 

1. Wählen Sie **Review and create**. 

## Schritt 9: Hinzufügen der Regel zu einer Web-ACL
<a name="classic-getting-started-wizard-add-rule"></a>

Wenn Sie die Regel zu Web-ACL hinzufügen, können Sie die folgenden Einstellungen vornehmen:
+ Die Aktion, die AWS WAF Classic bei Webanfragen ausführen soll, die alle Bedingungen der Regel erfüllen: Anfragen zulassen, blockieren oder zählen.
+ Die Standardaktion für die Web-ACL. Dies ist die Aktion, die AWS WAF Classic bei Webanfragen ausführen *soll, die nicht* alle Bedingungen der Regel erfüllen: Anfragen zulassen oder blockieren.

AWS WAF Classic beginnt damit, CloudFront Webanfragen zu blockieren, die alle folgenden Bedingungen erfüllen (und alle anderen, die Sie möglicherweise hinzugefügt haben):
+ Der Wert des `User-Agent`-Headers ist `BadBot`
+ Wenn Sie die Regex-Bedingung erstellt und hinzugefügt haben) Der Wert von `Body` ist eine der vier Zeichenfolgen, die dem Muster `I[a@]mAB[a@]dRequest` entsprechen
+ Die Anforderungen stammen von IP-Adressen im Bereich 192.0.2.0-192.0.2.255
+ Die Anfragen stammen aus dem Land, das Sie in Ihrer Geomatch-Bedingung ausgewählt haben.
+ Sie scheinen schädlichen SQL-Code in die Abfragezeichenfolge einzufügen.

AWS WAF Classic ermöglicht es CloudFront , auf Anfragen zu antworten, die nicht alle drei dieser Bedingungen erfüllen. 

## Schritt 10: Bereinigen Ihrer Ressourcen
<a name="classic-getting-started-wizard-clean-up"></a>

Sie haben das Tutorial jetzt erfolgreich abgeschlossen. Um zu verhindern, dass für Ihr Konto zusätzliche AWS WAF Classic-Gebühren anfallen, sollten Sie die von Ihnen erstellten AWS WAF Classic-Objekte bereinigen. Alternativ können Sie die Konfiguration so ändern, dass sie die Anforderungen erfüllt, die Sie tatsächlich zulassen, blockieren und zählen möchten.

**Anmerkung**  
AWS In der Regel werden Ihnen weniger als 0,25 USD pro Tag für die Ressourcen in Rechnung gestellt, die Sie in diesem Tutorial erstellen. Wenn Sie fertig sind, empfehlen wir, dass Sie die Ressourcen löschen, um unnötige Kosten zu vermeiden. <a name="classic-getting-started-wizard-clean-up-procedure"></a>

**Um die Objekte zu löschen, für die AWS WAF Classic Gebühren erhebt**

1. Trennen Sie Ihre Web-ACL von Ihrer CloudFront Distribution:

   1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die AWS WAF Konsole unter [https://console.aws.amazon.com/wafv2/](https://console.aws.amazon.com/wafv2/). 

      Wenn im Navigationsbereich **Zu AWS WAF Classic wechseln** angezeigt wird, wählen Sie es aus.

   1. Wählen Sie den Namen der Web-ACL aus, die Sie löschen möchten. Dadurch wird im rechten Bereich eine Seite mit den Details der Web-ACL geöffnet. 

   1. Gehen Sie im rechten Bereich auf der Registerkarte **Regeln** zum Abschnitt **AWS Ressourcen, die diese Web-ACL verwenden**. Wählen Sie für die CloudFront Distribution, der Sie die Web-ACL zugeordnet haben, das **X** in der Spalte **Typ** aus. 

1. Entfernen Sie die Bedingungen Ihrer Regel:

   1. Wählen Sie im Navigationsbereich **Regeln** aus.

   1. Wählen Sie die Regel aus, die Sie während des Tutorials erstellt haben.

   1. Wählen Sie **Edit rule**. 

   1. Wählen Sie **x** rechts neben jeder Bedingung aus.

   1. Wählen Sie **Aktualisieren** aus.

1. Entfernen Sie die Regel aus Ihrer Web-ACL und löschen Sie die Web-ACL:

   1. Wählen Sie im Navigationsbereich **Web** aus ACLs.

   1. Wählen Sie den Namen der Web-ACL aus, die Sie während des Tutorials erstellt haben. Dadurch wird im rechten Bereich eine Seite mit den Details der Web-ACL geöffnet.

   1. Wählen Sie auf der Registerkarte **Rules** die Option **Edit web ACL**. 

   1. Wählen Sie **x** rechts neben der Regel aus.

   1. Wählen Sie **Actions** und anschließend **Delete web ACL (Web-ACL löschen)**.

1. Löschen Sie die Regel:

   1. Wählen Sie im Navigationsbereich **Regeln** aus.

   1. Wählen Sie die Regel aus, die Sie während des Tutorials erstellt haben.

   1. Wählen Sie **Löschen** aus.

   1. Wählen Sie im Dialogfeld **Löschen** zur Bestätigung erneut **Löschen** aus.

AWS WAF Classic berechnet keine Gebühren für Bedingungen. Wenn Sie die Bereinigung jedoch abschließen möchten, gehen Sie wie folgt vor, um Filter aus Bedingungen zu entfernen und die Bedingungen zu löschen.<a name="classic-getting-started-wizard-clean-up-conditions-procedure"></a>

**So löschen Sie Filter und Bedingungen**

1. Löschen Sie erst den IP-Adressbereich in Ihrer IP-Übereinstimmungsbedingung und dann die IP-Übereinstimmungsbedingung:

   1. Wählen Sie im Navigationsbereich der AWS WAF Classic-Konsole **IP-Adressen** aus.

   1. Wählen Sie die IP-Übereinstimmungsbedingung aus, die Sie während des Tutorials erstellt haben.

   1. Aktivieren Sie das Kontrollkästchen für den IP-Adressbereich, den Sie hinzugefügt haben. 

   1. Wählen Sie **Delete IP address or range**.

   1. Wählen Sie im Bereich **IP match conditions** die Option **Löschen**.

   1. Wählen Sie im Dialogfeld **Löschen** zur Bestätigung erneut **Löschen** aus.

1. Löschen Sie erst die Filter in der SQL Injections-Übereinstimmungsbedingung und dann die SQL Injections-Übereinstimmungsbedingung selbst:

   1. Wählen Sie im Navigationsbereich **SQL injection** aus.

   1. Wählen Sie die SQL Injections-Übereinstimmungsbedingung aus, die Sie während des Tutorials erstellt haben.

   1. Aktivieren Sie das Kontrollkästchen für den Filter, den Sie hinzugefügt haben. 

   1. Wählen Sie **Delete filter**.

   1. Wählen Sie im Bereich **SQL injection match conditions** die Option **Löschen** aus.

   1. Wählen Sie im Dialogfeld **Löschen** zur Bestätigung erneut **Löschen** aus.

1. Löschen Sie erst den Filter in der Zeichenfolgen-Übereinstimmungsbedingung und dann die Zeichenfolgen-Übereinstimmungsbedingung selbst:

   1. Wählen Sie im Navigationsbereich **String and regex matching** aus.

   1. Wählen Sie die Zeichenfolgen-Übereinstimmungsbedingung aus, die Sie während des Tutorials erstellt haben.

   1. Aktivieren Sie das Kontrollkästchen für den Filter, den Sie hinzugefügt haben. 

   1. Wählen Sie **Delete filter**.

   1. Wählen Sie im Bereich **String match conditions** die Option **Löschen**.

   1. Wählen Sie im Dialogfeld **Löschen** zur Bestätigung erneut **Löschen** aus.

1. Wenn Sie eine erstellt haben, löschen Sie den Filter in Ihrer Regex-Übereinstimmungsbedingung und löschen Sie die Regex-Übereinstimmungsbedingung:

   1. Wählen Sie im Navigationsbereich **String and regex matching** aus.

   1. Wählen Sie die Regex-Übereinstimmungsbedingung aus, die Sie während des Tutorials erstellt haben.

   1. Aktivieren Sie das Kontrollkästchen für den Filter, den Sie hinzugefügt haben. 

   1. Wählen Sie **Delete filter**.

   1. Wählen Sie im Bereich **Regex match conditions** die Option **Delete**.

   1. Wählen Sie im Dialogfeld **Löschen** zur Bestätigung erneut **Löschen** aus.

1. Löschen Sie erst den Filter in Ihrer Größenbeschränkungsbedingung und dann die Größenbeschränkungsbedingung selbst:

   1. Wählen Sie im Navigationsbereich **Size constraints** aus.

   1. Wählen Sie die Größenbeschränkungsbedingung aus, die Sie während des Tutorials erstellt haben.

   1. Aktivieren Sie das Kontrollkästchen für den Filter, den Sie hinzugefügt haben. 

   1. Wählen Sie **Delete filter**.

   1. Wählen Sie im Bereich **Size constraint conditions** die Option **Löschen**.

   1. Wählen Sie im Dialogfeld **Löschen** zur Bestätigung erneut **Löschen** aus.

# Erstellen und Konfigurieren einer Web-Zugriffskontrollliste (Web-ACL)
<a name="classic-web-acl"></a>

**Warnung**  
AWS WAF Classic durchläuft derzeit einen geplanten end-of-life Prozess. In Ihrem AWS Health Dashboard finden Sie die Meilensteine und Daten, die für Ihre Region spezifisch sind.

**Anmerkung**  
Dies ist die **AWS WAF klassische** Dokumentation. Sie sollten diese Version nur verwenden, wenn Sie AWS WAF Ressourcen wie Regeln und Websites ACLs AWS WAF vor November 2019 erstellt und diese noch nicht auf die neueste Version migriert haben. Informationen zur Migration Ihrer Website finden Sie ACLs unter[Migrieren Sie Ihre AWS WAF Classic-Ressourcen zu AWS WAF](waf-migrating-from-classic.md).  
**Die neueste Version von** finden AWS WAF Sie unter[AWS WAF](waf-chapter.md). 

Eine Web-Zugriffskontrollliste (Web ACL) gibt Ihnen eine genaue Kontrolle über die Webanfragen, auf die Ihre Amazon API Gateway Gateway-API, CloudFront Amazon-Distribution oder Ihr Application Load Balancer reagiert. Sie können die folgenden Arten von Anforderungen zulassen oder blockieren: 
+ Stammen von einer IP-Adresse oder einem Bereich von IP-Adressen
+ Herkunft aus einem bestimmten Land oder Ländern
+ Enthält eine angegebene Zeichenfolge oder stimmt mit einem regulären Ausdruck (Regex) in einem bestimmten Teil von Anforderungen überein.
+ Überschreiten eine angegebene Länge
+ Enthalten möglicherweise schädlichen SQL-Code (bezeichnet als SQL Injection)
+ Enthalten möglicherweise schädliche Skripts (bezeichnet als Cross-Site-Scripting)

Sie können alle Kombinationen dieser Bedingungen testen oder Webanforderungen blockieren oder zählen, die nicht nur den angegebenen Bedingungen entsprechen, sondern auch in einem 5-Minuten-Zeitraum eine angegebene Anzahl von Anforderungen überschreiten. 

Um die Anforderungen auszuwählen, für die Sie den Zugriff auf Ihre Inhalte zulassen oder blockieren möchten, führen Sie die folgenden Aufgaben aus:

1. Wählen Sie eine der Standardaktionen Zulassen oder Blockieren für Webanforderungen aus, die keiner der angegebenen Bedingungen entsprechen. Weitere Informationen finden Sie unter [Bestimmen der Standardaktion für eine Web-ACL](classic-web-acl-default-action.md).

1. Geben Sie die Bedingungen an, unter denen Sie Anforderungen zulassen oder blockieren möchten:
   + Um Anforderungen basierend darauf, ob sie schädliche Skripts enthalten, zuzulassen oder zu blockieren, erstellen Sie Cross-Site-Scripting-Übereinstimmungsbedingungen. Weitere Informationen finden Sie unter [Arbeiten mit Cross-Site-Scripting-Übereinstimmungsbedingungen](classic-web-acl-xss-conditions.md).
   + Um auf IP-Adressen basierende Anforderungen zuzulassen oder zu blockieren, erstellen Sie IP-Übereinstimmungsbedingungen. Weitere Informationen finden Sie unter [Arbeiten mit IP-Übereinstimmungsbedingungen](classic-web-acl-ip-conditions.md).
   + Um Anforderungen basierend auf dem Land, aus dem sie stammen, zuzulassen oder zu blockieren, erstellen Sie Geo-Übereinstimmungsbedingungen. Weitere Informationen finden Sie unter [Arbeiten mit Geo-Übereinstimmungsbedingungen](classic-web-acl-geo-conditions.md).
   + Um Anforderungen basierend darauf, ob sie eine bestimmte Länge überschreiten, zuzulassen oder zu blockieren, erstellen Sie Größenbeschränkungsbedingungen. Weitere Informationen finden Sie unter [Arbeiten mit Größenbeschränkungsbedingungen](classic-web-acl-size-conditions.md).
   + Um Anforderungen basierend darauf, ob sie möglicherweise schädlichen SQL-Code enthalten, zuzulassen oder zu blockieren, erstellen Sie SQL Injections-Übereinstimmungsbedingungen. Weitere Informationen finden Sie unter [Arbeiten mit SQL Injections-Übereinstimmungsbedingungen](classic-web-acl-sql-conditions.md).
   + Um Anforderungen basierend auf darin enthaltenen Zeichenfolgen zuzulassen oder zu blockieren, erstellen Sie Zeichenfolgen-Übereinstimmungsbedingungen. Weitere Informationen finden Sie unter [Arbeiten mit Zeichenfolgen-Übereinstimmungsbedingungen](classic-web-acl-string-conditions.md).
   + Um Anforderungen zuzulassen oder zu blockieren, die auf einem Regex-Muster basieren, das in den Anforderungen angezeigt wird, erstellen Sie Regex-Übereinstimmungsbedingungen. Weitere Informationen finden Sie unter [Arbeiten mit Regex-Übereinstimmungsbedingungen](classic-web-acl-regex-conditions.md).

1. Fügen Sie die Bedingungen einer oder mehreren Regeln hinzu. Wenn Sie derselben Regel mehr als eine Bedingung hinzufügen, müssen Webanfragen alle Bedingungen erfüllen, damit AWS WAF Classic Anfragen basierend auf der Regel zulässt oder blockiert. Weitere Informationen finden Sie unter [Arbeiten mit Regeln](classic-web-acl-rules.md). Optional können Sie anstelle einer regulären Regel eine ratenbasierte Regel verwenden, um die Anzahl der Anfragen von jeder IP-Adresse, die die Bedingungen erfüllt, zu begrenzen.

1. Fügen Sie die Regeln zu einer Web-ACL hinzu. Geben Sie für jede Regel an, ob AWS WAF Classic Anfragen basierend auf den Bedingungen, die Sie der Regel hinzugefügt haben, zulassen oder blockieren soll. Wenn Sie einer Web-ACL mehr als eine Regel hinzufügen, bewertet AWS WAF Classic die Regeln in der Reihenfolge, in der sie in der Web-ACL aufgeführt sind. Weitere Informationen finden Sie unter [Mit dem Web arbeiten ACLs](classic-web-acl-working-with.md).

   Wenn Sie eine neue Regel hinzufügen oder bestehende Regeln aktualisieren, kann es bis zu einer Minute dauern, bis diese Änderungen in Ihrer Website und Ihren Ressourcen angezeigt ACLs und aktiv sind.

**Topics**
+ [Verwenden von Bedingungen](classic-web-acl-create-condition.md)
+ [Arbeiten mit Regeln](classic-web-acl-rules.md)
+ [Mit dem Web arbeiten ACLs](classic-web-acl-working-with.md)

# Verwenden von Bedingungen
<a name="classic-web-acl-create-condition"></a>

**Warnung**  
AWS WAF Classic durchläuft derzeit einen geplanten end-of-life Prozess. In Ihrem AWS Health Dashboard finden Sie die Meilensteine und Daten, die für Ihre Region spezifisch sind.

**Anmerkung**  
Dies ist die **AWS WAF klassische** Dokumentation. Sie sollten diese Version nur verwenden, wenn Sie AWS WAF Ressourcen wie Regeln und Websites ACLs AWS WAF vor November 2019 erstellt und diese noch nicht auf die neueste Version migriert haben. Informationen zur Migration Ihrer Website finden Sie ACLs unter[Migrieren Sie Ihre AWS WAF Classic-Ressourcen zu AWS WAF](waf-migrating-from-classic.md).  
**Die neueste Version von** finden AWS WAF Sie unter[AWS WAF](waf-chapter.md). 

Geben Sie die Bedingungen an, unter denen Sie Anforderungen zulassen oder blockieren möchten.
+ Um Anforderungen basierend darauf, ob sie schädliche Skripts enthalten, zuzulassen oder zu blockieren, erstellen Sie Cross-Site-Scripting-Übereinstimmungsbedingungen. Weitere Informationen finden Sie unter [Arbeiten mit Cross-Site-Scripting-Übereinstimmungsbedingungen](classic-web-acl-xss-conditions.md).
+ Um auf IP-Adressen basierende Anforderungen zuzulassen oder zu blockieren, erstellen Sie IP-Übereinstimmungsbedingungen. Weitere Informationen finden Sie unter [Arbeiten mit IP-Übereinstimmungsbedingungen](classic-web-acl-ip-conditions.md).
+ Um Anforderungen basierend auf dem Land, aus dem sie stammen, zuzulassen oder zu blockieren, erstellen Sie Geo-Übereinstimmungsbedingungen. Weitere Informationen finden Sie unter [Arbeiten mit Geo-Übereinstimmungsbedingungen](classic-web-acl-geo-conditions.md).
+ Um Anforderungen basierend darauf, ob sie eine bestimmte Länge überschreiten, zuzulassen oder zu blockieren, erstellen Sie Größenbeschränkungsbedingungen. Weitere Informationen finden Sie unter [Arbeiten mit Größenbeschränkungsbedingungen](classic-web-acl-size-conditions.md).
+ Um Anforderungen basierend darauf, ob sie möglicherweise schädlichen SQL-Code enthalten, zuzulassen oder zu blockieren, erstellen Sie SQL Injections-Übereinstimmungsbedingungen. Weitere Informationen finden Sie unter [Arbeiten mit SQL Injections-Übereinstimmungsbedingungen](classic-web-acl-sql-conditions.md).
+ Um Anforderungen basierend auf darin enthaltenen Zeichenfolgen zuzulassen oder zu blockieren, erstellen Sie Zeichenfolgen-Übereinstimmungsbedingungen. Weitere Informationen finden Sie unter [Arbeiten mit Zeichenfolgen-Übereinstimmungsbedingungen](classic-web-acl-string-conditions.md).
+ Um Anforderungen zuzulassen oder zu blockieren, die auf einem Regex-Muster basieren, das in den Anforderungen angezeigt wird, erstellen Sie Regex-Übereinstimmungsbedingungen. Weitere Informationen finden Sie unter [Arbeiten mit Regex-Übereinstimmungsbedingungen](classic-web-acl-regex-conditions.md).

**Topics**
+ [Arbeiten mit Cross-Site-Scripting-Übereinstimmungsbedingungen](classic-web-acl-xss-conditions.md)
+ [Arbeiten mit IP-Übereinstimmungsbedingungen](classic-web-acl-ip-conditions.md)
+ [Arbeiten mit Geo-Übereinstimmungsbedingungen](classic-web-acl-geo-conditions.md)
+ [Arbeiten mit Größenbeschränkungsbedingungen](classic-web-acl-size-conditions.md)
+ [Arbeiten mit SQL Injections-Übereinstimmungsbedingungen](classic-web-acl-sql-conditions.md)
+ [Arbeiten mit Zeichenfolgen-Übereinstimmungsbedingungen](classic-web-acl-string-conditions.md)
+ [Arbeiten mit Regex-Übereinstimmungsbedingungen](classic-web-acl-regex-conditions.md)

# Arbeiten mit Cross-Site-Scripting-Übereinstimmungsbedingungen
<a name="classic-web-acl-xss-conditions"></a>

**Warnung**  
AWS WAF Classic durchläuft einen geplanten end-of-life Prozess. In Ihrem AWS Health Dashboard finden Sie die Meilensteine und Daten, die für Ihre Region spezifisch sind.

**Anmerkung**  
Dies ist die **AWS WAF klassische** Dokumentation. Sie sollten diese Version nur verwenden, wenn Sie AWS WAF Ressourcen wie Regeln und Websites ACLs AWS WAF vor November 2019 erstellt und diese noch nicht auf die neueste Version migriert haben. Informationen zur Migration Ihrer Website finden Sie ACLs unter[Migrieren Sie Ihre AWS WAF Classic-Ressourcen zu AWS WAF](waf-migrating-from-classic.md).  
**Die neueste Version von** finden AWS WAF Sie unter[AWS WAF](waf-chapter.md). 

Angreifer fügen manchmal Skripts in Webanforderungen ein, um Schwachstellen in Webanwendungen auszunutzen. Sie können eine oder mehrere websiteübergreifende Scripting-Vergleichsbedingungen erstellen, um die Teile von Webanfragen zu identifizieren, z. B. den URI oder die Abfragezeichenfolge, die AWS WAF Classic auf mögliche bösartige Skripts untersuchen soll. Im weiteren Verlauf des Prozesses können Sie beim Erstellen einer Web-ACL angeben, ob Sie Anforderungen zulassen oder blockieren möchten, die schädliche Skripts enthalten.

**Topics**
+ [Erstellen von Cross-Site-Scripting-Übereinstimmungsbedingungen](#classic-web-acl-xss-conditions-creating)
+ [Werte, die Sie beim Erstellen oder Bearbeiten von Cross-Site-Scripting-Übereinstimmungsbedingungen angeben](#classic-web-acl-xss-conditions-values)
+ [Hinzufügen und Löschen von Filtern in einer Cross-Site-Scripting-Übereinstimmungsbedingung](#classic-web-acl-xss-conditions-editing)
+ [Löschen von Cross-Site-Scripting-Übereinstimmungsbedingungen](#classic-web-acl-xss-conditions-deleting)

## Erstellen von Cross-Site-Scripting-Übereinstimmungsbedingungen
<a name="classic-web-acl-xss-conditions-creating"></a>

Beim Erstellen von Cross-Site-Scripting-Übereinstimmungsbedingungen geben Sie Filter an. Die Filter geben den Teil der Webanfragen an, den AWS WAF Classic auf schädliche Skripts untersuchen soll, z. B. den URI oder die Abfragezeichenfolge. Sie können einer Cross-Site-Scripting-Übereinstimmungsbedingung mehrere Filter hinzufügen oder eine separate Bedingung für jeden Filter erstellen. So wirkt sich jede Konfiguration auf das Verhalten von AWS WAF Classic aus:
+ **Mehr als ein Filter pro Cross-Site-Scripting-Übereinstimmungsbedingung (empfohlen)** — Wenn Sie einer Regel eine Cross-Site-Scripting-Abgleichsbedingung hinzufügen, die mehrere Filter enthält, und die Regel einer Web-ACL hinzufügen, muss eine Webanforderung nur einem der Filter in der Cross-Site-Scripting-Abgleichsbedingung entsprechen, damit AWS WAF Classic die Anfrage auf der Grundlage dieser Bedingung zulässt oder blockiert.

  Beispiel: Sie erstellen eine Cross-Site-Scripting-Übereinstimmungsbedingung, die zwei Filter enthält. Ein Filter weist AWS WAF Classic an, den URI auf schädliche Skripts zu untersuchen, und der andere weist AWS WAF Classic an, die Abfragezeichenfolge zu untersuchen. AWS WAF Classic lässt Anfragen zu oder blockiert sie, wenn sie bösartige Skripts *entweder* im URI *oder* in der Abfragezeichenfolge zu enthalten scheinen.
+ **Ein Filter pro Cross-Site-Scripting-Übereinstimmungsbedingung** — Wenn Sie die separaten Cross-Site-Scripting-Abgleichsbedingungen zu einer Regel hinzufügen und die Regel zu einer Web-ACL hinzufügen, müssen Webanfragen alle Bedingungen erfüllen, damit AWS WAF Classic Anfragen basierend auf den Bedingungen zulassen oder blockieren kann. 

  Angenommen Sie erstellen zwei Bedingungen, die jeweils einen der beiden Filter im vorherigen Beispiel enthalten. Wenn Sie beide Bedingungen zu derselben Regel hinzufügen und die Regel zu einer Web-ACL hinzufügen, erlaubt oder blockiert AWS WAF Classic Anfragen nur, wenn sowohl der URI als auch die Abfragezeichenfolge schädliche Skripts zu enthalten scheinen.

**Anmerkung**  
Wenn Sie einer Regel eine Cross-Site-Scripting-Abgleichsbedingung hinzufügen, können Sie AWS WAF Classic auch so konfigurieren, dass Webanfragen, die *keine* schädlichen Skripts zu enthalten scheinen, zugelassen oder blockiert werden.<a name="classic-web-acl-xss-conditions-creating-procedure"></a>

**So erstellen Sie eine Cross-Site Scripting-Übereinstimmungsbedingung**

1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die AWS WAF Konsole unter. [https://console.aws.amazon.com/wafv2/](https://console.aws.amazon.com/wafv2/) 

   Wenn im Navigationsbereich **Zu AWS WAF Classic wechseln** angezeigt wird, wählen Sie es aus.

1. Wählen Sie im Navigationsbereich **Cross-site scripting**.

1. Wählen Sie **Create condition**.

1. Geben Sie die entsprechenden Filtereinstellungen an. Weitere Informationen finden Sie unter [Werte, die Sie beim Erstellen oder Bearbeiten von Cross-Site-Scripting-Übereinstimmungsbedingungen angeben](#classic-web-acl-xss-conditions-values).

1. Wählen Sie **Add another filter**.

1. Wenn Sie einen anderen Filter hinzufügen möchten, wiederholen Sie die Schritte 4 und 5.

1. Wählen Sie danach **Erstellen** aus.

## Werte, die Sie beim Erstellen oder Bearbeiten von Cross-Site-Scripting-Übereinstimmungsbedingungen angeben
<a name="classic-web-acl-xss-conditions-values"></a>

Beim Erstellen oder Aktualisieren einer Cross-Site-Scripting-Übereinstimmungsbedingung, geben Sie die folgenden Werte an: 

**Name**  
Der Name der Cross-Site-Scripting-Übereinstimmungsbedingung.  
Der Name darf nur die Zeichen A-Z, a-z, 0-9 und die folgenden Sonderzeichen enthalten: \$1-\$1"\$1`\$1\$1\$1,./ . Sie können den Namen einer Bedingung nicht mehr ändern, nachdem Sie sie erstellt haben.

**Teil der Anforderung, nach dem gefiltert werden soll**  
Wählen Sie den Teil jeder Webanfrage aus, den AWS WAF Classic auf bösartige Skripts untersuchen soll:    
**Header**  
Ein angegebener Anforderungs-Header, wie z. B. der `User-Agent`- oder `Referer`-Header. Wenn Sie **Header** auswählen, geben Sie den Namen des Headers im Feld **Header** an.  
**HTTP-Methode**  
Die HTTP-Methode, die den Typ der Operation angibt, die der Ursprung aufgrund der Anforderung ausführen soll. CloudFront unterstützt die folgenden Methoden: `DELETE`, `GET`, `HEAD`, `OPTIONS`, `PATCH`, `POST` und `PUT`.  
**Abfragezeichenfolge**  
Der Teil einer URL nach einem `?`-Zeichen, sofern vorhanden.  
Für Cross-Site-Scripting-Übereinstimmungsbedingungen empfehlen wir, dass Sie **All query parameters (values only) (Alle Abfrageparameter (nur Werte))** anstelle von **Query string (Abfragezeichenfolge)** für **Part of the request to filter on (Teil der Anforderung, nach dem gefiltert werden soll)** auswählen.  
**URI**  
Der URI-Pfad der Anfrage, der die Ressource identifiziert, `/images/daily-ad.jpg` z. B. Dies beinhaltet nicht die Abfragezeichenfolge oder die Fragmentkomponenten der URI. Informationen dazu finden Sie unter [Uniform Resource Identifier (URI): Generic Syntax](https://tools.ietf.org/html/rfc3986#section-3.3).   
Sofern keine **Transformation** angegeben ist, ist ein URI nicht normalisiert und wird genauso geprüft, wie er im Rahmen der Anfrage vom Client AWS empfangen wird. Eine **Transformation** formatiert die URI wie vorgegeben neu.  
**Fließtext**  
Der Teil einer Anforderung, der zusätzliche Daten enthält, die Sie als HTTP-Anforderungstext an Ihren Webserver senden möchten, wie z. B. Formulardaten.  
Wenn Sie für den Wert **Teil der Anforderung, nach dem gefiltert werden soll**, **Body** wählen, untersucht AWS WAF Classic nur die ersten 8192 Byte (8 KB). Um Anfragen zuzulassen oder zu blockieren, deren Hauptteil länger als 8192 Byte ist, können Sie eine Größenbeschränkungsbedingung erstellen. (AWS WAF Classic ermittelt die Länge des Hauptteils aus den Anforderungsheadern.) Weitere Informationen finden Sie unter [Arbeiten mit Größenbeschränkungsbedingungen](classic-web-acl-size-conditions.md).  
**Einzelner Abfrageparameter (ausschließlich Wert)**  
Jeder Parameter, den Sie als Teil der Abfragezeichenfolge definiert haben. Wenn die URL beispielsweise „www.xyz.com? UserName =abc& SalesRegion =seattle“ lautet, können Sie entweder dem Parameter oder einen Filter hinzufügen. *UserName*SalesRegion**   
Wenn Sie **Einzelner Abfrageparamter (ausschließlich Wert)** auswählen, legen Sie auch einen **Abfrageparameternamen** fest. Dies ist der Parameter in der Abfragezeichenfolge, den Sie überprüfen werden, z. B. oder. *UserName*SalesRegion** Die maximale Länge für den **Abfrageparameternamen** beträgt 30 Zeichen. Der **Abfrageparametername** berücksichtigt keine Groß- und Kleinschreibung. Wenn Sie beispielsweise den **Namen des *UserName*Abfrageparameters** angeben, entspricht dieser Wert allen Varianten von *UserName*, z. B. *username* und *Us ERName*.  
**Alle Abfrageparameter (ausschließlich Werte)**  
Ähnlich wie **Einzelner Abfrageparameter (nur Wert)**, untersucht AWS WAF Classic jedoch nicht die Werte eines einzelnen Parameters, sondern alle Parameterwerte innerhalb der Abfragezeichenfolge auf mögliche bösartige Skripts. Wenn die URL beispielsweise „www.xyz.com? UserName =abc& SalesRegion =seattle“ lautet und Sie **Alle Abfrageparameter (nur Werte)** auswählen, löst AWS WAF Classic eine Übereinstimmung aus, wenn es sich entweder um den Wert von oder um mögliche bösartige Skripts handelt. *UserName*SalesRegion** 

**Header**  
Wenn Sie **Header** für **Teil der Anfrage, nach der gefiltert werden soll, ausgewählt haben, wählen Sie einen Header aus der Liste der allgemeinen Header aus, oder geben Sie den Namen eines Headers ein, den Classic auf** bösartige Skripts untersuchen soll. AWS WAF 

**Transformation**  
Eine Transformation formatiert eine Webanforderung neu, bevor AWS WAF Classic die Anfrage überprüft. Dadurch werden einige der ungewöhnlichen Formatierungen vermieden, die Angreifer in Webanfragen verwenden, um Classic zu umgehen AWS WAF .   
Sie können nur einen einzigen Texttransformationstyp angeben.  
Transformationen können die folgenden Vorgänge ausführen:    
**Keine**  
AWS WAF Classic führt keine Texttransformationen an der Webanforderung durch, bevor überprüft wird, ob die Zeichenfolge in **Value übereinstimmt**.  
**In Kleinbuchstaben konvertieren**  
AWS WAF Classic konvertiert Großbuchstaben (A-Z) in Kleinbuchstaben (a-z).  
**HTML-Dekodierung**  
AWS WAF Classic ersetzt HTML-kodierte Zeichen durch unkodierte Zeichen:  
+ Ersetzt `&quot;` durch `&`
+ Ersetzt `&nbsp;` durch ein geschütztes Leerzeichen
+ Ersetzt `&lt;` durch `<`
+ Ersetzt `&gt;` durch `>`
+ Ersetzt Zeichen im Hexadezimalformat `&#xhhhh;` mit dem entsprechenden Zeichen
+ Ersetzt Zeichen im Dezimalformat `&#nnnn;` mit dem entsprechenden Zeichen  
**Leerzeichen normalisieren**  
AWS WAF Classic ersetzt die folgenden Zeichen durch ein Leerzeichen (Dezimalzahl 32):  
+ \$1f, Zeilenvorschubzeichen, Dezimalzahl 12
+ \$1t, Tabulator, Dezimalzahl 9
+ \$1n, Zeilenumbruch, Dezimalzahl 10
+ \$1r, Wagenrücklauf, Dezimalzahl 13
+ \$1v, vertikaler Tabulator, Dezimalzahl 11
+ geschütztes Leerzeichen, Dezimalzahl 160
Diese Option ersetzt mehrere aufeinanderfolgende Leerzeichen durch 1 Leerzeichen.  
**Vereinfachen der Befehlszeile**  
Verwenden Sie diese Option für Anforderungen mit Befehlszeilen-Befehlen des Betriebssystems, um folgende Transformationen auszuführen:  
+ Löschen der folgenden Zeichen: \$1 " ' ^
+ Löschen von Leerzeichen vor den folgenden Zeichen: / (
+ Ersetzen der folgenden Zeichen durch ein Leerzeichen: , ;
+ Ersetzen mehrerer Leerzeichen durch ein Leerzeichen
+ Konvertieren von Groß- (A-Z) in Kleinbuchstaben (a-z)  
**URL-Dekodierung**  
Dekodieren Sie eine URL-kodierte Anforderung.

## Hinzufügen und Löschen von Filtern in einer Cross-Site-Scripting-Übereinstimmungsbedingung
<a name="classic-web-acl-xss-conditions-editing"></a>

Sie können die Filter in einer Cross-Site-Scripting-Übereinstimmungsbedingung hinzufügen oder löschen. Um einen Filter zu ändern, fügen Sie einen neuen hinzu und löschen den alten.<a name="classic-web-acl-xss-conditions-editing-procedure"></a>

**So fügen Sie Filter in einer Cross-Site-Scripting-Übereinstimmungsbedingung hinzu oder löschen diese**

1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die AWS WAF Konsole unter [https://console.aws.amazon.com/wafv2/](https://console.aws.amazon.com/wafv2/). 

   Wenn im Navigationsbereich **Zu AWS WAF Classic wechseln** angezeigt wird, wählen Sie es aus.

1. Wählen Sie im Navigationsbereich **Cross-site scripting**.

1. Wählen Sie die Bedingung aus, die Sie Filtern hinzufügen oder daraus löschen möchten.

1. Um Filter hinzuzufügen, führen Sie die folgenden Schritte aus:

   1. Wählen Sie **Add filter**.

   1. Geben Sie die entsprechenden Filtereinstellungen an. Weitere Informationen finden Sie unter [Werte, die Sie beim Erstellen oder Bearbeiten von Cross-Site-Scripting-Übereinstimmungsbedingungen angeben](#classic-web-acl-xss-conditions-values).

   1. Wählen Sie **Hinzufügen** aus.

1. Um Filter zu löschen, führen Sie die folgenden Schritte aus:

   1. Wählen Sie den Filter aus, den Sie löschen möchten.

   1. Wählen Sie **Delete filter**.

## Löschen von Cross-Site-Scripting-Übereinstimmungsbedingungen
<a name="classic-web-acl-xss-conditions-deleting"></a>

Wenn Sie eine Cross-Site-Scripting-Übereinstimmungsbedingung löschen möchten, müssen Sie alle Filter in der Bedingung löschen und diese aus allen Regeln löschen, die sie verwenden. Dies wird im Folgenden beschrieben.<a name="classic-web-acl-xss-conditions-deleting-procedure"></a>

**So löschen Sie eine Cross-Site Scripting-Übereinstimmungsbedingung**

1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die AWS WAF Konsole unter [https://console.aws.amazon.com/wafv2/](https://console.aws.amazon.com/wafv2/). 

   Wenn im Navigationsbereich **Zu AWS WAF Classic wechseln** angezeigt wird, wählen Sie es aus.

1. Wählen Sie im Navigationsbereich **Cross-site scripting**.

1. Wählen Sie im Bereich **Cross-site scripting match conditions** die Cross-site Scripting-Übereinstimmungsbedingung aus, die Sie löschen möchten.

1. Wählen Sie im rechten Bereich die Registerkarte **Associated rules** aus.

   Wenn die Liste der Regeln, die diese Cross-Site Scripting-Übereinstimmungsbedingung verwenden, leer ist, fahren Sie mit Schritt 6 fort. Wenn die Liste Regeln enthält, notieren Sie sich diese und fahren Sie mit Schritt 5 fort.

1. Um die Cross-Site Scripting-Übereinstimmungsbedingung aus den Regeln, die diese verwenden, zu entfernen, führen Sie die folgenden Schritte aus:

   1. Wählen Sie im Navigationsbereich **Regeln** aus.

   1. Wählen Sie den Namen einer Regel aus, die die Cross-Site Scripting-Übereinstimmungsbedingung verwendet, die Sie löschen möchten.

   1. Wählen Sie im rechten Bereich die Cross-Site Scripting-Übereinstimmungsbedingung aus, die Sie aus der Regel entfernen möchten, und wählen Sie **Remove selected condition** aus.

   1. Wiederholen Sie die Schritte b und c für alle übrigen Regeln, die die Cross-Site Scripting-Übereinstimmungsbedingung verwenden, die Sie löschen möchten.

   1. Wählen Sie im Navigationsbereich **Cross-site scripting**.

   1. Wählen Sie im Bereich **Cross-site scripting match conditions** die Cross-site Scripting-Übereinstimmungsbedingung aus, die Sie löschen möchten.

1. Wählen Sie **Löschen** aus, um diese Bedingung zu löschen.

# Arbeiten mit IP-Übereinstimmungsbedingungen
<a name="classic-web-acl-ip-conditions"></a>

**Warnung**  
AWS WAF Classic durchläuft einen geplanten end-of-life Prozess. In Ihrem AWS Health Dashboard finden Sie die Meilensteine und Daten, die für Ihre Region spezifisch sind.

**Anmerkung**  
Dies ist die **AWS WAF klassische** Dokumentation. Sie sollten diese Version nur verwenden, wenn Sie AWS WAF Ressourcen wie Regeln und Websites ACLs AWS WAF vor November 2019 erstellt und diese noch nicht auf die neueste Version migriert haben. Informationen zur Migration Ihrer Website finden Sie ACLs unter[Migrieren Sie Ihre AWS WAF Classic-Ressourcen zu AWS WAF](waf-migrating-from-classic.md).  
**Die neueste Version von** finden AWS WAF Sie unter[AWS WAF](waf-chapter.md). 

Um Webanforderungen basierend auf den IP-Adressen zuzulassen oder zu blockieren, von denen sie stammen, erstellen Sie eine oder mehrere IP-Übereinstimmungsbedingungen. Eine IP-Übereinstimmungsbedingung listet bis zu 10,000 IP-Adressen oder IP-Adressbereiche auf, von denen die Anforderungen stammen. Im weiteren Verlauf des Prozesses können Sie beim Erstellen einer Web-ACL angeben, ob Anforderungen von diesen IP-Adressen zugelassen oder blockiert werden sollen.

**Topics**
+ [Erstellen einer IP-Übereinstimmungsbedingung](#classic-web-acl-ip-conditions-creating)
+ [Bearbeiten von IP-Übereinstimmungsbedingungen](#classic-web-acl-ip-conditions-editing)
+ [Löschen von IP-Übereinstimmungsbedingungen](#classic-web-acl-ip-conditions-deleting)

## Erstellen einer IP-Übereinstimmungsbedingung
<a name="classic-web-acl-ip-conditions-creating"></a>

Wenn Sie möchten, dass einige Webanforderungen zugelassen und andere basierend auf den IP-Adressen, von denen sie stammen, blockiert werden sollen, erstellen Sie jeweils eine IP-Übereinstimmungsbedingung für IP-Adressen, die Sie zulassen und die Sie blockieren möchten.

**Anmerkung**  
Wenn Sie einer Regel eine IP-Übereinstimmungsbedingung hinzufügen, können Sie AWS WAF Classic auch so konfigurieren, dass Webanfragen zugelassen oder blockiert werden, die *nicht* von den IP-Adressen stammen, die Sie in der Bedingung angeben.<a name="classic-web-acl-ip-conditions-creating-procedure"></a>

**So erstellen Sie eine IP-Übereinstimmungsbedingung**

1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die AWS WAF Konsole unter [https://console.aws.amazon.com/wafv2/](https://console.aws.amazon.com/wafv2/). 

   Wenn im Navigationsbereich **Zu AWS WAF Classic wechseln** angezeigt wird, wählen Sie es aus.

1. Wählen Sie im Navigationsbereich **IP addresses** aus.

1. Wählen Sie **Create condition**.

1. Geben Sie einen Namen in das Feld **Name** ein.

   Der Name darf nur alphanumerische Zeichen (A-Z, a-z, 0-9) oder die folgenden Sonderzeichen enthalten: \$1-\$1"\$1`\$1\$1\$1,./ . Sie können den Namen einer Bedingung nicht mehr ändern, nachdem Sie sie erstellt haben.

1. Wählen Sie die richtige IP-Version aus und geben Sie eine oder mehrere IP-Adressen mithilfe der CIDR-Notation an. Hier sind einige Beispiele:
   + **Um die IPv4 Adresse 192.0.2.44 anzugeben, geben Sie 192.0.2.44/32 ein.**
   + **Um die IPv6 Adresse 0:0:0:0:0:ffff:c 000:22 c anzugeben, geben Sie 0:0:0:0:0:ffff:c 000:22 c/128 ein.**
   + **Um den Adressbereich von 192.0.2.0 bis IPv4 192.0.2.255 anzugeben, geben Sie 192.0.2.0/24 ein.**
   + **Um den IPv6 Adressbereich von 2620:0:2 d 0:200:0:0:0 bis 2620:0:2 d 0:200:ffff:ffff:ffff:ffff anzugeben, geben Sie 2620:0:2 d 0:200: :/64 ein.**

   AWS WAF Classic unterstützt IPv4 die Adressbereiche: /8 und jeden Bereich zwischen /16 und /32. AWS WAF Classic unterstützt die IPv6 Adressbereiche: /24, /32, /48, /56, /64 und /128. Weitere Informationen zur CIDR-Notation finden Sie im Wikipedia-Artikel [Classless Inter-Domain Routing](https://en.wikipedia.org/wiki/Classless_Inter-Domain_Routing).

1. Wählen Sie **Add another IP address or range**.

1. Wenn Sie eine andere IP-Adresse bzw. einen anderen Bereich hinzufügen möchten, wiederholen Sie die Schritte 5 und 6.

1. Wenn Sie alle Werte hinzugefügt haben wählen Sie **Create IP match condition**.

## Bearbeiten von IP-Übereinstimmungsbedingungen
<a name="classic-web-acl-ip-conditions-editing"></a>

Sie können einen IP-Adressbereich einer IP-Übereinstimmungsbedingung hinzufügen oder ihn löschen. Um einen Bereich zu ändern, fügen Sie eine neue Adresse hinzu und löschen die bisherige Adresse.<a name="classic-web-acl-ip-conditions-editing-procedure"></a>

**So bearbeiten Sie eine IP-Übereinstimmungsbedingung**

1. Melden Sie sich bei der an und öffnen Sie die Konsole unter. AWS-Managementkonsole AWS WAF [https://console.aws.amazon.com/wafv2/](https://console.aws.amazon.com/wafv2/) 

   Wenn im Navigationsbereich **Zu AWS WAF Classic wechseln** angezeigt wird, wählen Sie es aus.

1. Wählen Sie im Navigationsbereich **IP addresses** aus.

1. Wählen Sie im Bereich **IP match conditions** die IP-Übereinstimmungsbedingung aus, die Sie bearbeiten möchten.

1. So fügen Sie einen IP-Adressbereich hinzu:

   1. Wählen Sie im rechten Bereich **Add IP address or range**.

   1. Wählen Sie die richtige IP-Version aus und geben Sie einen IP-Adressbereich in der CIDR-Notation ein. Hier sind einige Beispiele:
      + **Um die IPv4 Adresse 192.0.2.44 anzugeben, geben Sie 192.0.2.44/32 ein.**
      + **Um die IPv6 Adresse 0:0:0:0:0:ffff:c 000:22 c anzugeben, geben Sie 0:0:0:0:0:ffff:c 000:22 c/128 ein.**
      + **Um den Adressbereich von 192.0.2.0 bis IPv4 192.0.2.255 anzugeben, geben Sie 192.0.2.0/24 ein.**
      + **Um den IPv6 Adressbereich von 2620:0:2 d 0:200:0:0:0 bis 2620:0:2 d 0:200:ffff:ffff:ffff:ffff:ffff anzugeben, geben Sie 2620:0:2 d 0:200: :/64 ein.**

      AWS WAF Classic unterstützt IPv4 die Adressbereiche: /8 und jeden Bereich zwischen /16 und /32. AWS WAF Classic unterstützt die IPv6 Adressbereiche: /24, /32, /48, /56, /64 und /128. Weitere Informationen zur CIDR-Notation finden Sie im Wikipedia-Artikel [Classless Inter-Domain Routing](https://en.wikipedia.org/wiki/Classless_Inter-Domain_Routing).

   1. Um weitere IP-Adressen hinzuzufügen, wählen Sie **Add another IP address (Weitere IP-Adresse hinzufügen)** und geben Sie den Wert ein.

   1. Wählen Sie **Hinzufügen** aus.

1. So löschen Sie eine IP-Adresse oder einen Bereich:

   1. Wählen Sie im rechten Bereich die Werte aus, die Sie löschen möchten.

   1. Wählen Sie **Delete IP address or range**.

## Löschen von IP-Übereinstimmungsbedingungen
<a name="classic-web-acl-ip-conditions-deleting"></a>

Wenn Sie eine IP-Übereinstimmungsbedingung löschen möchten, müssen Sie zunächst alle IP-Adressen und Bereiche daraus löschen und die Bedingung aus allen Regeln entfernen, die sie verwenden. Dies wird im Folgenden beschrieben.<a name="classic-web-acl-ip-conditions-deleting-procedure"></a>

**So löschen Sie eine IP-Übereinstimmungsbedingung**

1. Melden Sie sich bei der an und öffnen Sie die Konsole unter. AWS-Managementkonsole AWS WAF [https://console.aws.amazon.com/wafv2/](https://console.aws.amazon.com/wafv2/) 

   Wenn im Navigationsbereich **Zu AWS WAF Classic wechseln** angezeigt wird, wählen Sie es aus.

1. Wählen Sie im Navigationsbereich **IP addresses** aus.

1. Wählen Sie im Bereich **IP match conditions** die IP-Übereinstimmungsbedingung aus, die Sie löschen möchten.

1. Wählen Sie im rechten Bereich die Registerkarte **Rules** aus.

   Wenn die Liste der Regeln, die diese IP-Übereinstimmungsbedingung verwenden, leer ist, fahren Sie mit Schritt 6 fort. Wenn die Liste Regeln enthält, notieren Sie sich diese und fahren Sie mit Schritt 5 fort.

1. Um die IP-Übereinstimmungsbedingung aus den Regeln, die diese verwenden, zu entfernen, führen Sie die folgenden Schritte aus:

   1. Wählen Sie im Navigationsbereich **Regeln** aus.

   1. Wählen Sie den Namen einer Regel aus, die die IP-Übereinstimmungsbedingung verwendet, die Sie löschen möchten.

   1. Wählen Sie im rechten Bereich die IP-Übereinstimmungsbedingung aus, die Sie aus der Regel entfernen möchten, und wählen Sie **Remove selected condition** aus.

   1. Wiederholen Sie die Schritte b und c für alle übrigen Regeln, die die IP-Übereinstimmungsbedingung verwenden, die Sie löschen möchten.

   1. Wählen Sie im Navigationsbereich **IP match conditions** aus.

   1. Wählen Sie im Bereich **IP match conditions** die IP-Übereinstimmungsbedingung aus, die Sie löschen möchten.

1. Wählen Sie **Löschen** aus, um diese Bedingung zu löschen.

# Arbeiten mit Geo-Übereinstimmungsbedingungen
<a name="classic-web-acl-geo-conditions"></a>

**Warnung**  
AWS WAF Classic durchläuft derzeit einen geplanten end-of-life Prozess. In Ihrem AWS Health Dashboard finden Sie die Meilensteine und Daten, die für Ihre Region spezifisch sind.

**Anmerkung**  
Dies ist die **AWS WAF klassische** Dokumentation. Sie sollten diese Version nur verwenden, wenn Sie AWS WAF Ressourcen wie Regeln und Websites ACLs AWS WAF vor November 2019 erstellt und diese noch nicht auf die neueste Version migriert haben. Informationen zur Migration Ihrer Website finden Sie ACLs unter[Migrieren Sie Ihre AWS WAF Classic-Ressourcen zu AWS WAF](waf-migrating-from-classic.md).  
**Die neueste Version von** finden AWS WAF Sie unter[AWS WAF](waf-chapter.md). 

Um Webanforderungen basierend auf den IP-Adressen zuzulassen oder zu blockieren, basierend auf dem Land, von denen sie stammen, erstellen Sie eine oder mehrere Geo-Übereinstimmungsbedingungen. Eine geografische Übereinstimmungsbedingung listet die Länder auf, aus denen Ihre Anfragen stammen. Im weiteren Verlauf des Prozesses können Sie beim Erstellen einer Web-ACL angeben, ob Anforderungen von diesen Ländern zugelassen oder blockiert werden sollen.

Sie können Geo-Match-Bedingungen zusammen mit anderen AWS WAF Classic-Bedingungen oder -Regeln verwenden, um eine ausgeklügelte Filterung zu erstellen. Wenn Sie beispielsweise bestimmte Länder blockieren möchten, aber dennoch bestimmte IP-Adressen aus diesem Land zulassen möchten, können Sie eine Regel erstellen, die eine Geo-Übereinstimmungsbedingung und eine IP-Übereinstimmungsbedingung enthält. Konfigurieren Sie die Regel so, dass Anforderungen blockiert werden, die aus diesem Land stammen und nicht mit den genehmigten IP-Adressen übereinstimmen. Wenn Sie beispielsweise Ressourcen für Benutzer in einem bestimmten Land priorisieren möchten, können Sie eine Geo-Übereinstimmungsbedingung in zwei verschiedene ratenbasierte Regeln einschließen. Legen Sie für Benutzer im bevorzugten Land eine höhere Ratenbegrenzung fest und legen Sie für alle anderen Benutzer eine niedrigere Ratenbegrenzung fest.

**Anmerkung**  
Wenn Sie die CloudFront Geobeschränkungsfunktion verwenden, um ein Land am Zugriff auf Ihre Inhalte zu hindern, wird jede Anfrage aus diesem Land blockiert und nicht an AWS WAF Classic weitergeleitet. Wenn du also Anfragen aufgrund der geografischen Lage und anderer AWS WAF klassischer Bedingungen zulassen oder blockieren möchtest, solltest du die Funktion zur CloudFront geografischen Beschränkung *nicht* verwenden. Stattdessen sollten Sie eine AWS WAF klassische Geo-Match-Bedingung verwenden.

**Topics**
+ [Erstellen einer Geo-Übereinstimmungsbedingung](#classic-web-acl-geo-conditions-creating)
+ [Bearbeiten von Geo-Übereinstimmungsbedingungen](#classic-web-acl-geo-conditions-editing)
+ [Löschen von Geo-Übereinstimmungsbedingungen](#classic-web-acl-geo-conditions-deleting)

## Erstellen einer Geo-Übereinstimmungsbedingung
<a name="classic-web-acl-geo-conditions-creating"></a>

Wenn Sie möchten, dass einige Webanforderungen zugelassen und andere basierend auf den Geo-Adressen, von denen sie stammen, blockiert werden sollen, erstellen Sie jeweils eine Geo-Übereinstimmungsbedingung für IP-Adressen, die Sie zulassen und die Sie blockieren möchten.

**Anmerkung**  
Wenn Sie einer Regel eine Geo-Match-Bedingung hinzufügen, können Sie AWS WAF Classic auch so konfigurieren, dass Webanfragen zugelassen oder blockiert werden, die *nicht* aus dem Land stammen, das Sie in der Bedingung angegeben haben.<a name="classic-web-acl-geo-conditions-creating-procedure"></a>

**So erstellen Sie eine Geo-Übereinstimmungsbedingung**

1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die AWS WAF Konsole unter [https://console.aws.amazon.com/wafv2/](https://console.aws.amazon.com/wafv2/). 

   Wenn im Navigationsbereich **Zu AWS WAF Classic wechseln** angezeigt wird, wählen Sie es aus.

1. Wählen Sie im Navigationsbereich **Geo match** aus.

1. Wählen Sie **Create condition**.

1. Geben Sie einen Namen in das Feld **Name** ein.

   Der Name darf nur alphanumerische Zeichen (A-Z, a-z, 0-9) oder die folgenden Sonderzeichen enthalten: \$1-\$1"\$1`\$1\$1\$1,./ . Sie können den Namen einer Bedingung nicht mehr ändern, nachdem Sie sie erstellt haben.

1. Region wählen **Region**.

1. Wählen Sie einen **Standorttyp** und ein Land. Der**Location type (Standorttyp)** kann derzeit nur **Country (Land)** sein.

1. Wählen Sie **Add location**.

1. Wählen Sie **Erstellen** aus.

## Bearbeiten von Geo-Übereinstimmungsbedingungen
<a name="classic-web-acl-geo-conditions-editing"></a>

Sie können Länder zu Ihrer Geo-Übereinstimmungsbedingung hinzufügen oder löschen.<a name="classic-web-acl-geo-conditions-editing-procedure"></a>

**So bearbeiten Sie eine Geo-Übereinstimmungsbedingung**

1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die AWS WAF Konsole unter [https://console.aws.amazon.com/wafv2/](https://console.aws.amazon.com/wafv2/). 

   Wenn im Navigationsbereich **Zu AWS WAF Classic wechseln** angezeigt wird, wählen Sie es aus.

1. Wählen Sie im Navigationsbereich **Geo match** aus.

1. Wählen Sie im Bereich **Geo match conditions** die Geo-Übereinstimmungsbedingung aus, die Sie bearbeiten möchten.

1. So fügen Sie ein Land hinzu:

   1. Wählen Sie im rechten Bereich **Add filter** aus.

   1. Wählen Sie einen **Standorttyp** und ein Land. Der**Location type (Standorttyp)** kann derzeit nur **Country (Land)** sein.

   1. Wählen Sie **Hinzufügen** aus.

1. Löschen eines Landes:

   1. Wählen Sie im rechten Bereich die Werte aus, die Sie löschen möchten.

   1. Wählen Sie **Delete filter**.

## Löschen von Geo-Übereinstimmungsbedingungen
<a name="classic-web-acl-geo-conditions-deleting"></a>

Wenn Sie eine Geo-Übereinstimmungsbedingung löschen möchten, müssen Sie zunächst alle Länder daraus löschen und die Bedingung aus allen Regeln entfernen, die sie verwenden. Dies wird im Folgenden beschrieben.<a name="classic-web-acl-geo-conditions-deleting-procedure"></a>

**So löschen Sie eine Geo-Übereinstimmungsbedingung**

1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die AWS WAF Konsole unter [https://console.aws.amazon.com/wafv2/](https://console.aws.amazon.com/wafv2/). 

   Wenn im Navigationsbereich **Zu AWS WAF Classic wechseln** angezeigt wird, wählen Sie es aus.

1. Entfernen Sie die Geo-Übereinstimmungsbedingung aus den Regeln, die sie verwenden:

   1. Wählen Sie im Navigationsbereich **Regeln** aus.

   1. Wählen Sie den Namen einer Regel aus, die die Geo-Übereinstimmungsbedingung verwendet, die Sie löschen möchten.

   1. Wählen Sie im rechten Bereich die Registerkarte **Edit rule** aus.

   1. Wählen Sie **X** neben der Bedingung, die Sie löschen möchten.

   1. Wählen Sie **Aktualisieren** aus.

   1. Wiederholen Sie das für alle übrigen Regeln, die die Geo-Übereinstimmungsbedingung verwenden, die Sie löschen möchten.

1. Entfernen Sie die Filter aus der Bedingung, die Sie löschen möchten:

   1. Wählen Sie im Navigationsbereich **Geo match** aus.

   1. Klicken Sie auf den Namen der Geo-Übereinstimmungsbedingung, die Sie löschen möchten.

   1. Aktivieren Sie im rechten Fenster das Kontrollkästchen neben **Filter**, um alle Filter auszuwählen.

   1. Wählen Sie **Delete filter**.

1. Wählen Sie im Navigationsbereich **Geo match** aus.

1. Wählen Sie im Bereich **Geo match conditions** die Geo-Übereinstimmungsbedingung aus, die Sie löschen möchten.

1. Wählen Sie **Löschen** aus, um diese Bedingung zu löschen.

# Arbeiten mit Größenbeschränkungsbedingungen
<a name="classic-web-acl-size-conditions"></a>

**Warnung**  
AWS WAF Classic durchläuft einen geplanten end-of-life Prozess. In Ihrem AWS Health Dashboard finden Sie die Meilensteine und Daten, die für Ihre Region spezifisch sind.

**Anmerkung**  
Dies ist die **AWS WAF klassische** Dokumentation. Sie sollten diese Version nur verwenden, wenn Sie AWS WAF Ressourcen wie Regeln und Websites ACLs AWS WAF vor November 2019 erstellt und diese noch nicht auf die neueste Version migriert haben. Informationen zur Migration Ihrer Website finden Sie ACLs unter[Migrieren Sie Ihre AWS WAF Classic-Ressourcen zu AWS WAF](waf-migrating-from-classic.md).  
**Die neueste Version von** finden AWS WAF Sie unter[AWS WAF](waf-chapter.md). 

Wenn Sie Webanforderungen basierend auf der Länge von bestimmten Teilen zulassen oder blockieren möchten, erstellen Sie eine oder mehrere Größenbeschränkungsbedingungen. Eine Größenbeschränkungsbedingung identifiziert den Teil der Webanfragen, den AWS WAF Classic untersuchen soll, die Anzahl der Byte, nach denen AWS WAF Classic suchen soll, und einen Operator, z. B. größer als (>) oder kleiner als (<). Sie können beispielsweise mithilfe einer Größenbeschränkungsbedingung nach Abfragezeichenfolgen suchen, die länger als 100 Byte sind. Im weiteren Verlauf des Prozesses können Sie beim Erstellen einer Web-ACL angeben, ob Anforderungen basierend auf diesen Einstellungen zugelassen oder blockiert werden sollen.

Beachten Sie, dass AWS WAF Classic nur die ersten 8192 Byte (8 KB) untersucht, wenn Sie AWS WAF Classic so konfigurieren, dass der Hauptteil der Anfrage beispielsweise nach einer bestimmten Zeichenfolge durchsucht wird. Wenn der Text Ihrer Webanforderungen 8192 Byte nicht überschreiten wird, können Sie eine Größenbeschränkungsbedingung erstellen und Anforderungen mit einem Text, der größer als 8.192 Byte ist, blockieren.

**Topics**
+ [Erstellen von Größenbeschränkungsbedingungen](#classic-web-acl-size-conditions-creating)
+ [Werte, die Sie beim Erstellen oder Bearbeiten von Größenbeschränkungsbedingungen angeben](#classic-web-acl-size-conditions-values)
+ [Hinzufügen und Löschen von Filtern in einer Größenbeschränkungsbedingung](#classic-web-acl-size-conditions-editing)
+ [Löschen von Größenbeschränkungsbedingungen](#classic-web-acl-size-conditions-deleting)

## Erstellen von Größenbeschränkungsbedingungen
<a name="classic-web-acl-size-conditions-creating"></a>

Wenn Sie Bedingungen für Größenbeschränkungen erstellen, geben Sie Filter an, die den Teil der Webanfragen identifizieren, für den AWS WAF Classic die Länge auswerten soll. Sie können mehr als einen Filter zu einer Größenbeschränkungsbedingung hinzufügen oder eine separate Bedingung für jeden Filter erstellen. So wirkt sich jede Konfiguration auf das Verhalten von AWS WAF Classic aus:
+ **Ein Filter pro Größenbeschränkungsbedingung** — Wenn Sie einer Regel die separaten Größenbeschränkungsbedingungen hinzufügen und die Regel zu einer Web-ACL hinzufügen, müssen Webanfragen alle Bedingungen erfüllen, damit AWS WAF Classic Anfragen auf der Grundlage der Bedingungen zulässt oder blockiert. 

  Angenommen Sie erstellen zwei Bedingungen. Eine stimmt mit Webanforderungen überein, deren Abfragezeichenfolgen größer als 100 Byte sind. Die andere stimmt mit Webanforderungen überein, deren Text größer als 1024 Byte ist. Wenn Sie beide Bedingungen zu derselben Regel hinzufügen und die Regel zu einer Web-ACL hinzufügen, erlaubt oder blockiert AWS WAF Classic Anfragen nur, wenn beide Bedingungen erfüllt sind.
+ **Mehr als ein Filter pro Größenbeschränkungsbedingung** — Wenn Sie einer Regel eine Größenbeschränkungsbedingung hinzufügen, die mehrere Filter enthält, und die Regel einer Web-ACL hinzufügen, muss eine Webanforderung nur einem der Filter in der Größenbeschränkungsbedingung entsprechen, damit AWS WAF Classic die Anfrage basierend auf dieser Bedingung zulässt oder blockiert.

  Angenommen, Sie erstellen eine Bedingung statt zwei, und die eine Bedingung enthält dieselben zwei Filter wie im vorherigen Beispiel. AWS WAF Classic erlaubt oder blockiert Anfragen, wenn entweder die Abfragezeichenfolge größer als 100 Byte oder der Hauptteil der Anfrage größer als 1024 Byte ist.

**Anmerkung**  
Wenn Sie einer Regel eine Größenbeschränkungsbedingung hinzufügen, können Sie AWS WAF Classic auch so konfigurieren, dass Webanfragen zugelassen oder blockiert werden, die *nicht* den Werten in der Bedingung entsprechen.<a name="classic-web-acl-size-conditions-creating-procedure"></a>

**So erstellen Sie eine Größenbeschränkungsbedingung**

1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die AWS WAF Konsole unter [https://console.aws.amazon.com/wafv2/](https://console.aws.amazon.com/wafv2/). 

   Wenn im Navigationsbereich **Zu AWS WAF Classic wechseln** angezeigt wird, wählen Sie es aus.

1. Wählen Sie im Navigationsbereich **Size constraints** aus.

1. Wählen Sie **Create condition**.

1. Geben Sie die entsprechenden Filtereinstellungen an. Weitere Informationen finden Sie unter [Werte, die Sie beim Erstellen oder Bearbeiten von Größenbeschränkungsbedingungen angeben](#classic-web-acl-size-conditions-values).

1. Wählen Sie **Add another filter**.

1. Wenn Sie einen anderen Filter hinzufügen möchten, wiederholen Sie die Schritte 4 und 5.

1. Wenn Sie alle Filter hinzugefügt haben wählen Sie **Create size constraint condition**.

## Werte, die Sie beim Erstellen oder Bearbeiten von Größenbeschränkungsbedingungen angeben
<a name="classic-web-acl-size-conditions-values"></a>

Beim Erstellen oder Aktualisieren einer Größenbeschränkungsbedingung geben Sie die folgenden Werte an: 

**Name**  
Geben Sie einen Namen für die Bedingung der Größenbeschränkung ein.  
Der Name darf nur alphanumerische Zeichen (A-Z, a-z, 0-9) oder die folgenden Sonderzeichen enthalten: \$1-\$1"\$1`\$1\$1\$1,./ . Sie können den Namen einer Bedingung nicht mehr ändern, nachdem Sie sie erstellt haben.

**Teil der Anforderung, nach dem gefiltert werden soll**  
Wählen Sie den Teil jeder Webanfrage aus, für den AWS WAF Classic die Länge auswerten soll:    
**Header**  
Ein angegebener Anforderungs-Header, wie z. B. der `User-Agent`- oder `Referer`-Header. Wenn Sie **Header** auswählen, geben Sie den Namen des Headers im Feld **Header** an.  
**HTTP-Methode**  
Die HTTP-Methode, die den Typ der Operation angibt, die der Ursprung aufgrund der Anforderung ausführen soll. CloudFront unterstützt die folgenden Methoden: `DELETE`, `GET`, `HEAD`, `OPTIONS`, `PATCH`, `POST` und `PUT`.  
**Abfragezeichenfolge**  
Der Teil einer URL nach einem `?`-Zeichen, sofern vorhanden.  
**URI**  
Der URI-Pfad der Anfrage, der die Ressource identifiziert, z. B.`/images/daily-ad.jpg`. Dies beinhaltet nicht die Abfragezeichenfolge oder die Fragmentkomponenten der URI. Informationen dazu finden Sie unter [Uniform Resource Identifier (URI): Generic Syntax](https://tools.ietf.org/html/rfc3986#section-3.3).   
Sofern keine **Transformation** angegeben ist, ist ein URI nicht normalisiert und wird genauso geprüft, wie er im Rahmen der Anfrage vom Client AWS empfangen wird. Eine **Transformation** formatiert die URI wie vorgegeben neu.  
**Fließtext**  
Der Teil einer Anforderung, der zusätzliche Daten enthält, die Sie als HTTP-Anforderungstext an Ihren Webserver senden möchten, wie z. B. Formulardaten.  
**Einzelner Abfrageparameter (ausschließlich Wert)**  
Jeder Parameter, den Sie als Teil der Abfragezeichenfolge definiert haben. Wenn die URL beispielsweise „www.xyz.com? UserName =abc& SalesRegion =seattle“ lautet, können Sie entweder dem Parameter oder einen Filter hinzufügen. *UserName*SalesRegion**   
Wenn Sie **Einzelner Abfrageparamter (ausschließlich Wert)** auswählen, legen Sie auch einen **Abfrageparameternamen** fest. Dies ist der Parameter in der Abfragezeichenfolge, den Sie überprüfen werden, z. B. *UserName* Die maximale Länge für den **Abfrageparameternamen** beträgt 30 Zeichen. Der **Abfrageparametername** berücksichtigt keine Groß- und Kleinschreibung. Wenn Sie beispielsweise den **Namen des *UserName*Abfrageparameters** angeben, entspricht dieser Wert allen Varianten von *UserName*, z. B. *username* und *Us ERName*.  
**Alle Abfrageparameter (ausschließlich Werte)**  
Ähnlich wie **Einzelner Abfrageparameter (nur Wert)**, untersucht AWS WAF Classic jedoch nicht den Wert eines einzelnen Parameters, sondern die Werte aller Parameter innerhalb der Abfragezeichenfolge auf die Größenbeschränkung. Wenn die URL beispielsweise „www.xyz.com? UserName =abc& SalesRegion =seattle“ lautet und Sie **Alle Abfrageparameter (nur Werte) auswählen, löst AWS WAF Classic eine Übereinstimmung mit dem Wert aus, wenn einer der angegebenen Werte** die angegebene Größe überschreitet oder diese überschreitet. *UserName*SalesRegion** 

**Header (nur wenn "Teil der Filter" auf "Header" festgelegt ist)**  
Wenn Sie **Header** für **Teil der Anfrage, nach dem gefiltert werden soll**, ausgewählt haben, wählen Sie einen Header aus der Liste der allgemeinen Header aus, oder geben Sie den Namen eines Headers ein, für den Classic die Länge auswerten soll. AWS WAF 

**Vergleichsoperator**  
Wählen Sie aus, wie AWS WAF Classic die Länge der Abfragezeichenfolge in Webanfragen in Bezug auf den Wert auswerten soll, den Sie für **Größe** angeben.  
Wenn Sie beispielsweise für den **Vergleichsoperator** **Ist größer als** auswählen und **100** für **Größe** eingeben, wertet AWS WAF Classic Webanfragen für eine Abfragezeichenfolge aus, die länger als 100 Byte ist.

**Größe**  
Geben Sie die Länge in Byte ein, auf die AWS WAF Classic in Abfragezeichenfolgen achten soll.  
Wenn Sie **URI** für den Wert von **Part of the request to filter on** wählen, wird der **/** in der URI als ein Zeichen gezählt. Der URI-Pfad `/logo.jpg` ist beispielsweise neun Zeichen lang.

**Transformation**  
Eine Transformation formatiert eine Webanforderung neu, bevor AWS WAF Classic die Länge des angegebenen Teils der Anfrage auswertet. Dadurch werden einige der ungewöhnlichen Formatierungen vermieden, die Angreifer in Webanfragen verwenden, um Classic zu umgehen AWS WAF .   
Wenn Sie für **Teil der Anfrage, nach der gefiltert werden soll, den** **Text** auswählen, können Sie AWS WAF Classic nicht so konfigurieren, dass eine Transformation durchgeführt wird, da nur die ersten 8192 Byte zur Überprüfung weitergeleitet werden. Sie können Ihren Datenverkehr jedoch weiterhin anhand der Größe des Hauptteils der HTTP-Anfrage filtern und die Transformation **Keine** angeben. (AWS WAF Classic ermittelt die Länge des Hauptteils aus den Anforderungsheadern.)
Sie können nur einen einzigen Texttransformationstyp angeben.  
Transformationen können die folgenden Vorgänge ausführen:    
**Keine**  
AWS WAF Classic führt keine Texttransformationen an der Webanforderung durch, bevor die Länge überprüft wurde.  
**In Kleinbuchstaben konvertieren**  
AWS WAF Classic konvertiert Großbuchstaben (A-Z) in Kleinbuchstaben (a-z).  
**HTML-Dekodierung**  
AWS WAF Classic ersetzt HTML-kodierte Zeichen durch unkodierte Zeichen:  
+ Ersetzt `&quot;` durch `&`
+ Ersetzt `&nbsp;` durch ein geschütztes Leerzeichen
+ Ersetzt `&lt;` durch `<`
+ Ersetzt `&gt;` durch `>`
+ Ersetzt Zeichen im Hexadezimalformat `&#xhhhh;` mit dem entsprechenden Zeichen
+ Ersetzt Zeichen im Dezimalformat `&#nnnn;` mit dem entsprechenden Zeichen  
**Leerzeichen normalisieren**  
AWS WAF Classic ersetzt die folgenden Zeichen durch ein Leerzeichen (Dezimalzahl 32):  
+ \$1f, Zeilenvorschubzeichen, Dezimalzahl 12
+ \$1t, Tabulator, Dezimalzahl 9
+ \$1n, Zeilenumbruch, Dezimalzahl 10
+ \$1r, Wagenrücklauf, Dezimalzahl 13
+ \$1v, vertikaler Tabulator, Dezimalzahl 11
+ geschütztes Leerzeichen, Dezimalzahl 160
Diese Option ersetzt mehrere aufeinanderfolgende Leerzeichen durch 1 Leerzeichen.  
**Vereinfachen der Befehlszeile**  
Verwenden Sie diese Option für Anforderungen mit Befehlszeilen-Befehlen des Betriebssystems, um folgende Transformationen auszuführen:  
+ Löschen der folgenden Zeichen: \$1 " ' ^
+ Löschen von Leerzeichen vor den folgenden Zeichen: / (
+ Ersetzen der folgenden Zeichen durch ein Leerzeichen: , ;
+ Ersetzen mehrerer Leerzeichen durch ein Leerzeichen
+ Konvertieren von Groß- (A-Z) in Kleinbuchstaben (a-z)  
**URL-Dekodierung**  
Dekodieren Sie eine URL-kodierte Anforderung.

## Hinzufügen und Löschen von Filtern in einer Größenbeschränkungsbedingung
<a name="classic-web-acl-size-conditions-editing"></a>

Sie können einer Größenbeschränkungsbedingung Filter hinzufügen oder daraus löschen. Um einen Filter zu ändern, fügen Sie einen neuen hinzu und löschen den alten.<a name="classic-web-acl-size-conditions-editing-procedure"></a>

**So fügen Sie einer Größenbeschränkungsbedingung Filter hinzu oder löschen sie**

1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die AWS WAF Konsole unter [https://console.aws.amazon.com/wafv2/](https://console.aws.amazon.com/wafv2/). 

   Wenn im Navigationsbereich **Zu AWS WAF Classic wechseln** angezeigt wird, wählen Sie es aus.

1. Wählen Sie im Navigationsbereich **Size constraint** aus.

1. Wählen Sie die Bedingung aus, die Sie Filtern hinzufügen oder daraus löschen möchten.

1. Um Filter hinzuzufügen, führen Sie die folgenden Schritte aus:

   1. Wählen Sie **Add filter**.

   1. Geben Sie die entsprechenden Filtereinstellungen an. Weitere Informationen finden Sie unter [Werte, die Sie beim Erstellen oder Bearbeiten von Größenbeschränkungsbedingungen angeben](#classic-web-acl-size-conditions-values).

   1. Wählen Sie **Hinzufügen** aus.

1. Um Filter zu löschen, führen Sie die folgenden Schritte aus:

   1. Wählen Sie den Filter aus, den Sie löschen möchten.

   1. Wählen Sie **Delete filter**.

## Löschen von Größenbeschränkungsbedingungen
<a name="classic-web-acl-size-conditions-deleting"></a>

Wenn Sie eine Größenbeschränkungsbedingung löschen möchten, müssen Sie zuerst alle Filter in der Bedingung löschen und diese aus allen Regeln löschen, die sie verwenden. Dies wird im Folgenden beschrieben.<a name="classic-web-acl-size-conditions-deleting-procedure"></a>

**So löschen Sie eine Größenbeschränkungsbedingung**

1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die AWS WAF Konsole unter [https://console.aws.amazon.com/wafv2/](https://console.aws.amazon.com/wafv2/). 

   Wenn im Navigationsbereich **Zu AWS WAF Classic wechseln** angezeigt wird, wählen Sie es aus.

1. Wählen Sie im Navigationsbereich **Size constraints** aus.

1. Wählen Sie im Bereich **Size constraint conditions** die Größenbeschränkungsbedingung aus, die Sie löschen möchten.

1. Wählen Sie im rechten Bereich die Registerkarte **Associated rules** aus.

   Wenn die Liste der Regeln, die diese Größenbeschränkungsbedingung verwenden, leer ist, fahren Sie mit Schritt 6 fort. Wenn die Liste Regeln enthält, notieren Sie sich diese und fahren Sie mit Schritt 5 fort.

1. Um die Größenbeschränkungsbedingung aus den Regeln, die diese verwenden, zu entfernen, führen Sie die folgenden Schritte aus:

   1. Wählen Sie im Navigationsbereich **Regeln** aus.

   1. Wählen Sie den Namen einer Regel aus, die die Größenbeschränkungsbedingung verwendet, die Sie löschen möchten.

   1. Wählen Sie im rechten Bereich die Größenbeschränkungsbedingung aus, die Sie aus der Regel entfernen möchten, und wählen Sie **Remove selected condition** aus.

   1. Wiederholen Sie die Schritte b und c für alle übrigen Regeln, die die Größenbeschränkungsbedingung verwenden, die Sie löschen möchten.

   1. Wählen Sie im Navigationsbereich **Size constraint** aus.

   1. Wählen Sie im Bereich **Size constraint conditions** die Größenbeschränkungsbedingung aus, die Sie löschen möchten.

1. Wählen Sie **Löschen** aus, um diese Bedingung zu löschen.

# Arbeiten mit SQL Injections-Übereinstimmungsbedingungen
<a name="classic-web-acl-sql-conditions"></a>

**Warnung**  
AWS WAF Classic durchläuft derzeit einen geplanten end-of-life Prozess. In Ihrem AWS Health Dashboard finden Sie die Meilensteine und Daten, die für Ihre Region spezifisch sind.

**Anmerkung**  
Dies ist die **AWS WAF klassische** Dokumentation. Sie sollten diese Version nur verwenden, wenn Sie AWS WAF Ressourcen wie Regeln und Websites ACLs AWS WAF vor November 2019 erstellt und diese noch nicht auf die neueste Version migriert haben. Informationen zur Migration Ihrer Website finden Sie ACLs unter[Migrieren Sie Ihre AWS WAF Classic-Ressourcen zu AWS WAF](waf-migrating-from-classic.md).  
**Die neueste Version von** finden AWS WAF Sie unter[AWS WAF](waf-chapter.md). 

Angreifer versuchen manchmal, schädlichen SQL-Code in Webanforderungen einzufügen, um Daten aus Ihrer Datenbank zu extrahieren. Um Webanforderungen basierend darauf, ob sie möglicherweise schädlichen SQL-Code enthalten, zuzulassen oder zu blockieren, erstellen Sie eine oder mehrere SQL Injections-Übereinstimmungsbedingungen. Eine SQL-Injection-Match-Bedingung identifiziert den Teil der Webanforderungen, wie z. B. den URI-Pfad oder die Abfragezeichenfolge, den AWS WAF Classic untersuchen soll. Im weiteren Verlauf des Prozesses können Sie beim Erstellen einer Web-ACL angeben, ob Sie Anforderungen zulassen oder blockieren möchten, die schädlichen SQL-Code enthalten.

**Topics**
+ [Erstellen einer SQL Injections-Übereinstimmungsbedingung](#classic-web-acl-sql-conditions-creating)
+ [Werte, die Sie beim Erstellen oder Bearbeiten von SQL Injections-Übereinstimmungsbedingungen angeben](#classic-web-acl-sql-conditions-values)
+ [Hinzufügen und Löschen von Filtern in einer SQL Injections-Übereinstimmungsbedingung](#classic-web-acl-sql-conditions-editing)
+ [Löschen von SQL Injections-Übereinstimmungsbedingungen](#classic-web-acl-sql-conditions-deleting)

## Erstellen einer SQL Injections-Übereinstimmungsbedingung
<a name="classic-web-acl-sql-conditions-creating"></a>

Wenn Sie Vergleichsbedingungen für SQL-Injection erstellen, geben Sie Filter an, die den Teil der Webanfragen angeben, den AWS WAF Classic auf bösartigen SQL-Code untersuchen soll, z. B. den URI oder die Abfragezeichenfolge. Sie können mehrere Filter zu einer SQL Injections-Übereinstimmungsbedingung hinzufügen oder eine separate Bedingung für jeden Filter erstellen. So wirkt sich jede Konfiguration auf das Verhalten von AWS WAF Classic aus:
+ **Mehr als ein Filter pro SQL-Injection-Übereinstimmungsbedingung (empfohlen)** — Wenn Sie einer Regel eine SQL-Injection-Übereinstimmungsbedingung hinzufügen, die mehrere Filter enthält, und die Regel einer Web-ACL hinzufügen, muss eine Webanforderung nur einem der Filter in der SQL-Injection-Abgleichsbedingung entsprechen, damit AWS WAF Classic die Anfrage basierend auf dieser Bedingung zulässt oder blockiert.

  Beispiel: Sie erstellen eine SQL Injections-Übereinstimmungsbedingung, die zwei Filter enthält. Ein Filter weist AWS WAF Classic an, den URI auf bösartigen SQL-Code zu überprüfen, und der andere weist AWS WAF Classic an, die Abfragezeichenfolge zu überprüfen. AWS WAF Classic lässt Anfragen zu oder blockiert sie, wenn sie bösartigen SQL-Code *entweder* im URI *oder* in der Abfragezeichenfolge zu enthalten scheinen.
+ **Ein Filter pro SQL-Injection-Übereinstimmungsbedingung** — Wenn Sie die separaten SQL-Injection-Abgleichsbedingungen zu einer Regel hinzufügen und die Regel zu einer Web-ACL hinzufügen, müssen Webanfragen alle Bedingungen erfüllen, damit AWS WAF Classic Anfragen auf der Grundlage der Bedingungen zulassen oder blockieren kann. 

  Angenommen Sie erstellen zwei Bedingungen, die jeweils einen der beiden Filter im vorherigen Beispiel enthalten. Wenn Sie beide Bedingungen zu derselben Regel hinzufügen und die Regel zu einer Web-ACL hinzufügen, erlaubt oder blockiert AWS WAF Classic Anfragen nur, wenn sowohl der URI als auch die Abfragezeichenfolge bösartigen SQL-Code zu enthalten scheinen.

**Anmerkung**  
Wenn Sie einer Regel eine SQL-Injection-Übereinstimmungsbedingung hinzufügen, können Sie AWS WAF Classic auch so konfigurieren, dass Webanfragen zugelassen oder blockiert werden, die *keinen* bösartigen SQL-Code zu enthalten scheinen.<a name="classic-web-acl-sql-conditions-creating-procedure"></a>

**So erstellen Sie eine SQL Injections-Übereinstimmungsbedingung**

1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die AWS WAF Konsole unter [https://console.aws.amazon.com/wafv2/](https://console.aws.amazon.com/wafv2/). 

   Wenn im Navigationsbereich **Zu AWS WAF Classic wechseln** angezeigt wird, wählen Sie es aus.

1. Wählen Sie im Navigationsbereich **SQL injection** aus.

1. Wählen Sie **Create condition**.

1. Geben Sie die entsprechenden Filtereinstellungen an. Weitere Informationen finden Sie unter [Werte, die Sie beim Erstellen oder Bearbeiten von SQL Injections-Übereinstimmungsbedingungen angeben](#classic-web-acl-sql-conditions-values).

1. Wählen Sie **Add another filter**.

1. Wenn Sie einen anderen Filter hinzufügen möchten, wiederholen Sie die Schritte 4 und 5.

1. Wählen Sie nach dem Hinzufügen der Filter **Erstellen** aus.

## Werte, die Sie beim Erstellen oder Bearbeiten von SQL Injections-Übereinstimmungsbedingungen angeben
<a name="classic-web-acl-sql-conditions-values"></a>

Beim Erstellen oder Aktualisieren einer SQL Injections-Übereinstimmungsbedingung geben Sie die folgenden Werte an: 

**Name**  
Der Name der SQL Injections-Übereinstimmungsbedingung.  
Der Name darf nur alphanumerische Zeichen (A-Z, a-z, 0-9) oder die folgenden Sonderzeichen enthalten: \$1-\$1"\$1`\$1\$1\$1,./ . Sie können den Namen einer Bedingung nicht mehr ändern, nachdem Sie sie erstellt haben.

**Teil der Anforderung, nach dem gefiltert werden soll**  
Wählen Sie den Teil jeder Webanfrage aus, den AWS WAF Classic auf bösartigen SQL-Code untersuchen soll:    
**Header**  
Ein angegebener Anforderungs-Header, wie z. B. der `User-Agent`- oder `Referer`-Header. Wenn Sie **Header** auswählen, geben Sie den Namen des Headers im Feld **Header** an.  
**HTTP-Methode**  
Die HTTP-Methode, die den Typ der Operation angibt, die der Ursprung aufgrund der Anforderung ausführen soll. CloudFront unterstützt die folgenden Methoden: `DELETE`, `GET`, `HEAD`, `OPTIONS`, `PATCH`, `POST` und `PUT`.  
**Abfragezeichenfolge**  
Der Teil einer URL nach einem `?`-Zeichen, sofern vorhanden.  
Für SQL Injections-Übereinstimmungsbedingungen empfehlen wir, dass Sie **All query parameters (values only) (Alle Abfrageparameter (nur Werte)** anstelle von **Query string (Abfragezeichenfolge)** für **Part of the request to filter on (Teil der Anforderung, nach dem gefiltert werden soll)** auswählen.  
**URI**  
Der URI-Pfad der Anfrage, der die Ressource identifiziert, `/images/daily-ad.jpg` z. B. Dies beinhaltet nicht die Abfragezeichenfolge oder die Fragmentkomponenten der URI. Informationen dazu finden Sie unter [Uniform Resource Identifier (URI): Generic Syntax](https://tools.ietf.org/html/rfc3986#section-3.3).   
Sofern keine **Transformation** angegeben ist, ist ein URI nicht normalisiert und wird genauso geprüft, wie er im Rahmen der Anfrage vom Client AWS empfangen wird. Eine **Transformation** formatiert die URI wie vorgegeben neu.  
**Fließtext**  
Der Teil einer Anforderung, der zusätzliche Daten enthält, die Sie als HTTP-Anforderungstext an Ihren Webserver senden möchten, wie z. B. Formulardaten.  
Wenn Sie für den Wert **Teil der Anforderung, nach dem gefiltert werden soll**, **Body** wählen, untersucht AWS WAF Classic nur die ersten 8192 Byte (8 KB). Um Anfragen zuzulassen oder zu blockieren, deren Hauptteil länger als 8192 Byte ist, können Sie eine Größenbeschränkungsbedingung erstellen. (AWS WAF Classic ermittelt die Länge des Hauptteils aus den Anforderungsheadern.) Weitere Informationen finden Sie unter [Arbeiten mit Größenbeschränkungsbedingungen](classic-web-acl-size-conditions.md).  
**Einzelner Abfrageparameter (ausschließlich Wert)**  
Jeder Parameter, den Sie als Teil der Abfragezeichenfolge definiert haben. Wenn die URL beispielsweise „www.xyz.com? UserName =abc& SalesRegion =seattle“ lautet, können Sie entweder dem Parameter oder einen Filter hinzufügen. *UserName*SalesRegion**   
Wenn Sie **Einzelner Abfrageparamter (ausschließlich Wert)** auswählen, legen Sie auch einen **Abfrageparameternamen** fest. Dies ist der Parameter in der Abfragezeichenfolge, den Sie überprüfen werden, z. B. oder. *UserName*SalesRegion** Die maximale Länge für den **Abfrageparameternamen** beträgt 30 Zeichen. Der **Abfrageparametername** berücksichtigt keine Groß- und Kleinschreibung. Wenn Sie beispielsweise den **Namen des *UserName*Abfrageparameters** angeben, entspricht dieser Wert allen Varianten von *UserName*, z. B. *username* und *Us ERName*.  
**Alle Abfrageparameter (ausschließlich Werte)**  
Ähnlich wie **Einzelner Abfrageparameter (nur Wert)**, untersucht AWS WAF Classic jedoch nicht den Wert eines einzelnen Parameters, sondern den Wert aller Parameter innerhalb der Abfragezeichenfolge auf möglichen bösartigen SQL-Code. Wenn die URL beispielsweise „www.xyz.com? UserName =abc& SalesRegion =seattle“ lautet und Sie **Alle Abfrageparameter (nur Werte)** wählen, löst AWS WAF Classic eine Übereinstimmung aus, wenn der Wert von einem oder mehreren möglichen bösartigen SQL-Code enthält. *UserName*SalesRegion** 

**Header**  
Wenn Sie **Header** für **Teil der Anfrage, nach der gefiltert werden soll, ausgewählt haben, wählen Sie einen Header aus der Liste der allgemeinen Header aus, oder geben Sie den Namen eines Headers ein, den Classic auf** bösartigen SQL-Code untersuchen soll AWS WAF .

**Transformation**  
Eine Transformation formatiert eine Webanforderung neu, bevor AWS WAF Classic die Anfrage überprüft. Dadurch werden einige der ungewöhnlichen Formatierungen vermieden, die Angreifer in Webanfragen verwenden, um Classic zu umgehen AWS WAF .   
Sie können nur einen einzigen Texttransformationstyp angeben.  
Transformationen können die folgenden Vorgänge ausführen:    
**Keine**  
AWS WAF Classic führt keine Texttransformationen an der Webanforderung durch, bevor überprüft wird, ob die Zeichenfolge in **Value übereinstimmt**.  
**In Kleinbuchstaben konvertieren**  
AWS WAF Classic konvertiert Großbuchstaben (A-Z) in Kleinbuchstaben (a-z).  
**HTML-Dekodierung**  
AWS WAF Classic ersetzt HTML-kodierte Zeichen durch unkodierte Zeichen:  
+ Ersetzt `&quot;` durch `&`
+ Ersetzt `&nbsp;` durch ein geschütztes Leerzeichen
+ Ersetzt `&lt;` durch `<`
+ Ersetzt `&gt;` durch `>`
+ Ersetzt Zeichen im Hexadezimalformat `&#xhhhh;` mit dem entsprechenden Zeichen
+ Ersetzt Zeichen im Dezimalformat `&#nnnn;` mit dem entsprechenden Zeichen  
**Leerzeichen normalisieren**  
AWS WAF Classic ersetzt die folgenden Zeichen durch ein Leerzeichen (Dezimalzahl 32):  
+ \$1f, Zeilenvorschubzeichen, Dezimalzahl 12
+ \$1t, Tabulator, Dezimalzahl 9
+ \$1n, Zeilenumbruch, Dezimalzahl 10
+ \$1r, Wagenrücklauf, Dezimalzahl 13
+ \$1v, vertikaler Tabulator, Dezimalzahl 11
+ geschütztes Leerzeichen, Dezimalzahl 160
Diese Option ersetzt mehrere aufeinanderfolgende Leerzeichen durch 1 Leerzeichen.  
**Vereinfachen der Befehlszeile**  
Verwenden Sie diese Option für Anforderungen mit Befehlszeilen-Befehlen des Betriebssystems, um folgende Transformationen auszuführen:  
+ Löschen der folgenden Zeichen: \$1 " ' ^
+ Löschen von Leerzeichen vor den folgenden Zeichen: / (
+ Ersetzen der folgenden Zeichen durch ein Leerzeichen: , ;
+ Ersetzen mehrerer Leerzeichen durch ein Leerzeichen
+ Konvertieren von Groß- (A-Z) in Kleinbuchstaben (a-z)  
**URL-Dekodierung**  
Dekodieren Sie eine URL-kodierte Anforderung.

## Hinzufügen und Löschen von Filtern in einer SQL Injections-Übereinstimmungsbedingung
<a name="classic-web-acl-sql-conditions-editing"></a>

Sie können einer SQL Injections-Übereinstimmungsbedingung Filter hinzufügen oder daraus löschen. Um einen Filter zu ändern, fügen Sie einen neuen hinzu und löschen den alten.<a name="classic-web-acl-sql-conditions-editing-procedure"></a>

**So fügen Sie einer SQL Injections-Bedingung Filter hinzu oder löschen sie**

1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die AWS WAF Konsole unter [https://console.aws.amazon.com/wafv2/](https://console.aws.amazon.com/wafv2/). 

   Wenn im Navigationsbereich **Zu AWS WAF Classic wechseln** angezeigt wird, wählen Sie es aus.

1. Wählen Sie im Navigationsbereich **SQL injection** aus.

1. Wählen Sie die Bedingung aus, die Sie Filtern hinzufügen oder daraus löschen möchten.

1. Um Filter hinzuzufügen, führen Sie die folgenden Schritte aus:

   1. Wählen Sie **Add filter**.

   1. Geben Sie die entsprechenden Filtereinstellungen an. Weitere Informationen finden Sie unter [Werte, die Sie beim Erstellen oder Bearbeiten von SQL Injections-Übereinstimmungsbedingungen angeben](#classic-web-acl-sql-conditions-values).

   1. Wählen Sie **Hinzufügen** aus.

1. Um Filter zu löschen, führen Sie die folgenden Schritte aus:

   1. Wählen Sie den Filter aus, den Sie löschen möchten.

   1. Wählen Sie **Delete filter**.

## Löschen von SQL Injections-Übereinstimmungsbedingungen
<a name="classic-web-acl-sql-conditions-deleting"></a>

Wenn Sie eine SQL Injections-Übereinstimmungsbedingung löschen möchten, müssen Sie zuerst alle Filter in der Bedingung löschen und diese aus allen Regeln löschen, die sie verwenden. Dies wird im Folgenden beschrieben.<a name="classic-web-acl-sql-conditions-deleting-procedure"></a>

**So löschen Sie eine SQL Injections-Übereinstimmungsbedingung**

1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die AWS WAF Konsole unter [https://console.aws.amazon.com/wafv2/](https://console.aws.amazon.com/wafv2/). 

   Wenn im Navigationsbereich **Zu AWS WAF Classic wechseln** angezeigt wird, wählen Sie es aus.

1. Wählen Sie im Navigationsbereich **SQL injection** aus.

1. Wählen Sie im Bereich **SQL injection match conditions** die SQL Injections-Übereinstimmungsbedingung aus, die Sie löschen möchten.

1. Wählen Sie im rechten Bereich die Registerkarte **Associated rules** aus.

   Wenn die Liste der Regeln, die diese SQL Injections-Übereinstimmungsbedingung verwenden, leer ist, fahren Sie mit Schritt 6 fort. Wenn die Liste Regeln enthält, notieren Sie sich diese und fahren Sie mit Schritt 5 fort.

1. Um die SQL Injections-Übereinstimmungsbedingung aus den Regeln, die diese verwenden, zu entfernen, führen Sie die folgenden Schritte aus:

   1. Wählen Sie im Navigationsbereich **Regeln** aus.

   1. Wählen Sie den Namen einer Regel aus, die die SQL Injections-Übereinstimmungsbedingung verwendet, die Sie löschen möchten.

   1. Wählen Sie im rechten Bereich die SQL Injections-Übereinstimmungsbedingung aus, die Sie aus der Regel entfernen möchten, und wählen Sie **Remove selected condition** aus.

   1. Wiederholen Sie die Schritte b und c für alle übrigen Regeln, die die SQL Injections-Übereinstimmungsbedingung verwenden, die Sie löschen möchten.

   1. Wählen Sie im Navigationsbereich **SQL injection** aus.

   1. Wählen Sie im Bereich **SQL injection match conditions** die SQL Injections-Übereinstimmungsbedingung aus, die Sie löschen möchten.

1. Wählen Sie **Löschen** aus, um diese Bedingung zu löschen.

# Arbeiten mit Zeichenfolgen-Übereinstimmungsbedingungen
<a name="classic-web-acl-string-conditions"></a>

**Warnung**  
AWS WAF Classic durchläuft derzeit einen geplanten end-of-life Prozess. In Ihrem AWS Health Dashboard finden Sie die Meilensteine und Daten, die für Ihre Region spezifisch sind.

**Anmerkung**  
Dies ist die **AWS WAF klassische** Dokumentation. Sie sollten diese Version nur verwenden, wenn Sie AWS WAF Ressourcen wie Regeln und Websites ACLs AWS WAF vor November 2019 erstellt und diese noch nicht auf die neueste Version migriert haben. Informationen zur Migration Ihrer Website finden Sie ACLs unter[Migrieren Sie Ihre AWS WAF Classic-Ressourcen zu AWS WAF](waf-migrating-from-classic.md).  
**Die neueste Version von** finden AWS WAF Sie unter[AWS WAF](waf-chapter.md). 

Wenn Sie Webanforderungen basierend auf darin enthaltenen Zeichenfolgen zulassen oder blockieren möchten, erstellen Sie eine oder mehrere Zeichenfolgen-Übereinstimmungsbedingungen. Eine Bedingung für die Übereinstimmung mit einer Zeichenfolge identifiziert die Zeichenfolge, nach der Sie suchen möchten, und den Teil der Webanforderungen, wie z. B. einen angegebenen Header oder die Abfragezeichenfolge, den AWS WAF Classic nach der Zeichenfolge durchsuchen soll. Im weiteren Verlauf des Prozesses können Sie beim Erstellen einer Web-ACL angeben, ob Anforderungen, die die Zeichenfolge enthalten, zugelassen oder blockiert werden sollen.

**Topics**
+ [Erstellen einer Zeichenfolgen-Übereinstimmungsbedingung](#classic-web-acl-string-conditions-creating)
+ [Werte, die Sie beim Erstellen oder Bearbeiten von Zeichenfolgen-Übereinstimmungsbedingungen angeben](#classic-web-acl-string-conditions-values)
+ [Hinzufügen und Löschen von Filtern in einer Zeichenfolgen-Übereinstimmungsbedingung](#classic-web-acl-string-conditions-editing)
+ [Löschen von Zeichenfolgen-Übereinstimmungsbedingungen](#classic-web-acl-string-conditions-deleting)

## Erstellen einer Zeichenfolgen-Übereinstimmungsbedingung
<a name="classic-web-acl-string-conditions-creating"></a>

Wenn Sie Bedingungen für den Abgleich von Zeichenfolgen erstellen, geben Sie Filter an, die die Zeichenfolge, nach der Sie suchen möchten, und den Teil der Webanfragen identifizieren, den AWS WAF Classic nach dieser Zeichenfolge durchsuchen soll, z. B. den URI oder die Abfragezeichenfolge. Sie können einer Zeichenfolgen-Übereinstimmungsbedingung mehrere Filter hinzufügen oder eine separate Bedingung für jeden Filter erstellen. So wirkt sich jede Konfiguration auf das Verhalten von AWS WAF Classic aus:
+ **Ein Filter pro Übereinstimmungsbedingung für Zeichenfolgen** — Wenn Sie einer Regel die separaten Bedingungen für den Abgleich von Zeichenfolgen hinzufügen und die Regel einer Web-ACL hinzufügen, müssen Webanfragen alle Bedingungen erfüllen, damit AWS WAF Classic Anfragen auf der Grundlage der Bedingungen zulässt oder blockiert. 

  Angenommen Sie erstellen zwei Bedingungen. Eine Bedingung stimmt mit Webanforderungen überein, die den Wert `BadBot` im `User-Agent`-Header enthalten. Die andere stimmt mit Webanforderungen überein, die den Wert `BadParameter` in Abfragezeichenfolgen enthalten. Wenn Sie beide Bedingungen zu derselben Regel hinzufügen und die Regel zu einer Web-ACL hinzufügen, erlaubt oder blockiert AWS WAF Classic Anfragen nur, wenn sie beide Werte enthalten.
+ **Mehr als ein Filter pro Übereinstimmungsbedingung** für eine Zeichenfolge — Wenn Sie einer Regel eine Bedingung für die Übereinstimmung mit Zeichenfolgen hinzufügen, die mehrere Filter enthält, und die Regel einer Web-ACL hinzufügen, muss eine Webanforderung nur einem der Filter in der Bedingung für die Übereinstimmung mit Zeichenfolgen entsprechen, damit AWS WAF Classic die Anfrage auf der Grundlage einer Bedingung zulässt oder blockiert.

  Angenommen, Sie erstellen eine Bedingung statt zwei, und die eine Bedingung enthält dieselben zwei Filter wie im vorherigen Beispiel. AWS WAF Classic erlaubt oder blockiert Anfragen, wenn sie *entweder* `BadBot` im `User-Agent` Header *oder* `BadParameter` in der Abfragezeichenfolge enthalten sind.

**Anmerkung**  
Wenn Sie einer Regel eine Bedingung für die Übereinstimmung mit Zeichenfolgen hinzufügen, können Sie AWS WAF Classic auch so konfigurieren, dass Webanfragen zugelassen oder blockiert werden, die *nicht* den Werten in der Bedingung entsprechen.<a name="classic-web-acl-string-conditions-creating-procedure"></a>

**So erstellen Sie eine Zeichenfolgen-Übereinstimmungsbedingung**

1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die AWS WAF Konsole unter [https://console.aws.amazon.com/wafv2/](https://console.aws.amazon.com/wafv2/). 

   Wenn im Navigationsbereich **Zu AWS WAF Classic wechseln** angezeigt wird, wählen Sie es aus.

1. Wählen Sie im Navigationsbereich **String and regex matching** aus.

1. Wählen Sie **Create condition**.

1. Geben Sie die entsprechenden Filtereinstellungen an. Weitere Informationen finden Sie unter [Werte, die Sie beim Erstellen oder Bearbeiten von Zeichenfolgen-Übereinstimmungsbedingungen angeben](#classic-web-acl-string-conditions-values).

1. Wählen Sie **Add filter**.

1. Wenn Sie einen anderen Filter hinzufügen möchten, wiederholen Sie die Schritte 4 und 5.

1. Wählen Sie nach dem Hinzufügen der Filter **Erstellen** aus.

## Werte, die Sie beim Erstellen oder Bearbeiten von Zeichenfolgen-Übereinstimmungsbedingungen angeben
<a name="classic-web-acl-string-conditions-values"></a>

Beim Erstellen oder Aktualisieren einer Zeichenfolgen-Übereinstimmungsbedingung geben Sie die folgenden Werte an: 

**Name**  
Geben Sie einen Namen für die Zeichenfolgen-Abgleichsbedingung ein. Der Name darf nur alphanumerische Zeichen (A-Z, a-z, 0-9) oder die folgenden Sonderzeichen enthalten: \$1-\$1"\$1`\$1\$1\$1,./ . Sie können den Namen einer Bedingung nicht mehr ändern, nachdem Sie sie erstellt haben.

**Typ**  
Wählen Sie **String match**.

**Teil der Anforderung, nach dem gefiltert werden soll**  
Wählen Sie den Teil jeder Webanforderung aus, den AWS WAF Classic auf die Zeichenfolge überprüfen soll, die Sie im Feld **Passender Wert** angegeben haben:    
**Header**  
Ein angegebener Anforderungs-Header, wie z. B. der `User-Agent`- oder `Referer`-Header. Wenn Sie **Header** auswählen, geben Sie den Namen des Headers im Feld **Header** an.  
**HTTP-Methode**  
Die HTTP-Methode, die den Typ der Operation angibt, die der Ursprung aufgrund der Anforderung ausführen soll. CloudFront unterstützt die folgenden Methoden: `DELETE`, `GET`, `HEAD`, `OPTIONS`, `PATCH`, `POST` und `PUT`.  
**Abfragezeichenfolge**  
Der Teil einer URL nach einem `?`-Zeichen, sofern vorhanden.  
**URI**  
Der URI-Pfad der Anfrage, der die Ressource identifiziert, `/images/daily-ad.jpg` z. B. Dies beinhaltet nicht die Abfragezeichenfolge oder die Fragmentkomponenten der URI. Informationen dazu finden Sie unter [Uniform Resource Identifier (URI): Generic Syntax](https://tools.ietf.org/html/rfc3986#section-3.3).   
Sofern keine **Transformation** angegeben ist, ist ein URI nicht normalisiert und wird genauso geprüft, wie er im Rahmen der Anfrage vom Client AWS empfangen wird. Eine **Transformation** formatiert die URI wie vorgegeben neu.  
**Fließtext**  
Der Teil einer Anforderung, der zusätzliche Daten enthält, die Sie als HTTP-Anforderungstext an Ihren Webserver senden möchten, wie z. B. Formulardaten.  
Wenn Sie für den Wert **Teil der Anforderung, nach dem gefiltert werden soll**, **Body** wählen, untersucht AWS WAF Classic nur die ersten 8192 Byte (8 KB). Um Anfragen zuzulassen oder zu blockieren, deren Hauptteil länger als 8192 Byte ist, können Sie eine Größenbeschränkungsbedingung erstellen. (AWS WAF Classic ermittelt die Länge des Hauptteils aus den Anforderungsheadern.) Weitere Informationen finden Sie unter [Arbeiten mit Größenbeschränkungsbedingungen](classic-web-acl-size-conditions.md).  
**Einzelner Abfrageparameter (ausschließlich Wert)**  
Jeder Parameter, den Sie als Teil der Abfragezeichenfolge definiert haben. Wenn die URL beispielsweise „www.xyz.com? UserName =abc& SalesRegion =seattle“ lautet, können Sie entweder dem Parameter oder einen Filter hinzufügen. *UserName*SalesRegion**   
Wenn doppelte Parameter in der Abfragezeichenfolge enthalten sind, werden die Werte als "ODER" gewertet. Das heißt, dass auch nur einer der Werte ausreicht, um eine Übereinstimmung auszulösen. **Beispiel: In der URL „www.xyz.com? SalesRegion =boston& SalesRegion =seattle“ löst entweder „boston“ oder „seattle“ im Feld Passender Wert eine Übereinstimmung aus.**  
Wenn Sie **Einzelner Abfrageparamter (ausschließlich Wert)** auswählen, legen Sie auch einen **Abfrageparameternamen** fest. Dies ist der Parameter in der Abfragezeichenfolge, den Sie überprüfen werden, z. B. oder. *UserName*SalesRegion** Die maximale Länge für den **Abfrageparameternamen** beträgt 30 Zeichen. Der **Abfrageparametername** berücksichtigt keine Groß- und Kleinschreibung. Wenn Sie beispielsweise den **Namen des *UserName*Abfrageparameters** angeben, entspricht dieser Wert allen Varianten von *UserName*, z. B. *username* und *Us ERName*.  
**Alle Abfrageparameter (ausschließlich Werte)**  
Ähnlich wie **Einzelner Abfrageparameter (nur Wert)**, überprüft AWS WAF Classic jedoch nicht den Wert eines einzelnen Parameters, sondern überprüft den Wert aller Parameter innerhalb der Abfragezeichenfolge **auf den passenden Wert**. **Wenn die URL beispielsweise „www.xyz.com? UserName =abc& SalesRegion =seattle“ lautet und Sie **Alle Abfrageparameter (nur Werte)** auswählen, löst AWS WAF Classic eine Übereinstimmung aus, wenn der Wert von einem oder *UserName*als abzugleichender Wert angegeben ist. *SalesRegion*** 

**Header (nur wenn "Teil der Filter" auf "Header" festgelegt ist)**  
Wenn Sie in der Liste „**Teil der Anforderung, nach der gefiltert werden soll“ die** Option „**Kopfzeile**“ ausgewählt haben, wählen Sie eine Kopfzeile aus der Liste der allgemeinen Kopfzeilen aus, oder geben Sie den Namen einer Kopfzeile ein, die Classic untersuchen soll. AWS WAF 

**Übereinstimmungstyp**  
Wählen Sie in dem Teil der Anfrage, den AWS WAF Classic untersuchen soll, aus, wo die Zeichenfolge im Feld **Abgleichender Wert** erscheinen muss, damit sie diesem Filter entspricht:    
**Enthält**  
Die Zeichenfolge befindet sich an einer beliebigen Position innerhalb des angegebenen Anforderungsteils.   
**Enthält Wort**  
Der angegebene Teil der Webanforderungen muss **Value to match** enthalten und **Value to match** darf nur alphanumerische Zeichen oder Unterstriche (A-Z, a-z, 0-9 oder \$1) enthalten. Außerdem muss **Value to match** ein Wort sein und eines der folgenden Kriterien erfüllen:   
+ **Value to match** entspricht genau dem Wert des angegebenen Teils der Webanforderung, wie zum Beispiel dem Wert eines Headers.
+ **Value to match** befindet sich am Anfang des angegebenen Teils der Webanforderung, gefolgt von einem Zeichen, das kein alphanumerisches Zeichen und kein Unterstrich (\$1) ist, z. B. `BadBot;`.
+ **Value to match** befindet sich am Ende des angegebenen Teils der Webanforderung, nach von einem Zeichen, das kein alphanumerisches Zeichen und kein Unterstrich (\$1) ist, z. B. `;BadBot`.
+ **Value to match** befindet sich in der Mitte des angegebenen Teils der Webanforderung und es geht ein Zeichen voraus bzw. folgt ein Zeichen, das kein alphanumerisches Zeichen und kein Unterstrich (\$1) ist, z. B. `-BadBot;`.  
**Stimmt genau überein**  
Die Zeichenfolge und der Wert des angegebenen Teils der Anforderung sind identisch.  
**Beginnt mit**  
Die Zeichenfolge befindet sich am Anfang des angegebenen Teils der Anforderung.   
**Endet mit**  
Die Zeichenfolge befindet sich am Ende des angegebenen Teils der Anforderung. 

**Transformation**  
Eine Transformation formatiert eine Webanforderung neu, bevor AWS WAF Classic die Anfrage überprüft. Dadurch werden einige der ungewöhnlichen Formatierungen vermieden, die Angreifer in Webanfragen verwenden, um Classic zu umgehen AWS WAF .   
Sie können nur einen einzigen Texttransformationstyp angeben.  
Transformationen können die folgenden Vorgänge ausführen:    
**Keine**  
AWS WAF Classic führt keine Texttransformationen an der Webanforderung durch, bevor überprüft wird, ob die Zeichenfolge in **Value übereinstimmt**.  
**In Kleinbuchstaben konvertieren**  
AWS WAF Classic konvertiert Großbuchstaben (A-Z) in Kleinbuchstaben (a-z).  
**HTML-Dekodierung**  
AWS WAF Classic ersetzt HTML-kodierte Zeichen durch unkodierte Zeichen:  
+ Ersetzt `&quot;` durch `&`
+ Ersetzt `&nbsp;` durch ein geschütztes Leerzeichen
+ Ersetzt `&lt;` durch `<`
+ Ersetzt `&gt;` durch `>`
+ Ersetzt Zeichen im Hexadezimalformat `&#xhhhh;` mit dem entsprechenden Zeichen
+ Ersetzt Zeichen im Dezimalformat `&#nnnn;` mit dem entsprechenden Zeichen  
**Leerzeichen normalisieren**  
AWS WAF Classic ersetzt die folgenden Zeichen durch ein Leerzeichen (Dezimalzahl 32):  
+ \$1f, Zeilenvorschubzeichen, Dezimalzahl 12
+ \$1t, Tabulator, Dezimalzahl 9
+ \$1n, Zeilenumbruch, Dezimalzahl 10
+ \$1r, Wagenrücklauf, Dezimalzahl 13
+ \$1v, vertikaler Tabulator, Dezimalzahl 11
+ geschütztes Leerzeichen, Dezimalzahl 160
Diese Option ersetzt mehrere aufeinanderfolgende Leerzeichen durch 1 Leerzeichen.  
**Vereinfachen der Befehlszeile**  
Wenn Sie befürchten, dass Angreifer einen Befehlszeilen-Befehl des Betriebssystems einfügen und diesen Befehl ganz oder teilweise durch ungewöhnliche Formatierungen verbergen, verwenden Sie diese Option, um folgende Transformationen auszuführen:  
+ Löschen der folgenden Zeichen: \$1 " ' ^
+ Löschen von Leerzeichen vor den folgenden Zeichen: / (
+ Ersetzen der folgenden Zeichen durch ein Leerzeichen: , ;
+ Ersetzen mehrerer Leerzeichen durch ein Leerzeichen
+ Konvertieren von Groß- (A-Z) in Kleinbuchstaben (a-z)  
**URL-Dekodierung**  
Dekodieren Sie eine URL-kodierte Anforderung.

**Der Wert ist base64-kodiert**  
Aktivieren Sie dieses Kontrollkästchen, wenn der Wert in **Value to match** base64-kodiert ist. Verwenden Sie die base64-Kodierung, um nicht druckbare Zeichen wie z. B. Tabulatoren und Zeilenumbrüche anzugeben, die Angreifer in ihre Anforderungen aufnehmen.

**Wert, der zugeordnet werden soll**  
Geben Sie den Wert an, nach dem AWS WAF Classic in Webanfragen suchen soll. Die maximale Länge beträgt 50 Byte. Wenn Sie den Wert mit der base64-Kodierung verschlüsseln, gilt das 50-Byte-Limit für den Wert vor der Kodierung.

## Hinzufügen und Löschen von Filtern in einer Zeichenfolgen-Übereinstimmungsbedingung
<a name="classic-web-acl-string-conditions-editing"></a>

Sie können einer Zeichenfolgen-Übereinstimmungsbedingung Filter hinzufügen oder daraus löschen. Um einen Filter zu ändern, fügen Sie einen neuen hinzu und löschen den alten.<a name="classic-web-acl-string-conditions-editing-procedure"></a>

**So fügen Sie einer Zeichenfolgen-Übereinstimmungsbedingung Filter hinzu bzw. löschen sie**

1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die AWS WAF Konsole unter [https://console.aws.amazon.com/wafv2/](https://console.aws.amazon.com/wafv2/). 

   Wenn im Navigationsbereich **Zu AWS WAF Classic wechseln** angezeigt wird, wählen Sie es aus.

1. Wählen Sie im Navigationsbereich **String and regex matching** aus.

1. Wählen Sie die Bedingung aus, die Sie Filtern hinzufügen oder daraus löschen möchten.

1. Um Filter hinzuzufügen, führen Sie die folgenden Schritte aus:

   1. Wählen Sie **Add filter**.

   1. Geben Sie die entsprechenden Filtereinstellungen an. Weitere Informationen finden Sie unter [Werte, die Sie beim Erstellen oder Bearbeiten von Zeichenfolgen-Übereinstimmungsbedingungen angeben](#classic-web-acl-string-conditions-values).

   1. Wählen Sie **Hinzufügen** aus.

1. Um Filter zu löschen, führen Sie die folgenden Schritte aus:

   1. Wählen Sie den Filter aus, den Sie löschen möchten.

   1. Wählen Sie **Delete Filter**.

## Löschen von Zeichenfolgen-Übereinstimmungsbedingungen
<a name="classic-web-acl-string-conditions-deleting"></a>

Wenn Sie eine Zeichenfolgen-Übereinstimmungsbedingung löschen möchten, müssen Sie zuerst alle Filter in der Bedingung löschen und diese aus allen Regeln löschen, die sie verwenden. Dies wird im Folgenden beschrieben.<a name="classic-web-acl-string-conditions-deleting-procedure"></a>

**So löschen Sie eine Zeichenfolgen-Übereinstimmungsbedingung**

1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die AWS WAF Konsole unter [https://console.aws.amazon.com/wafv2/](https://console.aws.amazon.com/wafv2/). 

   Wenn im Navigationsbereich **Zu AWS WAF Classic wechseln** angezeigt wird, wählen Sie es aus.

1. Entfernen Sie die Zeichenfolgen-Übereinstimmungsbedingung aus den Regeln, die sie verwenden:

   1. Wählen Sie im Navigationsbereich **Regeln** aus.

   1. Wählen Sie den Namen einer Regel aus, die die Zeichenfolgen-Übereinstimmungsbedingung verwendet, die Sie löschen möchten.

   1. Wählen Sie im rechten Bereich die Registerkarte **Edit rule** aus.

   1. Wählen Sie **X** neben der Bedingung, die Sie löschen möchten.

   1. Wählen Sie **Aktualisieren** aus.

   1. Wiederholen Sie die Schritte b und c für alle übrigen Regeln, die die Zeichenfolgen-Übereinstimmungsbedingung verwenden, die Sie löschen möchten.

1. Entfernen Sie die Filter aus der Bedingung, die Sie löschen möchten:

   1. Wählen Sie im Navigationsbereich **String and regex matching** aus.

   1. Klicken Sie auf den Namen der Zeichenfolgen-Übereinstimmungsbedingung, die Sie löschen möchten.

   1. Aktivieren Sie im rechten Fenster das Kontrollkästchen neben **Filter**, um alle Filter auszuwählen.

   1. Wählen Sie **Delete filter**.

1. Wählen Sie im Navigationsbereich **String and regex matching** aus.

1. Wählen Sie im Bereich **String and regex match conditions** die Zeichenfolgen-Übereinstimmungsbedingung aus, die Sie löschen möchten.

1. Wählen Sie **Löschen** aus, um diese Bedingung zu löschen.

# Arbeiten mit Regex-Übereinstimmungsbedingungen
<a name="classic-web-acl-regex-conditions"></a>

**Warnung**  
AWS WAF Classic durchläuft einen geplanten end-of-life Prozess. In Ihrem AWS Health Dashboard finden Sie die Meilensteine und Daten, die für Ihre Region spezifisch sind.

**Anmerkung**  
Dies ist die **AWS WAF klassische** Dokumentation. Sie sollten diese Version nur verwenden, wenn Sie AWS WAF Ressourcen wie Regeln und Websites ACLs AWS WAF vor November 2019 erstellt und diese noch nicht auf die neueste Version migriert haben. Informationen zur Migration Ihrer Website finden Sie ACLs unter[Migrieren Sie Ihre AWS WAF Classic-Ressourcen zu AWS WAF](waf-migrating-from-classic.md).  
**Die neueste Version von** finden AWS WAF Sie unter[AWS WAF](waf-chapter.md). 

Wenn Sie Webanfragen basierend auf Zeichenfolgen zulassen oder blockieren möchten, die mit einem Muster eines regulären Ausdrucks (regex) übereinstimmen, das in den Anfragen erscheint, erstellen Sie eine oder mehrere regex-Abgleichsbedingungen. Eine Regex-Übereinstimmungsbedingung ist eine Art von Übereinstimmungsbedingung für Zeichenketten, die das Muster identifiziert, nach dem Sie suchen möchten, und den Teil von Webanfragen, wie z. B. einen angegebenen Header oder die Abfragezeichenfolge, den AWS WAF Classic auf das Muster untersuchen soll. Im weiteren Verlauf des Prozesses können Sie beim Erstellen einer Web-ACL angeben, ob Anforderungen, die das Muster enthalten, zugelassen oder blockiert werden sollen.

**Topics**
+ [Erstellen einer Regex-Übereinstimmungsbedingung](#classic-web-acl-regex-conditions-creating)
+ [Werte, die Sie angeben, wenn Sie RegEx Vergleichsbedingungen erstellen oder bearbeiten](#classic-web-acl-regex-conditions-values)
+ [Bearbeiten einer Regex-Übereinstimmungsbedingung](#classic-web-acl-regex-conditions-editing)

## Erstellen einer Regex-Übereinstimmungsbedingung
<a name="classic-web-acl-regex-conditions-creating"></a>

Wenn Sie Regex-Übereinstimmungsbedingungen erstellen, geben Sie Mustersätze an, die die Zeichenfolge (mit einem regulären Ausdruck) identifizieren, nach der Sie suchen möchten. Anschließend fügen Sie diese Mustersätze zu Filtern hinzu, die den Teil der Webanfragen angeben, den AWS WAF Classic auf diesen Mustersatz untersuchen soll, z. B. den URI oder die Abfragezeichenfolge.

Sie können einem einzelnen Mustersatz mehrere reguläre Ausdrücke hinzufügen. Wenn Sie dies tun, werden diese Ausdrücke mit einem *OR* kombiniert Das heißt, eine Webanforderung stimmt mit dem Mustersatz überein, wenn der entsprechende Teil der Anforderung mit einem der aufgeführten Ausdrücke übereinstimmt.

Wenn Sie einer Regel eine Regex-Übereinstimmungsbedingung hinzufügen, können Sie AWS WAF Classic auch so konfigurieren, dass Webanfragen zugelassen oder blockiert werden, die *nicht* den Werten in der Bedingung entsprechen.

AWS WAF Classic unterstützt die meisten [standardmäßigen Perl-kompatiblen regulären Ausdrücke (](http://www.pcre.org/)PCRE). Folgende Transaktionen werden allerdings nicht unterstützt:
+ Rückverweise und Erfassung von Teilausdrücken
+ Willkürliche Null-Breite-Assertionen
+ Subroutine-Referenzen und rekursive Muster
+ Bedingungsmuster
+ Rückverfolgung von Kontrollverben
+ Die \$1C Einbyte-Richtlinie
+ Die \$1 R-Newline-Match-Richtlinie
+ Die \$1 K-Start der Match-Reset-Richtlinie
+ Callouts und eingebetteter Code
+ Atomic Grouping und possessive Quantifizierer<a name="classic-web-acl-regex-conditions-creating-procedure"></a>

**So erstellen Sie eine Regex-Übereinstimmungsbedingung**

1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die AWS WAF Konsole unter. [https://console.aws.amazon.com/wafv2/](https://console.aws.amazon.com/wafv2/) 

   Wenn im Navigationsbereich **Zu AWS WAF Classic wechseln** angezeigt wird, wählen Sie es aus.

1. Wählen Sie im Navigationsbereich **String and regex matching** aus.

1. Wählen Sie **Create condition**.

1. Geben Sie die entsprechenden Filtereinstellungen an. Weitere Informationen finden Sie unter [Werte, die Sie angeben, wenn Sie RegEx Vergleichsbedingungen erstellen oder bearbeiten](#classic-web-acl-regex-conditions-values).

1. Wählen Sie **Create pattern set and add filter** (wenn Sie einen neuen Mustersatz erstellt haben) oder **Add filter**, wenn Sie einen vorhandenen Mustersatz verwendet haben.

1. Wählen Sie **Erstellen** aus.

## Werte, die Sie angeben, wenn Sie RegEx Vergleichsbedingungen erstellen oder bearbeiten
<a name="classic-web-acl-regex-conditions-values"></a>

Beim Erstellen oder Aktualisieren einer Regex-Übereinstimmungsbedingung geben Sie die folgenden Werte an: 

**Name**  
Geben Sie einen Namen für die regex-Abgleichsbedingung ein. Der Name darf nur alphanumerische Zeichen (A-Z, a-z, 0-9) oder die folgenden Sonderzeichen enthalten: \$1-\$1"\$1`\$1\$1\$1,./ . Sie können den Namen einer Bedingung nicht mehr ändern, nachdem Sie sie erstellt haben.

**Typ**  
Wählen Sie **Regex match**

**Teil der Anforderung, nach dem gefiltert werden soll**  
Wählen Sie den Teil jeder Webanforderung aus, den AWS WAF Classic auf das Muster überprüfen soll, das Sie unter Zuordnender **Wert angegeben haben**:    
**Header**  
Ein angegebener Anforderungs-Header, wie z. B. der `User-Agent`- oder `Referer`-Header. Wenn Sie **Header** auswählen, geben Sie den Namen des Headers im Feld **Header** an.  
**HTTP-Methode**  
Die HTTP-Methode, die den Typ der Operation angibt, die der Ursprung aufgrund der Anforderung ausführen soll. CloudFront unterstützt die folgenden Methoden: `DELETE`, `GET`, `HEAD`, `OPTIONS`, `PATCH`, `POST` und `PUT`.  
**Abfragezeichenfolge**  
Der Teil einer URL nach einem `?`-Zeichen, sofern vorhanden.  
**URI**  
Der URI-Pfad der Anfrage, der die Ressource identifiziert, `/images/daily-ad.jpg` z. B. Dies beinhaltet nicht die Abfragezeichenfolge oder die Fragmentkomponenten der URI. Informationen dazu finden Sie unter [Uniform Resource Identifier (URI): Generic Syntax](https://tools.ietf.org/html/rfc3986#section-3.3).   
Sofern keine **Transformation** angegeben ist, ist ein URI nicht normalisiert und wird genauso geprüft, wie er im Rahmen der Anfrage vom Client AWS empfangen wird. Eine **Transformation** formatiert die URI wie vorgegeben neu.  
**Fließtext**  
Der Teil einer Anforderung, der zusätzliche Daten enthält, die Sie als HTTP-Anforderungstext an Ihren Webserver senden möchten, wie z. B. Formulardaten.  
Wenn Sie für den Wert **Teil der Anforderung, nach dem gefiltert werden soll**, **Body** wählen, untersucht AWS WAF Classic nur die ersten 8192 Byte (8 KB). Um Anfragen zuzulassen oder zu blockieren, deren Hauptteil länger als 8192 Byte ist, können Sie eine Größenbeschränkungsbedingung erstellen. (AWS WAF Classic ermittelt die Länge des Hauptteils aus den Anforderungsheadern.) Weitere Informationen finden Sie unter [Arbeiten mit Größenbeschränkungsbedingungen](classic-web-acl-size-conditions.md).  
**Einzelner Abfrageparameter (ausschließlich Wert)**  
Jeder Parameter, den Sie als Teil der Abfragezeichenfolge definiert haben. Wenn die URL beispielsweise „www.xyz.com? UserName =abc& SalesRegion =seattle“ lautet, können Sie entweder dem Parameter oder einen Filter hinzufügen. *UserName*SalesRegion**   
Wenn doppelte Parameter in der Abfragezeichenfolge enthalten sind, werden die Werte als "ODER" gewertet. Das heißt, dass auch nur einer der Werte ausreicht, um eine Übereinstimmung auszulösen. **Beispiel: In der URL „www.xyz.com? SalesRegion =boston& SalesRegion =seattle“ löst ein Muster, das entweder mit „Boston“ oder „Seattle“ im Wert „Übereinstimmender Wert“ übereinstimmt, einen Treffer aus.**  
Wenn Sie **Einzelner Abfrageparamter (ausschließlich Wert)** auswählen, legen Sie auch einen **Abfrageparameternamen** fest. Dies ist der Parameter in der Abfragezeichenfolge, den Sie überprüfen werden, z. B. oder. *UserName*SalesRegion** Die maximale Länge für den **Abfrageparameternamen** beträgt 30 Zeichen. Der **Abfrageparametername** berücksichtigt keine Groß- und Kleinschreibung. Wenn Sie beispielsweise den **Namen des *UserName*Abfrageparameters** angeben, entspricht dieser Wert allen Varianten von *UserName*, z. B. *username* und *Us ERName*.  
**Alle Abfrageparameter (ausschließlich Werte)**  
Ähnlich wie **Einzelner Abfrageparameter (nur Wert)**, untersucht AWS WAF Classic jedoch nicht den Wert eines einzelnen Parameters, sondern überprüft den Wert aller Parameter innerhalb der Abfragezeichenfolge auf das Muster, das im Feld Passender **Wert** angegeben ist. Beispiel: In der URL „www.xyz.com? UserName =abc& SalesRegion =seattle“ ein Muster in **Value to match, das entweder dem Wert** in entspricht oder einen Treffer auslöst. *UserName*SalesRegion**

**Header (nur wenn "Teil der Filter" auf "Header" festgelegt ist)**  
Wenn Sie in der Liste „**Teil der Anforderung, nach der gefiltert werden soll“ die** Option „**Kopfzeile**“ ausgewählt haben, wählen Sie eine Kopfzeile aus der Liste der allgemeinen Kopfzeilen aus, oder geben Sie den Namen einer Kopfzeile ein, die Classic untersuchen soll. AWS WAF 

**Transformation**  
Eine Transformation formatiert eine Webanforderung neu, bevor AWS WAF Classic die Anfrage überprüft. Dadurch werden einige der ungewöhnlichen Formatierungen vermieden, die Angreifer in Webanfragen verwenden, um Classic zu umgehen AWS WAF .   
Sie können nur einen einzigen Texttransformationstyp angeben.  
Transformationen können die folgenden Vorgänge ausführen:    
**Keine**  
AWS WAF Classic führt keine Texttransformationen an der Webanforderung durch, bevor überprüft wird, ob die Zeichenfolge in **Value übereinstimmt**.  
**In Kleinbuchstaben konvertieren**  
AWS WAF Classic konvertiert Großbuchstaben (A-Z) in Kleinbuchstaben (a-z).  
**HTML-Dekodierung**  
AWS WAF Classic ersetzt HTML-kodierte Zeichen durch unkodierte Zeichen:  
+ Ersetzt `&quot;` durch `&`
+ Ersetzt `&nbsp;` durch ein geschütztes Leerzeichen
+ Ersetzt `&lt;` durch `<`
+ Ersetzt `&gt;` durch `>`
+ Ersetzt Zeichen im Hexadezimalformat `&#xhhhh;` mit dem entsprechenden Zeichen
+ Ersetzt Zeichen im Dezimalformat `&#nnnn;` mit dem entsprechenden Zeichen  
**Leerzeichen normalisieren**  
AWS WAF Classic ersetzt die folgenden Zeichen durch ein Leerzeichen (Dezimalzahl 32):  
+ \$1f, Zeilenvorschubzeichen, Dezimalzahl 12
+ \$1t, Tabulator, Dezimalzahl 9
+ \$1n, Zeilenumbruch, Dezimalzahl 10
+ \$1r, Wagenrücklauf, Dezimalzahl 13
+ \$1v, vertikaler Tabulator, Dezimalzahl 11
+ geschütztes Leerzeichen, Dezimalzahl 160
Diese Option ersetzt mehrere aufeinanderfolgende Leerzeichen durch 1 Leerzeichen.  
**Vereinfachen der Befehlszeile**  
Wenn Sie befürchten, dass Angreifer einen Befehlszeilen-Befehl des Betriebssystems einfügen und diesen Befehl ganz oder teilweise durch ungewöhnliche Formatierungen verbergen, verwenden Sie diese Option, um folgende Transformationen auszuführen:  
+ Löschen der folgenden Zeichen: \$1 " ' ^
+ Löschen von Leerzeichen vor den folgenden Zeichen: / (
+ Ersetzen der folgenden Zeichen durch ein Leerzeichen: , ;
+ Ersetzen mehrerer Leerzeichen durch ein Leerzeichen
+ Konvertieren von Groß- (A-Z) in Kleinbuchstaben (a-z)  
**URL-Dekodierung**  
Dekodieren Sie eine URL-kodierte Anforderung.

**Regex-Muster zur Übereinstimmung mit der Anfrage**  
Sie können einen bestehenden Mustersatz auswählen oder einen neuen erstellen. Wenn Sie einen neuen erstellen, geben Sie Folgendes an:    
Neuer Mustersatzname  
Geben Sie einen Namen ein und geben Sie dann das Regex-Muster an, nach dem AWS WAF Classic suchen soll.   
Wenn Sie einem Mustersatz mehrere reguläre Ausdrücke hinzufügen, werden diese Ausdrücke mit einem *OR* kombiniert. Das heißt, eine Webanforderung stimmt mit dem Mustersatz überein, wenn der entsprechende Teil der Anforderung mit einem der aufgeführten Ausdrücke übereinstimmt.  
Die maximale Länge von **Value to match** ist 70 Zeichen. 

## Bearbeiten einer Regex-Übereinstimmungsbedingung
<a name="classic-web-acl-regex-conditions-editing"></a>

Sie können die folgenden Änderungen an einer vorhandenen Regex-Übereinstimmungsbedingung vornehmen:
+ Löschen eines Musters aus einem vorhandenen Mustersatz
+ Hinzufügen eines Musters zu einem vorhandenen Mustersatz
+ Löschen eines Filters zu einer bestehenden Regex-Abgleichsbedingung
+ Fügen Sie einer vorhandenen Regex-Übereinstimmungsbedingung einen Filter hinzu (Sie können nur einen Filter in einer Regex-Übereinstimmungsbedingung verwenden. Um einen Filter hinzuzufügen, müssen Sie daher zuerst den vorhandenen Filter löschen.)
+ Löschen einer bestehenden Regex-Abgleichsbedingung

**Anmerkung**  
Sie können ein Mustersatz nicht aus einem vorhandenen Filter hinzufügen oder löschen. Sie müssen entweder den Mustersatz festlegen, bearbeiten oder löschen und einen neuen Filter mit einem neuen Mustersatz festlegen.<a name="classic-web-acl-regex-conditions-editing-procedure-delete-pattern"></a>

**Löschen eines Musters aus einem vorhandenen Mustersatz**

1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die AWS WAF Konsole unter [https://console.aws.amazon.com/wafv2/](https://console.aws.amazon.com/wafv2/). 

   Wenn im Navigationsbereich **Zu AWS WAF Classic wechseln** angezeigt wird, wählen Sie es aus.

1. Wählen Sie im Navigationsbereich **String and regex matching** aus.

1. Wählen Sie **View regex pattern sets**.

1. Klicken Sie auf den Namen des Mustersatzs, den Sie durchsuchen möchten.

1. Wählen Sie **Bearbeiten** aus.

1. Wählen Sie **X** neben dem Muster, das Sie löschen möchten.

1. Wählen Sie **Speichern**.<a name="classic-web-acl-regex-conditions-editing-procedure-add-pattern"></a>

**Hinzufügen eines Musters zu einem vorhandenen Mustersatz**

1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die AWS WAF Konsole unter [https://console.aws.amazon.com/wafv2/](https://console.aws.amazon.com/wafv2/). 

   Wenn im Navigationsbereich **Zu AWS WAF Classic wechseln** angezeigt wird, wählen Sie es aus.

1. Wählen Sie im Navigationsbereich **String and regex matching** aus.

1. Wählen Sie **View regex pattern sets**.

1. Klicken Sie auf den Namen des Mustersatzs, den Sie bearbeiten möchten.

1. Wählen Sie **Bearbeiten** aus.

1. Geben Sie ein neues RegEx-Muster ein.

1. Wählen Sie die **\$1** neben dem neuen Muster.

1. Wählen Sie **Speichern**.<a name="classic-web-acl-regex-conditions-editing-procedure-delete-filter"></a>

**Löschen eines Filters in einer vorhandenen Regex-Übereinstimmungsbedingung**

1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die AWS WAF Konsole unter [https://console.aws.amazon.com/wafv2/](https://console.aws.amazon.com/wafv2/). 

   Wenn im Navigationsbereich **Zu AWS WAF Classic wechseln** angezeigt wird, wählen Sie es aus.

1. Wählen Sie im Navigationsbereich **String and regex matching** aus.

1. Klicken Sie auf den Namen der Bedingung mit dem Filter, die Sie löschen möchten.

1. Wählen Sie das Kontrollkästchen neben dem Filter aus, den Sie löschen möchten.

1. Wählen Sie **Delete filter**.<a name="classic-web-acl-regex-conditions-editing-procedure-delete-regex-condition"></a>

**So löschen Sie eine Regex-Übereinstimmungsbedingung**

1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die AWS WAF Konsole unter [https://console.aws.amazon.com/wafv2/](https://console.aws.amazon.com/wafv2/). 

   Wenn im Navigationsbereich **Zu AWS WAF Classic wechseln** angezeigt wird, wählen Sie es aus.

1. Löschen Sie den Filter aus der Regex-Bedingung. Anweisungen dazu finden Sie unter [Löschen eines Filters in einer vorhandenen Regex-Übereinstimmungsbedingung](#classic-web-acl-regex-conditions-editing-procedure-delete-filter). )

1. Entfernen Sie die Regex-Übereinstimmungsbedingung aus den Regeln, die sie verwenden:

   1. Wählen Sie im Navigationsbereich **Regeln** aus.

   1. Wählen Sie den Namen einer Regel aus, die die Regex-Übereinstimmungsbedingung verwendet, die Sie löschen möchten.

   1. Wählen Sie im rechten Bereich die Registerkarte **Edit rule** aus.

   1. Wählen Sie **X** neben der Bedingung, die Sie löschen möchten.

   1. Wählen Sie **Aktualisieren** aus.

   1. Wiederholen Sie dies für alle übrigen Regeln, die die Regex-Übereinstimmungsbedingung verwenden, die Sie löschen möchten.

1. Wählen Sie im Navigationsbereich **String and regex matching** aus.

1. Wählen Sie die Schaltfläche neben der Bedingung, die Sie löschen möchten.

1. Wählen Sie **Löschen** aus.<a name="classic-web-acl-regex-conditions-editing-procedure-add-filter"></a>

**So fügen Sie einen Filter zu einer vorhandenen Regex-Übereinstimmungsbedingung hinzu oder ändern ihn**

Sie können nur einen Filter in einer Regex-Übereinstimmungsbedingung haben. Um einen Filter hinzuzufügen oder zu ändern, müssen Sie daher zuerst den vorhandenen Filter löschen.

1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die AWS WAF Konsole unter [https://console.aws.amazon.com/wafv2/](https://console.aws.amazon.com/wafv2/). 

   Wenn im Navigationsbereich **Zu AWS WAF Classic wechseln** angezeigt wird, wählen Sie es aus.

1. Löschen Sie den Filter aus der Regex-Bedingung, die Sie ändern möchten. Anweisungen dazu finden Sie unter [Löschen eines Filters in einer vorhandenen Regex-Übereinstimmungsbedingung](#classic-web-acl-regex-conditions-editing-procedure-delete-filter). )

1. Wählen Sie im Navigationsbereich **String and regex matching** aus.

1. Klicken Sie auf den Namen des Mustersatzes, den Sie durchsuchen möchten.

1. Wählen Sie **Add filter**.

1. Geben Sie die entsprechenden Werte für den neuen Filter ein und wählen Sie **Add**.

# Arbeiten mit Regeln
<a name="classic-web-acl-rules"></a>

**Warnung**  
AWS WAF Classic durchläuft einen geplanten end-of-life Prozess. In Ihrem AWS Health Dashboard finden Sie die Meilensteine und Daten, die für Ihre Region spezifisch sind.

**Anmerkung**  
Dies ist die **AWS WAF klassische** Dokumentation. Sie sollten diese Version nur verwenden, wenn Sie AWS WAF Ressourcen wie Regeln und Websites ACLs AWS WAF vor November 2019 erstellt und diese noch nicht auf die neueste Version migriert haben. Informationen zur Migration Ihrer Website finden Sie ACLs unter[Migrieren Sie Ihre AWS WAF Classic-Ressourcen zu AWS WAF](waf-migrating-from-classic.md).  
**Die neueste Version von** finden AWS WAF Sie unter[AWS WAF](waf-chapter.md). 

Mit Regeln können Sie gezielt auf die Webanfragen abzielen, die AWS WAF Classic zulassen oder blockieren soll, indem Sie genau die Bedingungen angeben, auf die AWS WAF Classic achten soll. AWS WAF Classic kann beispielsweise darauf achten, von welchen IP-Adressen Anfragen stammen, welche Zeichenfolgen die Anfragen enthalten und wo die Zeichenfolgen vorkommen und ob die Anfragen bösartigen SQL-Code zu enthalten scheinen.

**Topics**
+ [Erstellen einer Regel und Hinzufügen von Bedingungen](classic-web-acl-rules-creating.md)
+ [Hinzufügen und Entfernen von Bedingungen in einer Regel](classic-web-acl-rules-editing.md)
+ [Löschen einer Regel](classic-web-acl-rules-deleting.md)
+ [AWS Marketplace Regelgruppen](classic-waf-managed-rule-groups.md)

# Erstellen einer Regel und Hinzufügen von Bedingungen
<a name="classic-web-acl-rules-creating"></a>

**Warnung**  
AWS WAF Classic durchläuft derzeit einen geplanten end-of-life Prozess. In Ihrem AWS Health Dashboard finden Sie die Meilensteine und Daten, die für Ihre Region spezifisch sind.

**Anmerkung**  
Dies ist die **AWS WAF klassische** Dokumentation. Sie sollten diese Version nur verwenden, wenn Sie AWS WAF Ressourcen wie Regeln und Websites ACLs AWS WAF vor November 2019 erstellt und diese noch nicht auf die neueste Version migriert haben. Informationen zur Migration Ihrer Website finden Sie ACLs unter[Migrieren Sie Ihre AWS WAF Classic-Ressourcen zu AWS WAF](waf-migrating-from-classic.md).  
**Die neueste Version von** finden AWS WAF Sie unter[AWS WAF](waf-chapter.md). 

Wenn Sie einer Regel mehr als eine Bedingung hinzufügen, muss eine Webanforderung alle Bedingungen erfüllen, damit AWS WAF Classic Anfragen, die auf dieser Regel basieren, zulässt oder blockiert.<a name="classic-web-acl-rules-creating-procedure"></a>

**So erstellen Sie eine Regel und fügen Bedingungen hinzu**

1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die AWS WAF Konsole unter [https://console.aws.amazon.com/wafv2/](https://console.aws.amazon.com/wafv2/). 

   Wenn im Navigationsbereich **Zu AWS WAF Classic wechseln** angezeigt wird, wählen Sie es aus.

1. Wählen Sie im Navigationsbereich **Regeln** aus.

1. Wählen Sie **Regel erstellen** aus.

1. Geben Sie die folgenden Werte ein:  
**Name**  
Geben Sie einen Namen ein.   
**CloudWatch Name der Metrik**  
Geben Sie einen Namen für die CloudWatch Metrik ein, die AWS WAF Classic erstellen und der Regel zuordnen wird. Der Name darf nur alphanumerische Zeichen (A-Z, a-z, 0-9) mit höchstens 128 und mindestens einem Zeichen enthalten. Er darf keine Leerzeichen oder Metriknamen enthalten, die für AWS WAF Classic reserviert sind, einschließlich „All“ und „Default\$1Action“.  
**Art der Regel**  
Wählen Sie `Regular rule` oder `Rate–based rule`. Ratenbasierte Regeln sind identisch mit regulären Regeln, berücksichtigen aber auch, wie viele Anfragen von einer IP-Adresse in einem Zeitraum von fünf Minuten eingehen. Weitere Informationen zu diesen Arten von Regeln finden Sie unter [So funktioniert AWS WAF Classic](classic-how-aws-waf-works.md).  
**Ratenlimit**  
Geben Sie bei einer ratenbasierten Regel die maximale Anzahl von Anfragen ein, die in einem Zeitraum von fünf Minuten von einer IP-Adresse, die den Bedingungen der Regel entspricht, zulässig sind. Das Ratenlimit muss mindestens 100 betragen.   
Sie können ein Ratenlimit allein oder ein Ratenlimit und Konditionen angeben. Wenn Sie nur ein Ratenlimit angeben, wird das AWS WAF Limit auf alle IP-Adressen angewendet. Wenn Sie ein Ratenlimit und Bedingungen angeben, AWS WAF wird das Limit auf IP-Adressen festgelegt, die den Bedingungen entsprechen.   
Wenn eine IP-Adresse den Schwellenwert für die Ratenbegrenzung erreicht, wird die zugewiesene Aktion (Blockieren oder Zählen) so schnell wie möglich AWS WAF angewendet, normalerweise innerhalb von 30 Sekunden. Sobald die Aktion ausgeführt wurde und fünf Minuten ohne Anfragen von der IP-Adresse vergangen sind, AWS WAF wird der Zähler auf Null zurückgesetzt.

1. Wenn Sie der Regel eine Bedingung hinzufügen möchten, geben Sie die folgenden Werte an:   
**Wenn eine Anfrage does/does nicht**  
Wenn Sie möchten, dass AWS WAF Classic Anfragen basierend auf den Filtern in einer Bedingung zulässt oder blockiert, wählen Sie „**tut**“. **Wenn eine IP-Übereinstimmungsbedingung beispielsweise den IP-Adressbereich 192.0.2.0/24 umfasst und Sie möchten, dass AWS WAF Classic Anfragen, die von diesen IP-Adressen kommen, zulässt oder blockiert, wählen Sie tut.**  
**Wenn AWS WAF Classic Anfragen zulassen oder blockieren soll, die auf der Umkehrung der Filter in einer Bedingung basieren, wählen Sie „Nicht“.** **Wenn eine IP-Übereinstimmungsbedingung beispielsweise den IP-Adressbereich 192.0.2.0/24 umfasst und Sie möchten, dass AWS WAF Classic Anfragen zulässt oder blockiert, die nicht von diesen IP-Adressen stammen, wählen *Sie „Nicht*“.**  
**übereinstimmen mit/stammen von**  
Wählen Sie die Art der Bedingung aus, die Sie der Regel hinzufügen möchten:  
   + Siteübergreifende Scripting-Übereinstimmungsbedingungen — Wählen Sie, ob **mindestens einem der Filter in der Abgleichsbedingung für standortübergreifendes Scripting entsprechen** muss
   + IP-Übereinstimmungsbedingungen — wählen Sie, ob sie von einer IP-Adresse **stammen aus**
   + Geo-Match-Bedingungen — wählen Sie **aus, dass sie von einem geografischen Standort stammen in**
   + Größenbeschränkungsbedingungen — Wählen Sie aus, ob **mindestens einer der Filter in der Größenbeschränkungsbedingung entspricht**
   + Übereinstimmungsbedingungen für SQL-Injection — Wählen Sie aus, ob **mindestens einer der Filter in der SQL-Injection-Abgleichsbedingung entspricht**
   + Bedingungen für den Abgleich von Zeichenketten — wählen Sie, ob **mindestens einer der Filter in der Bedingung für die Übereinstimmung mit Zeichenketten übereinstimmen muss**
   + Übereinstimmungsbedingungen für reguläre Ausdrücke — wählen Sie, ob **mindestens einem der Filter in der Regex-Abgleichsbedingung entspricht**  
**Bedingungsname**  
Wählen Sie die Bedingung aus, die Sie der Regel hinzufügen möchten. Die Liste enthält nur Bedingungen des Typs, den Sie im vorherigen Schritt ausgewählt haben.

1. Um der Regel eine andere Bedingung hinzufügen, wählen Sie **Add another condition**, und wiederholen Sie die Schritte 4 und 5. Beachten Sie Folgendes:
   + Wenn Sie mehr als eine Bedingung hinzufügen, muss eine Webanforderung mindestens einem Filter in jeder Bedingung entsprechen, damit AWS WAF Classic Anfragen, die auf dieser Regel basieren, zulässt oder blockiert 
   + Wenn Sie derselben Regel zwei IP-Übereinstimmungsbedingungen hinzufügen, erlaubt oder blockiert AWS WAF Classic nur Anfragen, die von IP-Adressen stammen, die in beiden IP-Übereinstimmungsbedingungen vorkommen 

1. Wählen Sie nach dem Hinzufügen der Bedingungen **Erstellen** aus.

# Hinzufügen und Entfernen von Bedingungen in einer Regel
<a name="classic-web-acl-rules-editing"></a>

**Warnung**  
AWS WAF Classic durchläuft derzeit einen geplanten end-of-life Prozess. In Ihrem AWS Health Dashboard finden Sie die Meilensteine und Daten, die für Ihre Region spezifisch sind.

**Anmerkung**  
Dies ist die **AWS WAF klassische** Dokumentation. Sie sollten diese Version nur verwenden, wenn Sie AWS WAF Ressourcen wie Regeln und Websites ACLs AWS WAF vor November 2019 erstellt und diese noch nicht auf die neueste Version migriert haben. Informationen zur Migration Ihrer Website finden Sie ACLs unter[Migrieren Sie Ihre AWS WAF Classic-Ressourcen zu AWS WAF](waf-migrating-from-classic.md).  
**Die neueste Version von** finden AWS WAF Sie unter[AWS WAF](waf-chapter.md). 

Sie können eine Regel ändern, indem Sie Bedingungen hinzufügen oder entfernen. <a name="classic-web-acl-rules-editing-procedure"></a>

**So fügen Sie Bedingungen in einer Regel hinzu oder entfernen sie**

1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die AWS WAF Konsole unter [https://console.aws.amazon.com/wafv2/](https://console.aws.amazon.com/wafv2/). 

   Wenn im Navigationsbereich **Zu AWS WAF Classic wechseln** angezeigt wird, wählen Sie es aus.

1. Wählen Sie im Navigationsbereich **Regeln** aus.

1. Wählen Sie den Namen der Regel aus, in der Sie Bedingungen hinzufügen oder entfernen möchten.

1. Wählen Sie **Regel hinzufügen** aus.

1. Wenn Sie eine Bedingung hinzufügen möchten, wählen Sie **Add condition**, aus und geben Sie die folgenden Werte an:  
**Wenn eine Anfrage does/does nicht**  
**Wenn Sie möchten, dass AWS WAF Classic Anfragen auf der Grundlage der Filter in einer Bedingung zulässt oder blockiert, z. B. Webanfragen, die aus dem IP-Adressbereich 192.0.2.0/24 stammen, wählen Sie dies aus.**  
**Wenn AWS WAF Classic Anfragen zulassen oder blockieren soll, die auf der Umkehrung der Filter in einer Bedingung basieren, wählen Sie „Nicht“.** **Wenn eine IP-Übereinstimmungsbedingung beispielsweise den IP-Adressbereich 192.0.2.0/24 umfasst und Sie möchten, dass AWS WAF Classic Anfragen zulässt oder blockiert, die nicht von diesen IP-Adressen stammen, wählen *Sie „Nicht*“.**  
**übereinstimmen mit/stammen von**  
Wählen Sie die Art der Bedingung aus, die Sie der Regel hinzufügen möchten:  
   + Siteübergreifende Scripting-Übereinstimmungsbedingungen — Wählen Sie, ob **mindestens einem der Filter in der Abgleichsbedingung für standortübergreifendes Scripting entsprechen** muss
   + IP-Übereinstimmungsbedingungen — wählen Sie aus, dass sie von einer IP-Adresse **stammen aus**
   + Geo-Match-Bedingungen — wählen Sie **aus, dass sie von einem geografischen Standort stammen in**
   + Größenbeschränkungsbedingungen — Wählen Sie aus, ob **mindestens einer der Filter in der Größenbeschränkungsbedingung entspricht**
   + Übereinstimmungsbedingungen für SQL-Injection — Wählen Sie aus, ob **mindestens einer der Filter in der SQL-Injection-Abgleichsbedingung entspricht**
   + Bedingungen für den Abgleich von Zeichenketten — wählen Sie, ob **mindestens einer der Filter in der Bedingung für die Übereinstimmung mit Zeichenketten übereinstimmen muss**
   + Übereinstimmungsbedingungen für reguläre Ausdrücke — wählen Sie, ob **mindestens einem der Filter in der Regex-Abgleichsbedingung entsprechen** muss  
***Bedingungsname***  
Wählen Sie die Bedingung aus, die Sie der Regel hinzufügen möchten. Die Liste enthält nur Bedingungen des Typs, den Sie im vorherigen Schritt ausgewählt haben.

1. Um eine Bedingung zu entfernen, wählen Sie das **X** rechts neben dem Bedingungsnamen

1. Wählen Sie **Aktualisieren**.

# Löschen einer Regel
<a name="classic-web-acl-rules-deleting"></a>

**Warnung**  
AWS WAF Classic durchläuft einen geplanten end-of-life Prozess. In Ihrem AWS Health Dashboard finden Sie die Meilensteine und Daten, die für Ihre Region spezifisch sind.

**Anmerkung**  
Dies ist die **AWS WAF klassische** Dokumentation. Sie sollten diese Version nur verwenden, wenn Sie AWS WAF Ressourcen wie Regeln und Websites ACLs AWS WAF vor November 2019 erstellt und diese noch nicht auf die neueste Version migriert haben. Informationen zur Migration Ihrer Website finden Sie ACLs unter[Migrieren Sie Ihre AWS WAF Classic-Ressourcen zu AWS WAF](waf-migrating-from-classic.md).  
**Die neueste Version von** finden AWS WAF Sie unter[AWS WAF](waf-chapter.md). 

Wenn Sie eine Regel löschen möchten, müssen Sie zuerst die Regel aus dem Internet entfernen ACLs , das sie verwendet, und die in der Regel enthaltenen Bedingungen entfernen.<a name="classic-web-acl-rules-deleting-procedure"></a>

**So löschen Sie eine Regel**

1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die AWS WAF Konsole unter [https://console.aws.amazon.com/wafv2/](https://console.aws.amazon.com/wafv2/). 

   Wenn im Navigationsbereich **Zu AWS WAF Classic wechseln** angezeigt wird, wählen Sie es aus.

1. Um die Regel aus dem Web zu entfernen ACLs , das sie verwendet, führen Sie für jedes Web die folgenden Schritte aus ACLs:

   1. Wählen Sie im Navigationsbereich **Web** aus ACLs.

   1. Wählen Sie den Namen einer Web-ACL aus, von der die Regel, die Sie löschen möchten, verwendet wird.
**Anmerkung**  
Wenn Sie die Web-ACL nicht sehen, stellen Sie sicher, dass die Auswahl der Region korrekt ist. Websites ACLs , die CloudFront Amazon-Distributionen schützen, befinden sich in **Global (CloudFront)**.

   1. Wählen Sie die Registerkarte **Rules** (Regeln).

   1. Wählen Sie **Edit Web ACL** aus.

   1. Wählen Sie das **X** rechts neben der Regel aus, die Sie löschen möchten, und wählen Sie dann **Aktualisieren** aus.

1. Wählen Sie im Navigationsbereich **Regeln** aus.

1. Wählen Sie den Namen der Regel aus, die Sie löschen möchten.
**Anmerkung**  
Wenn Sie die Regel nicht sehen, stellen Sie sicher, dass die Auswahl der Region korrekt ist. Regeln zum Schutz von CloudFront Amazon-Distributionen finden Sie in **Global (CloudFront)**.

1. Wählen Sie **Löschen** aus.

# AWS Marketplace Regelgruppen
<a name="classic-waf-managed-rule-groups"></a>

**Warnung**  
AWS WAF Classic durchläuft gerade einen geplanten end-of-life Prozess. In Ihrem AWS Health Dashboard finden Sie die Meilensteine und Daten, die für Ihre Region spezifisch sind.

**Anmerkung**  
Dies ist die **AWS WAF klassische** Dokumentation. Sie sollten diese Version nur verwenden, wenn Sie AWS WAF Ressourcen wie Regeln und Websites ACLs AWS WAF vor November 2019 erstellt und diese noch nicht auf die neueste Version migriert haben. Informationen zur Migration Ihrer Website finden Sie ACLs unter[Migrieren Sie Ihre AWS WAF Classic-Ressourcen zu AWS WAF](waf-migrating-from-classic.md).  
**Die neueste Version von** finden AWS WAF Sie unter[AWS WAF](waf-chapter.md). 

AWS WAF Classic bietet *AWS Marketplace Regelgruppen*, mit denen Sie Ihre Ressourcen schützen können. AWS Marketplace Regelgruppen sind Sammlungen vordefinierter ready-to-use Regeln, die von AWS Partnerunternehmen geschrieben AWS und aktualisiert wurden.

Einige AWS Marketplace Regelgruppen wurden entwickelt, um bestimmte Arten von Webanwendungen wie WordPress Joomla oder PHP zu schützen. Andere AWS Marketplace Regelgruppen bieten umfassenden Schutz vor bekannten Bedrohungen oder häufigen Sicherheitslücken in Webanwendungen, wie sie beispielsweise in den [OWASP](https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project) Top 10 aufgeführt sind.

Sie können eine einzelne AWS Marketplace Regelgruppe von Ihrem bevorzugten AWS Partner installieren, und Sie können auch Ihre eigenen, benutzerdefinierten AWS WAF Classic-Regeln hinzufügen, um den Schutz zu erhöhen. Wenn Sie behördlichen Auflagen wie PCI oder HIPAA unterliegen, können Sie möglicherweise AWS Marketplace Regelgruppen verwenden, um die Firewall-Anforderungen für Webanwendungen zu erfüllen.

AWS Marketplace Regelgruppen sind ohne langfristige Verträge und ohne Mindestverpflichtungen erhältlich. Wenn Sie eine Regelgruppe abonnieren, werden Ihnen monatliche Gebühren (auf Stunden umgelegt) und kontinuierliche Gebühren für Anforderungen nach Volumen berechnet. Weitere Informationen finden Sie unter [AWS WAF Klassische Preisgestaltung](https://aws.amazon.com/waf/pricing/) und in der Beschreibung der einzelnen AWS Marketplace Regelgruppen unter AWS Marketplace.

## Automatische Updates
<a name="classic-waf-managed-rule-group-updates"></a>

Es kann zeitaufwändig und teuer sein, sich über die sich ständig ändernde Bedrohungslandschaft auf dem Laufenden zu halten. AWS Marketplace Regelgruppen können Ihnen bei der Implementierung und Verwendung von AWS WAF Classic Zeit sparen. Ein weiterer Vorteil besteht darin, dass AWS unsere AWS Partner AWS Marketplace Regelgruppen automatisch aktualisieren, wenn neue Sicherheitslücken und Bedrohungen auftauchen.

Viele unserer Partner werden vor der Veröffentlichung über neue Schwachstellen informiert. Sie können ihre Regelgruppen aktualisieren und sie für Sie bereitstellen, bevor eine neue Bedrohung weithin bekannt ist. Viele von ihnen haben auch Teams für die Erforschung von Bedrohungen und die Analyse der neuesten Bedrohungen, um die relevantesten Regeln zu schreiben.

## Zugriff auf die Regeln in einer AWS Marketplace Regelgruppe
<a name="classic-waf-managed-rule-group-edits"></a>

Jede AWS Marketplace Regelgruppe bietet eine umfassende Beschreibung der Arten von Angriffen und Sicherheitslücken, vor denen sie schützen soll. Um das geistige Eigentum der Regelgruppenanbieter zu schützen, können Sie die einzelnen Regeln nicht innerhalb einer Regelgruppe anzeigen. Diese Einschränkung hilft auch, böswillige Benutzer daran zu hindern, Bedrohungen zu entwerfen, die speziell veröffentlichte Regeln umgehen.

Da Sie einzelne Regeln in einer AWS Marketplace Regelgruppe nicht anzeigen können, können Sie auch keine Regeln in einer AWS Marketplace Regelgruppe bearbeiten. Sie können jedoch spezifische Regeln aus einer Regelgruppe ausschließen. Dies wird als „Regelgruppenausnahme“ bezeichnet. Durch den Ausschluss werden die betreffenden Regeln nicht entfernt. Stattdessen wird die Aktion für die Regeln auf `COUNT` festgelegt. Anforderungen, die mit einer ausgeschlossenen Regel übereinstimmen, werden daher gezählt, aber nicht blockiert. Sie erhalten für jede ausgeschlossene Regel COUNT-Metriken.

Der Ausschluss von Regeln kann nützlich sein, wenn Sie Fehler für Regelgruppen beheben möchten, die den Datenverkehr unerwartet blockieren (falsch-positive Regeln). Eine Fehlerbehebungstechnik besteht in der Identifizierung der spezifischen Regel innerhalb der Regelgruppe, die den gewünschten Datenverkehr blockiert, und diese Regel anschließend zu deaktivieren (auszuschließen).

Zusätzlich zum Ausschluss spezifischer Regeln können Sie den Schutz optimieren, indem Sie ganze Regelgruppen aktivieren oder deaktivieren und die Regelgruppenaktion auswählen, die ausgeführt werden soll. Weitere Informationen finden Sie unter [AWS Marketplace Regelgruppen verwenden](#classic-waf-managed-rule-group-using). 

## Kontingente
<a name="classic-waf-managed-rule-group-limits"></a>

Sie können nur eine AWS Marketplace Regelgruppe aktivieren. Sie können auch eine benutzerdefinierte Regelgruppe aktivieren, mit der Sie erstellen AWS Firewall Manager. Diese Regelgruppen zählen für das maximale Kontingent von 10 Regeln pro Web-ACL. Daher können Sie eine AWS Marketplace Regelgruppe, eine benutzerdefinierte Regelgruppe und bis zu acht benutzerdefinierte Regeln in einer einzigen Web-ACL haben.

## Preisgestaltung
<a name="classic-waf-managed-rule-group-pricing"></a>

Die Preise für AWS Marketplace Regelgruppen finden Sie unter [AWS WAF Klassische Preisgestaltung](https://aws.amazon.com/waf/pricing/) und in der Beschreibung der einzelnen AWS Marketplace Regelgruppen unter AWS Marketplace.

## AWS Marketplace Regelgruppen verwenden
<a name="classic-waf-managed-rule-group-using"></a>

Sie können AWS Marketplace Regelgruppen auf der AWS WAF Classic-Konsole abonnieren und abbestellen. Sie können auch spezifische Regeln aus einer Regelgruppe ausschließen.<a name="classic-waf-managed-rule-group-using-procedure"></a>

**Um eine AWS Marketplace Regelgruppe zu abonnieren und zu verwenden**

1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die AWS WAF Konsole unter [https://console.aws.amazon.com/wafv2/](https://console.aws.amazon.com/wafv2/). 

   Wenn im Navigationsbereich **Zu AWS WAF Classic wechseln** angezeigt wird, wählen Sie es aus.

1. Wählen Sie im Navigationsbereich die Option **Marketplace** aus.

1. Wählen Sie im Abschnitt **Available marketplace products** den Namen einer Regelgruppe aus, um die Details und Preisinformationen anzuzeigen.

1. Wenn Sie die Regelgruppe abonnieren möchten, wählen Sie **Continue**.
**Anmerkung**  
Wenn Sie diese Regelgruppe nicht abonnieren möchten, schließen Sie einfach diese Seite in Ihrem Browser.

1. Wählen Sie **Set up your account**.

1. Fügen Sie die Regelgruppe zu einer Web-ACL hinzu, so wie Sie eine einzelne Regel hinzufügen würden. Für weitere Informationen siehe [Erstellen einer Web-ACL](classic-web-acl-creating.md) oder [Bearbeiten einer Web-ACL](classic-web-acl-editing.md).
**Anmerkung**  
Wenn Sie einer Web-ACL eine Regelgruppe hinzufügen, wird die von Ihnen für die Regelgruppe festgelegte Aktion (**No override (Keine Überschreibung)** oder **Override to count (Überschreiben für Zähler)**) als Regelgruppen-Überschreibungsaktion bezeichnet. Weitere Informationen finden Sie unter [Überschreiben der Regelgruppe](#classic-waf-managed-rule-group-override).<a name="classic-waf-managed-rule-group-unsubscribe-procedure"></a>

**Um sich von einer AWS Marketplace Regelgruppe abzumelden**

1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die AWS WAF Konsole unter [https://console.aws.amazon.com/wafv2/](https://console.aws.amazon.com/wafv2/). 

   Wenn im Navigationsbereich **Zu AWS WAF Classic wechseln** angezeigt wird, wählen Sie es aus.

1. Entfernen Sie die Regelgruppe aus dem gesamten Web ACLs. Weitere Informationen finden Sie unter [Bearbeiten einer Web-ACL](classic-web-acl-editing.md).

1. Wählen Sie im Navigationsbereich die Option **Marketplace** aus.

1. Wählen Sie **Manage Your Subscriptions**.

1. Wählen Sie **Cancel subscription** neben den Namen der Regelgruppe, die Sie kündigen möchten.

1. Wählen Sie **Yes, cancel subscription**.<a name="classic-waf-managed-rule-group-exclude-rule-procedure"></a>

**So schließen Sie eine Regel aus einer Regelgruppe aus (Regelgruppenausnahme):**

1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die AWS WAF Konsole unter [https://console.aws.amazon.com/wafv2/](https://console.aws.amazon.com/wafv2/). 

   Wenn im Navigationsbereich **Zu AWS WAF Classic wechseln** angezeigt wird, wählen Sie es aus.

1. Falls nicht bereits aktiviert, aktivieren Sie die AWS WAF klassische Protokollierung. Weitere Informationen finden Sie unter [Protokollieren von Web-ACL-Traffic-Informationen](classic-logging.md). Verwenden Sie die AWS WAF Classic-Protokolle, um IDs die Regeln zu identifizieren, die Sie ausschließen möchten. Dies sind in der Regel Regeln, die legitime Anforderungen blockieren.

1. Wählen Sie im Navigationsbereich **Web** aus ACLs.

1. Wählen Sie den Namen der Web-ACL aus, die Sie bearbeiten möchten. Dadurch wird im rechten Bereich eine Seite mit den Details der Web-ACL geöffnet.
**Anmerkung**  
Die Regelgruppe, die Sie bearbeiten möchten, muss mit einer Web-ACL verknüpft sein, um eine Regel aus dieser Regelgruppe ausschließen zu können.

1. Wählen Sie auf der Registerkarte **Rules** im rechten Bereich **Edit web ACL**.

1. Erweitern Sie im Abschnitt **Rule group exceptions (Regelgruppenausnahmen)** die Regelgruppe, die Sie bearbeiten möchten.

1. Wählen Sie neben der Regel, die Sie ausschließen möchten, **X** aus. Sie können die richtige Regel-ID anhand der AWS WAF Classic-Protokolle ermitteln.

1. Wählen Sie **Aktualisieren** aus.

   Durch den Ausschluss werden die betroffenen Regeln nicht aus der Regelgruppe entfernt. Stattdessen wird die Aktion für die Regeln auf `COUNT` festgelegt. Anforderungen, die mit einer ausgeschlossenen Regel übereinstimmen, werden daher gezählt, aber nicht blockiert. Sie erhalten für jede ausgeschlossene Regel `COUNT`-Metriken.
**Anmerkung**  
Sie können dieses Verfahren auch verwenden, um Regeln aus benutzerdefinierten Regelgruppen auszuschließen, die Sie in AWS Firewall Manager erstellt haben. Anstatt eine Regel auf diese Weise aus einer benutzerdefinierten Regelgruppe auszuschließen, können Sie eine benutzerdefinierte Regel auch einfach anhand der in [Hinzufügen und Löschen von Regeln aus einer AWS WAF klassischen Regelgruppe](classic-rule-group-editing.md) beschriebenen Schritte bearbeiten.

## Überschreiben der Regelgruppe
<a name="classic-waf-managed-rule-group-override"></a>

AWS Marketplace Für Regelgruppen gibt es zwei mögliche Aktionen: „**Keine Überschreibung**“ und „**Überschreiben, um zu zählen**“. Wenn Sie die Regelgruppe testen möchten, setzen Sie die Aktion auf **Override to count**. Diese Regelgruppenaktion überschreibt alle *Blockierungs*-Aktionen, die von einzelnen Regeln innerhalb der Gruppe angegeben werden. Wenn also die Aktion der Regelgruppe auf **Override to count** gesetzt ist, statt potenziell übereinstimmende Anforderungen basierend auf der Aktion einzelner Regeln innerhalb der Gruppe zu blockieren, werden diese Anforderungen erfasst. Wenn Sie dagegen die Aktion der Regelgruppe auf **No override** setzen, werden Aktionen der einzelnen Regeln innerhalb der Gruppe verwendet.

## Problembehandlung bei AWS Marketplace Regelgruppen
<a name="classic-waf-managed-rule-group-troubleshooting"></a>

Wenn Sie feststellen, dass eine AWS Marketplace Regelgruppe legitimen Datenverkehr blockiert, führen Sie die folgenden Schritte aus.<a name="classic-waf-managed-rule-group-troubleshooting-procedure"></a>

**Um Fehler bei einer AWS Marketplace Regelgruppe zu beheben**

1. Schließen Sie die spezifischen Regeln aus, die legitimen Datenverkehr blockieren. Mithilfe der AWS WAF Classic-Protokolle können Sie feststellen, welche Regeln welche Anfragen blockieren. Weitere Informationen zum Ausschließen von Regeln finden Sie unter [So schließen Sie eine Regel aus einer Regelgruppe aus (Regelgruppenausnahme):](#classic-waf-managed-rule-group-exclude-rule-procedure).

1. Wenn das Problem durch das Ausschließen bestimmter Regeln nicht behoben werden kann, können Sie die Aktion für die AWS Marketplace Regelgruppe von „**Keine Überschreibung“ in „Überschreiben**“ ändern**, um zu zählen**. Dadurch kann die Webanforderung unabhängig von den einzelnen Regelaktionen innerhalb der Regelgruppe durchlaufen werden. Dadurch erhalten Sie auch CloudWatch Amazon-Metriken für die Regelgruppe.

1. Nachdem Sie die AWS Marketplace Regelgruppenaktion auf **Override to count** gesetzt haben, wenden Sie sich an das Kundenserviceteam des Regelgruppenanbieters, um das Problem weiter zu beheben. Kontaktinformationen finden Sie in der Regelgruppenliste auf den Produktlistenseiten auf AWS Marketplace.

### Kontakt zum Kundenservice
<a name="classic-waf-managed-rule-group-troubleshooting-support"></a>

Bei Problemen mit AWS WAF Classic oder einer Regelgruppe, die von verwaltet wird AWS, wenden Sie sich an AWS Support. Bei Problemen mit einer Regelgruppe, die von einem AWS Partner verwaltet wird, wenden Sie sich an das Kundensupport-Team dieses Partners. Kontaktinformationen für Partner finden Sie in der Liste des Partners unter AWS Marketplace.

## AWS Marketplace Regelgruppen erstellen und verkaufen
<a name="classic-waf-managed-rule-group-creating"></a>

Wenn Sie AWS Marketplace Regelgruppen weiterverkaufen möchten AWS Marketplace, finden Sie weitere Informationen unter [So verkaufen Sie Ihre Software weiter AWS Marketplace](https://aws.amazon.com/marketplace/management/tour/).

# Mit dem Web arbeiten ACLs
<a name="classic-web-acl-working-with"></a>

**Warnung**  
AWS WAF Classic durchläuft gerade einen geplanten end-of-life Prozess. In Ihrem AWS Health Dashboard finden Sie die Meilensteine und Daten, die für Ihre Region spezifisch sind.

**Anmerkung**  
Dies ist die **AWS WAF klassische** Dokumentation. Sie sollten diese Version nur verwenden, wenn Sie AWS WAF Ressourcen wie Regeln und Websites ACLs AWS WAF vor November 2019 erstellt und diese noch nicht auf die neueste Version migriert haben. Informationen zur Migration Ihrer Website finden Sie ACLs unter[Migrieren Sie Ihre AWS WAF Classic-Ressourcen zu AWS WAF](waf-migrating-from-classic.md).  
**Die neueste Version von** finden AWS WAF Sie unter[AWS WAF](waf-chapter.md). 

Wenn Sie einer Web-ACL Regeln hinzufügen, geben Sie an, ob AWS WAF Classic Anfragen auf der Grundlage der Bedingungen in den Regeln zulassen oder blockieren soll. Wenn Sie einer Web-ACL mehr als eine Regel hinzufügen, bewertet AWS WAF Classic jede Anfrage anhand der Regeln in der Reihenfolge, in der Sie sie in der Web-ACL auflisten. Wenn eine Webanforderung alle Bedingungen in einer Regel erfüllt, führt AWS WAF Classic sofort die entsprechende Aktion aus — Zulassen oder Blockieren — und wertet die Anfrage nicht anhand der verbleibenden Regeln in der Web-ACL aus, falls vorhanden. 

Wenn eine Webanforderung keiner der Regeln in einer Web-ACL entspricht, führt AWS WAF Classic die Standardaktion aus, die Sie für die Web-ACL angegeben haben. Weitere Informationen finden Sie unter [Bestimmen der Standardaktion für eine Web-ACL](classic-web-acl-default-action.md).

Wenn Sie eine Regel testen möchten, bevor Sie sie zum Zulassen oder Blockieren von Anfragen verwenden, können Sie AWS WAF Classic so konfigurieren, dass die Webanfragen gezählt werden, die den Bedingungen in der Regel entsprechen. Weitere Informationen finden Sie unter [Web testen ACLs](classic-web-acl-testing.md).

**Topics**
+ [Bestimmen der Standardaktion für eine Web-ACL](classic-web-acl-default-action.md)
+ [Erstellen einer Web-ACL](classic-web-acl-creating.md)
+ [Zuordnen oder Aufheben der Zuordnung einer Web-ACL zu einer Amazon API Gateway Gateway-API, einer CloudFront Distribution oder einem Application Load Balancer](classic-web-acl-associating-cloudfront-distribution.md)
+ [Bearbeiten einer Web-ACL](classic-web-acl-editing.md)
+ [Löschen einer Web-ACL](classic-web-acl-deleting.md)
+ [Web testen ACLs](classic-web-acl-testing.md)

# Bestimmen der Standardaktion für eine Web-ACL
<a name="classic-web-acl-default-action"></a>

**Warnung**  
AWS WAF Classic durchläuft derzeit einen geplanten end-of-life Prozess. In Ihrem AWS Health Dashboard finden Sie die Meilensteine und Daten, die für Ihre Region spezifisch sind.

**Anmerkung**  
Dies ist die **AWS WAF klassische** Dokumentation. Sie sollten diese Version nur verwenden, wenn Sie AWS WAF Ressourcen wie Regeln und Websites ACLs AWS WAF vor November 2019 erstellt und diese noch nicht auf die neueste Version migriert haben. Informationen zur Migration Ihrer Website finden Sie ACLs unter[Migrieren Sie Ihre AWS WAF Classic-Ressourcen zu AWS WAF](waf-migrating-from-classic.md).  
**Die neueste Version von** finden AWS WAF Sie unter[AWS WAF](waf-chapter.md). 

Wenn Sie eine Web-ACL erstellen und konfigurieren, müssen Sie zunächst entscheiden, ob die Standardaktion für AWS WAF Classic das Zulassen von Webanfragen oder das Blockieren von Webanfragen gelten soll. Die Standardaktion gibt an, was AWS WAF Classic tun soll, nachdem es eine Webanforderung auf alle von Ihnen angegebenen Bedingungen überprüft hat und die Webanforderung keiner dieser Bedingungen entspricht:
+ **Zulassen** — Wenn Sie den meisten Benutzern den Zugriff auf Ihre Website ermöglichen möchten, Sie aber den Zugriff für Angreifer blockieren möchten, deren Anfragen von bestimmten IP-Adressen stammen oder deren Anfragen bösartigen SQL-Code oder bestimmte Werte zu enthalten scheinen, wählen Sie **Allow** als Standardaktion aus.
+ **Blockieren** — Wenn Sie verhindern möchten, dass die meisten potenziellen Benutzer auf Ihre Website zugreifen, Sie aber Benutzern Zugriff gewähren möchten, deren Anfragen von bestimmten IP-Adressen stammen oder deren Anfragen bestimmte Werte enthalten, wählen Sie **Blockieren** als Standardaktion.

Nachdem Sie eine Standardaktion ausgewählt haben, hängen viele Entscheidungen davon ab, ob Sie die meisten Webanforderungen zulassen oder blockieren möchten. Wenn Sie z. B. die meisten Anforderungen *zulassen* möchten, sollten Sie in den Übereinstimmungsbedingungen die Webanforderungen, die Sie *blockieren*möchten, generell angeben, z. B.:
+ Anforderungen, die von IP-Adressen stammen, die eine übermäßige Anzahl von Anforderungen senden
+ Anfragen, die aus Ländern stammen, in denen Sie keine Geschäfte tätigen oder die häufige Quelle von Angriffen sind
+ Anforderungen mit gefälschten Werten im **User-Agent**-Header
+ Anforderungen, die anscheinend schädlichen SQL-Code enthalten

# Erstellen einer Web-ACL
<a name="classic-web-acl-creating"></a>

**Warnung**  
AWS WAF Classic durchläuft derzeit einen geplanten end-of-life Prozess. In Ihrem AWS Health Dashboard finden Sie die Meilensteine und Daten, die für Ihre Region spezifisch sind.

**Anmerkung**  
Dies ist die **AWS WAF klassische** Dokumentation. Sie sollten diese Version nur verwenden, wenn Sie AWS WAF Ressourcen wie Regeln und Websites ACLs AWS WAF vor November 2019 erstellt und diese noch nicht auf die neueste Version migriert haben. Informationen zur Migration Ihrer Website finden Sie ACLs unter[Migrieren Sie Ihre AWS WAF Classic-Ressourcen zu AWS WAF](waf-migrating-from-classic.md).  
**Die neueste Version von** finden AWS WAF Sie unter[AWS WAF](waf-chapter.md). <a name="classic-web-acl-creating-procedure"></a>

**So erstellen Sie eine Web-ACL**

1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die AWS WAF Konsole unter [https://console.aws.amazon.com/wafv2/](https://console.aws.amazon.com/wafv2/). 

   Wenn im Navigationsbereich **Zu AWS WAF Classic wechseln** angezeigt wird, wählen Sie es aus.

1. Wenn Sie AWS WAF Classic zum ersten Mal verwenden, wählen Sie **Go to AWS WAF Classic** und dann **Configure Web ACL**. Wenn Sie AWS WAF Classic schon einmal verwendet haben, wählen Sie ACLs im Navigationsbereich **Web** und dann **Web-ACL erstellen** aus.

1. Geben Sie als **Web-ACL-Name** einen Namen ein. 
**Anmerkung**  
Sie können den Namen nach dem Erstellen der Web-ACL nicht mehr ändern.

1. Ändern Sie gegebenenfalls den Standardnamen für **CloudWatch metric name (CloudFront-Metrikname)**. Der Name darf nur alphanumerische Zeichen (A-Z, a-z, 0-9) mit höchstens 128 und mindestens einem Zeichen enthalten. Er darf keine Leerzeichen oder Metriknamen enthalten, die für AWS WAF Classic reserviert sind, einschließlich „All“ und „Default\$1Action“.
**Anmerkung**  
Sie können den Namen nach dem Erstellen der Web-ACL nicht mehr ändern.

1. Wählen Sie unter **-Region** eine Region aus.

1.  Wählen Sie für **AWS resource** die Ressource aus, die Sie mit dieser Web-ACL verknüpfen möchten, und dann **Next**.

1. Wenn Sie bereits die Bedingungen erstellt haben, die AWS WAF Classic zur Prüfung Ihrer Webanfragen verwenden soll, wählen Sie **Weiter** und fahren Sie dann mit dem nächsten Schritt fort.

   Wenn Sie noch keine Bedingungen erstellt haben, holen Sie diesen Schritt jetzt nach. Weitere Informationen finden Sie unter den folgenden Themen:
   + [Arbeiten mit Cross-Site-Scripting-Übereinstimmungsbedingungen](classic-web-acl-xss-conditions.md)
   + [Arbeiten mit IP-Übereinstimmungsbedingungen](classic-web-acl-ip-conditions.md)
   + [Arbeiten mit Geo-Übereinstimmungsbedingungen](classic-web-acl-geo-conditions.md)
   + [Arbeiten mit Größenbeschränkungsbedingungen](classic-web-acl-size-conditions.md)
   + [Arbeiten mit SQL Injections-Übereinstimmungsbedingungen](classic-web-acl-sql-conditions.md)
   + [Arbeiten mit Zeichenfolgen-Übereinstimmungsbedingungen](classic-web-acl-string-conditions.md)
   + [Arbeiten mit Regex-Übereinstimmungsbedingungen](classic-web-acl-regex-conditions.md)

1. Wenn Sie die Regeln oder Regelgruppen, die Sie zu dieser Web-ACL hinzufügen möchten, bereits erstellt (oder eine AWS Marketplace Regelgruppe abonniert) haben, fügen Sie die Regeln der Web-ACL hinzu:

   1. Wählen Sie eine Regel in der **Rules**-Liste aus.

   1. Wählen Sie **Add rule to web ACL**.

   1. Wiederholen Sie die Schritte a und b, bis Sie dieser Web-ACL alle gewünschten Regeln hinzugefügt haben.

   1. Fahren Sie mit Schritt 10 fort.

1. Wenn Sie noch keine Regeln erstellt haben, können Sie jetzt Regeln hinzufügen:

   1. Wählen Sie **Regel erstellen** aus.

   1. Geben Sie die folgenden Werte ein:  
**Name**  
Geben Sie einen Namen ein.  
**CloudWatch Name der Metrik**  
Geben Sie einen Namen für die CloudWatch Metrik ein, die AWS WAF Classic erstellen und der Regel zuordnen wird. Der Name darf nur alphanumerische Zeichen (A-Z, a-z, 0-9) mit höchstens 128 und mindestens einem Zeichen enthalten. Er darf keine Leerzeichen oder Metriknamen enthalten, die für AWS WAF Classic reserviert sind, einschließlich „All“ und „Default\$1Action“.  
Sie können den Metriknamen nach dem Erstellen der Regel nicht mehr ändern.

   1. Wenn Sie der Regel eine Bedingung hinzufügen möchten, geben Sie die folgenden Werte an:   
**Wenn eine Anfrage nicht does/does **  
**Wenn Sie möchten, dass AWS WAF Classic Anfragen auf der Grundlage der Filter in einer Bedingung zulässt oder blockiert, z. B. Webanfragen, die aus dem IP-Adressbereich 192.0.2.0/24 stammen, wählen Sie dies aus.**  
**Wenn AWS WAF Classic Anfragen zulassen oder blockieren soll, die auf der Umkehrung der Filter in einer Bedingung basieren, wählen Sie „Nicht“.** **Wenn eine IP-Übereinstimmungsbedingung beispielsweise den IP-Adressbereich 192.0.2.0/24 umfasst und Sie möchten, dass AWS WAF Classic Anfragen zulässt oder blockiert, die nicht von diesen IP-Adressen stammen, wählen *Sie „Nicht*“.**  
**übereinstimmen mit/stammen von**  
Wählen Sie die Art der Bedingung aus, die Sie der Regel hinzufügen möchten:  
      + Siteübergreifende Scripting-Übereinstimmungsbedingungen — Wählen Sie, ob **mindestens einem der Filter in der Abgleichsbedingung für standortübergreifendes Scripting entsprechen** muss
      + IP-Übereinstimmungsbedingungen — wählen Sie aus, dass sie von einer IP-Adresse **stammen aus**
      + Geo-Match-Bedingungen — wählen Sie **aus, dass sie von einem geografischen Standort stammen in**
      + Größenbeschränkungsbedingungen — Wählen Sie aus, ob **mindestens einer der Filter in der Größenbeschränkungsbedingung entspricht**
      + Übereinstimmungsbedingungen für SQL-Injection — Wählen Sie aus, ob **mindestens einer der Filter in der SQL-Injection-Abgleichsbedingung entspricht**
      + Bedingungen für den Abgleich von Zeichenketten — wählen Sie, ob **mindestens einer der Filter in der Bedingung für die Übereinstimmung mit Zeichenketten übereinstimmen muss**
      + Regex-Abgleichsbedingungen — Wählen Sie aus, ob **mindestens einer der Filter in der Regex-Abgleichsbedingung übereinstimmt**  
**Bedingungsname**  
Wählen Sie die Bedingung aus, die Sie der Regel hinzufügen möchten. Die Liste enthält nur Bedingungen des Typs, den Sie in der vorherigen Liste ausgewählt haben.

   1. Wenn Sie der Regel eine weitere Bedingung hinzufügen möchten, wählen Sie **Add another condition (Weitere Bedingung hinzufügen)** aus und wiederholen Sie dann die Schritte b und c. Beachten Sie Folgendes:
      + Wenn Sie mehr als eine Bedingung hinzufügen, muss eine Webanforderung mindestens einem Filter in jeder Bedingung entsprechen, damit AWS WAF Classic Anfragen, die auf dieser Regel basieren, zulässt oder blockiert. 
      + Wenn Sie derselben Regel zwei IP-Übereinstimmungsbedingungen hinzufügen, lässt AWS WAF Classic nur Anfragen zu oder blockiert, die von IP-Adressen stammen, die in beiden IP-Übereinstimmungsbedingungen vorkommen. 

   1. Wiederholen Sie Schritt 9, bis Sie alle Regeln für diese Web-ACL erstellt haben. 

   1. Wählen Sie **Erstellen** aus.

   1. Fahren Sie mit Schritt 10 fort.

1. Wählen Sie für jede Regel oder Regelgruppe in der Web-ACL wie folgt die Art der Verwaltung aus, die AWS WAF Classic bereitstellen soll: 
   + Wählen Sie für jede Regel anhand der Bedingungen in der Regel aus, ob AWS WAF Classic Webanfragen zulassen, blockieren oder zählen soll:
     + **Zulassen** — API Gateway CloudFront oder ein Application Load Balancer antwortet mit dem angeforderten Objekt. Im Fall von CloudFront, wenn sich das Objekt nicht im Edge-Cache befindet, CloudFront leitet die Anfrage an den Ursprung weiter.
     + **Blockieren** — API Gateway CloudFront oder ein Application Load Balancer antwortet auf die Anfrage mit einem HTTP-Statuscode 403 (Forbidden). CloudFront kann auch mit einer benutzerdefinierten Fehlerseite antworten. Weitere Informationen finden Sie unter [AWS WAF Classic mit CloudFront benutzerdefinierten Fehlerseiten verwenden](classic-cloudfront-features.md#classic-cloudfront-features-custom-error-pages).
     + **Anzahl** — AWS WAF Classic erhöht einen Zähler von Anfragen, die den Bedingungen in der Regel entsprechen, und überprüft dann die Webanforderung auf der Grundlage der verbleibenden Regeln in der Web-ACL weiter. 

       Informationen darüber, wie Sie mit **Count** eine Web-ACL testen können, bevor Sie sie zum Zulassen oder Blockieren von Webanforderungen verwenden, finden Sie unter [Zählen der Webanforderungen, die den Regeln in einer Web-ACL entsprechen](classic-web-acl-testing.md#classic-web-acl-testing-count). 
   + Legen Sie für jede Regelgruppe die Überschreibungsaktion für die Regelgruppe fest: 
     + **Keine Überschreibung** — Bewirkt, dass die Aktionen der einzelnen Regeln innerhalb der Regelgruppe verwendet werden.
     + **Überschreiben, um zu zählen** — Überschreibt alle Blockaktionen, die durch einzelne Regeln in der Gruppe spezifiziert sind, sodass nur alle übereinstimmenden Anfragen gezählt werden. 

     Weitere Informationen finden Sie unter [Überschreiben der Regelgruppe](classic-waf-managed-rule-groups.md#classic-waf-managed-rule-group-override).

1. **Wenn Sie die Reihenfolge der Regeln in der Web-ACL ändern möchten, verwenden Sie die Pfeile in der Spalte Reihenfolge.** AWS WAF Classic überprüft Webanfragen anhand der Reihenfolge, in der Regeln in der Web-ACL erscheinen. 

1. Wenn Sie eine Regel entfernen möchten, die Sie der Web-ACL hinzugefügt haben, wählen Sie **x** in der Zeile der Regel aus.

1. Wählen Sie die Standardaktion für die Web-ACL aus. Dies ist die Aktion, die AWS WAF Classic ergreift, wenn eine Webanforderung nicht den Bedingungen in einer der Regeln in dieser Web-ACL entspricht. Weitere Informationen finden Sie unter [Bestimmen der Standardaktion für eine Web-ACL](classic-web-acl-default-action.md).

1. Wählen Sie **Review and create**.

1. Überprüfen Sie die Einstellungen für die Web-ACL, und wählen Sie dann **Confirm and create**.

# Zuordnen oder Aufheben der Zuordnung einer Web-ACL zu einer Amazon API Gateway Gateway-API, einer CloudFront Distribution oder einem Application Load Balancer
<a name="classic-web-acl-associating-cloudfront-distribution"></a>

**Warnung**  
AWS WAF Classic durchläuft derzeit einen geplanten Prozess. end-of-life In Ihrem AWS Health Dashboard finden Sie die Meilensteine und Daten, die für Ihre Region spezifisch sind.

**Anmerkung**  
Dies ist die **AWS WAF klassische** Dokumentation. Sie sollten diese Version nur verwenden, wenn Sie AWS WAF Ressourcen wie Regeln und Websites ACLs AWS WAF vor November 2019 erstellt und diese noch nicht auf die neueste Version migriert haben. Informationen zur Migration Ihrer Website finden Sie ACLs unter[Migrieren Sie Ihre AWS WAF Classic-Ressourcen zu AWS WAF](waf-migrating-from-classic.md).  
**Die neueste Version von** finden AWS WAF Sie unter[AWS WAF](waf-chapter.md). 

Um eine Web-ACL zu verknüpfen oder zu trennen, führen Sie die entsprechenden Schritte aus. Beachten Sie, dass Sie einer CloudFront Distribution auch eine Web-ACL zuordnen können, wenn Sie die Distribution erstellen oder aktualisieren. Weitere Informationen finden Sie im *Amazon CloudFront Developer Guide* unter [Using AWS WAF Classic to Control Access to Your Content](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/distribution-web-awswaf.html).

Die folgenden Einschränkungen gelten beim Zuordnen einer Web-ACL:
+ Jede API Gateway Gateway-API, jeder Application Load Balancer und jede CloudFront Distribution kann nur einer Web-ACL zugeordnet werden.
+ Eine mit einer CloudFront Distribution ACLs verknüpfte Website kann nicht mit einer Application Load Balancer- oder API Gateway verknüpft werden. Die Web-ACL kann jedoch mit anderen CloudFront Distributionen verknüpft werden.

**So verknüpfen Sie eine Web-ACL mit einer API Gateway Gateway-API, CloudFront Distribution oder einem Application Load Balancer**

1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die AWS WAF Konsole unter [https://console.aws.amazon.com/wafv2/](https://console.aws.amazon.com/wafv2/). 

   Wenn im Navigationsbereich **Zu AWS WAF Classic wechseln** angezeigt wird, wählen Sie es aus.

1. Wählen Sie im Navigationsbereich **Web** aus ACLs.

1. Wählen Sie den Namen der Web-ACL, die Sie einer API Gateway, CloudFront Distribution oder einem Application Load Balancer zuordnen möchten. Dadurch wird im rechten Bereich eine Seite mit den Details der Web-ACL geöffnet. 

1. Wählen Sie auf der Registerkarte **Regeln** unter **AWS Ressourcen, die diese Web-ACL verwenden**, die Option **Zuordnung hinzufügen** aus.

1. Wenn Sie dazu aufgefordert werden, verwenden Sie die **Ressourcenliste**, um die API Gateway Gateway-API, CloudFront Distribution oder den Application Load Balancer auszuwählen, der Sie diese Web-ACL zuordnen möchten. Wenn Sie einen Application Load Balancer wählen, müssen Sie auch eine Region angeben.

1. Wählen Sie **Hinzufügen** aus.

1. Um diese Web-ACL mit einer zusätzlichen API Gateway Gateway-API, CloudFront Distribution oder einem anderen Application Load Balancer zu verknüpfen, wiederholen Sie die Schritte 4 bis 6.<a name="classic-web-acl-disassociating-cloudfront-distribution-procedure"></a>

**So trennen Sie die Zuordnung einer Web-ACL zu einer API-Gateway-API, CloudFront Distribution oder einem Application Load Balancer**

1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die AWS WAF Konsole unter. [https://console.aws.amazon.com/wafv2/](https://console.aws.amazon.com/wafv2/) 

   Wenn im Navigationsbereich **Zu AWS WAF Classic wechseln** angezeigt wird, wählen Sie es aus.

1. Wählen Sie im Navigationsbereich **Web** aus ACLs.

1. Wählen Sie den Namen der Web-ACL, die Sie von einer API Gateway, CloudFront Distribution oder einem Application Load Balancer trennen möchten. Dadurch wird im rechten Bereich eine Seite mit den Details der Web-ACL geöffnet. 

1. Wählen Sie auf der Registerkarte **Regeln** unter **AWS Ressourcen, die diese Web-ACL verwenden**, das **X** für jede API-Gateway-API, CloudFront Distribution oder jeden Application Load Balancer aus, von dem Sie diese Web-ACL trennen möchten.

# Bearbeiten einer Web-ACL
<a name="classic-web-acl-editing"></a>

**Warnung**  
AWS WAF Classic durchläuft einen geplanten end-of-life Prozess. In Ihrem AWS Health Dashboard finden Sie die Meilensteine und Daten, die für Ihre Region spezifisch sind.

**Anmerkung**  
Dies ist die **AWS WAF klassische** Dokumentation. Sie sollten diese Version nur verwenden, wenn Sie AWS WAF Ressourcen wie Regeln und Websites ACLs AWS WAF vor November 2019 erstellt und diese noch nicht auf die neueste Version migriert haben. Informationen zur Migration Ihrer Website finden Sie ACLs unter[Migrieren Sie Ihre AWS WAF Classic-Ressourcen zu AWS WAF](waf-migrating-from-classic.md).  
**Die neueste Version von** finden AWS WAF Sie unter[AWS WAF](waf-chapter.md). 

Zum Hinzufügen oder Entfernen von Regeln aus einer Web-ACL oder zum Ändern der Standardaktion, gehen Sie wie folgt vor. <a name="classic-web-acl-editing-procedure"></a>

**So bearbeiten Sie eine Web-ACL**

1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die AWS WAF Konsole unter [https://console.aws.amazon.com/wafv2/](https://console.aws.amazon.com/wafv2/). 

   Wenn im Navigationsbereich **Zu AWS WAF Classic wechseln** angezeigt wird, wählen Sie es aus.

1. Wählen Sie im Navigationsbereich **Web** aus ACLs.

1. Wählen Sie den Namen der Web-ACL aus, die Sie bearbeiten möchten. Dadurch wird im rechten Bereich eine Seite mit den Details der Web-ACL geöffnet.

1. Wählen Sie auf der Registerkarte **Rules** im rechten Bereich **Edit web ACL**.

1. Um Regeln zur Web-ACL hinzuzufügen, führen Sie die folgenden Schritte aus:

   1. Wählen Sie in der Liste **Rules** die Regel aus, die Sie hinzufügen möchten. 

   1. Wählen Sie **Add rule to web ACL**.

   1. Wiederholen Sie die Schritte a und b, bis Sie alle gewünschten Regeln hinzugefügt haben.

1. Wenn Sie die Reihenfolge der Regeln in der Web-ACL ändern möchten, verwenden Sie die Pfeile in der Spalte **Reihenfolge**. AWS WAF Classic überprüft Webanfragen anhand der Reihenfolge, in der Regeln in der Web-ACL erscheinen. 

1. Um eine Regel aus der Web-ACL zu entfernen, wählen Sie auf der rechten Seite der Zeile mit der Regel **x** aus. Dadurch wird die Regel nicht aus AWS WAF Classic gelöscht, sondern lediglich aus dieser Web-ACL entfernt.

1. Um die Aktion für eine Regel oder die Standardaktion für die Web-ACL zu ändern, wählen Sie die bevorzugte Option aus.
**Anmerkung**  
Wenn Sie die Aktion für eine Regelgruppe oder eine AWS Marketplace Regelgruppe (im Gegensatz zu einer einzelnen Regel) festlegen, wird die Aktion, die Sie für die Regelgruppe festlegen (entweder **Keine Überschreibung oder Überschreiben**, **um zu zählen**), als Überschreibungsaktion bezeichnet. Weitere Informationen finden Sie unter [Überschreiben der Regelgruppe](classic-waf-managed-rule-groups.md#classic-waf-managed-rule-group-override).

1. Wählen Sie **Änderungen speichern ** aus.

# Löschen einer Web-ACL
<a name="classic-web-acl-deleting"></a>

**Warnung**  
AWS WAF Classic durchläuft einen geplanten end-of-life Prozess. In Ihrem AWS Health Dashboard finden Sie die Meilensteine und Daten, die für Ihre Region spezifisch sind.

**Anmerkung**  
Dies ist die **AWS WAF klassische** Dokumentation. Sie sollten diese Version nur verwenden, wenn Sie AWS WAF Ressourcen wie Regeln und Websites ACLs AWS WAF vor November 2019 erstellt und diese noch nicht auf die neueste Version migriert haben. Informationen zur Migration Ihrer Website finden Sie ACLs unter[Migrieren Sie Ihre AWS WAF Classic-Ressourcen zu AWS WAF](waf-migrating-from-classic.md).  
**Die neueste Version von** finden AWS WAF Sie unter[AWS WAF](waf-chapter.md). 

**Wichtig**  
Das Löschen einer Web-ACL ist dauerhaft und kann nicht rückgängig gemacht werden. Wenn die ausgewählte Web-ACL Regeln enthält oder mit CloudFront Distributionen, Application Load Balancer oder API Gateway verknüpft ist, entfernen Sie die Regeln und Verknüpfungen, bevor Sie sie löschen. Andernfalls schlägt das Löschen fehl.

Um eine Web-ACL zu löschen, müssen Sie die Regeln entfernen, die in der Web-ACL enthalten sind, und alle CloudFront Distributionen und Application Load Balancer von der Web-ACL trennen. Führen Sie die folgenden Schritte aus.<a name="classic-web-acl-deleting-procedure"></a>

**So löschen Sie eine Web-ACL**

1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die AWS WAF Konsole unter. [https://console.aws.amazon.com/wafv2/](https://console.aws.amazon.com/wafv2/) 

   Wenn im Navigationsbereich **Zu AWS WAF Classic wechseln** angezeigt wird, wählen Sie es aus.

1. Wählen Sie im Navigationsbereich **Web** aus ACLs.

1. Wählen Sie den Namen der Web-ACL aus, die Sie löschen möchten. Dadurch wird im rechten Bereich eine Seite mit den Details der Web-ACL geöffnet.
**Anmerkung**  
Wenn Sie die Web-ACL nicht sehen, stellen Sie sicher, dass die Regionsauswahl korrekt ist. Websites ACLs , die CloudFront Amazon-Distributionen schützen, befinden sich in **Global (CloudFront)**.

1. Wählen Sie auf der Registerkarte **Rules** im rechten Bereich **Edit web ACL**.

1. Um alle Regeln aus der Web-ACL zu entfernen, wählen Sie auf der rechten Seite der Zeile mit jeweiligen Regel **x** aus. Dadurch werden die Regeln nicht aus AWS WAF Classic gelöscht, sondern lediglich die Regeln aus dieser Web-ACL entfernt.

1. Wählen Sie **Aktualisieren** aus.

1. Trennen Sie die Web-ACL von allen CloudFront Distributionen und Application Load Balancers. Wählen Sie auf der Registerkarte **Regeln** unter **AWS Ressourcen, die diese Web-ACL verwenden**, das **X** für jede API-Gateway-API, CloudFront Distribution oder jeden Application Load Balancer aus.

1. Vergewissern Sie sich auf der ** ACLsWebseite**, dass die Web-ACL, die Sie löschen möchten, ausgewählt ist, und wählen Sie dann **Löschen** aus.

# Web testen ACLs
<a name="classic-web-acl-testing"></a>

**Warnung**  
AWS WAF Classic durchläuft derzeit einen geplanten end-of-life Prozess. In Ihrem AWS Health Dashboard finden Sie die Meilensteine und Daten, die für Ihre Region spezifisch sind.

**Anmerkung**  
Dies ist die **AWS WAF klassische** Dokumentation. Sie sollten diese Version nur verwenden, wenn Sie AWS WAF Ressourcen wie Regeln und Websites ACLs AWS WAF vor November 2019 erstellt und diese noch nicht auf die neueste Version migriert haben. Informationen zur Migration Ihrer Website finden Sie ACLs unter[Migrieren Sie Ihre AWS WAF Classic-Ressourcen zu AWS WAF](waf-migrating-from-classic.md).  
**Die neueste Version von** finden AWS WAF Sie unter[AWS WAF](waf-chapter.md). 

Um sicherzustellen, dass Sie AWS WAF Classic nicht versehentlich so konfigurieren, dass Webanfragen blockiert werden, die Sie zulassen möchten, oder Anfragen, die Sie blockieren möchten, zugelassen werden, empfehlen wir Ihnen, Ihre Web-ACL gründlich zu testen, bevor Sie sie auf Ihrer Website oder Webanwendung verwenden. 

**Topics**
+ [Zählen der Webanforderungen, die den Regeln in einer Web-ACL entsprechen](#classic-web-acl-testing-count)
+ [Ein Beispiel der Webanfragen anzeigen, die API Gateway CloudFront oder ein Application Load Balancer an Classic weitergeleitet AWS WAF hat](#classic-web-acl-testing-view-sample)

## Zählen der Webanforderungen, die den Regeln in einer Web-ACL entsprechen
<a name="classic-web-acl-testing-count"></a>

Wenn Sie einer Web-ACL Regeln hinzufügen, geben Sie an, ob AWS WAF Classic die Webanfragen zulassen, blockieren oder zählen soll, die alle Bedingungen in dieser Regel erfüllen. Wir empfehlen, mit der folgenden Konfiguration zu beginnen:
+ Konfigurieren Sie alle Regeln in einer Web-ACL für das Zählen von Webanforderungen.
+ Legen Sie als Standardaktion für die Web-ACL fest, dass Anforderungen zugelassen werden.

In dieser Konfiguration überprüft AWS WAF Classic jede Webanforderung auf der Grundlage der Bedingungen in der ersten Regel. Wenn die Webanforderung alle Bedingungen in dieser Regel erfüllt, erhöht AWS WAF Classic einen Zähler für diese Regel. Anschließend überprüft AWS WAF Classic die Webanforderung auf der Grundlage der Bedingungen in der nächsten Regel. Wenn die Anfrage alle Bedingungen in dieser Regel erfüllt, erhöht AWS WAF Classic einen Zähler für die Regel. Dies wird so lange fortgesetzt, bis AWS WAF Classic die Anfrage anhand der Bedingungen in all Ihren Regeln geprüft hat. 

Nachdem Sie alle Regeln in einer Web-ACL konfiguriert haben, um Anfragen zu zählen, und die Web-ACL mit einer Amazon API Gateway, CloudFront Distribution oder einem Application Load Balancer verknüpft haben, können Sie die resultierenden Zählungen in einem CloudWatch Amazon-Diagramm anzeigen. Für jede Regel in einer Web-ACL und für alle Anfragen, die API Gateway CloudFront oder ein Application Load Balancer für eine Web-ACL an AWS WAF Classic weiterleitet, CloudWatch können Sie:
+ Anzeigen der Daten für die letzte Stunde oder für die letzten drei Stunden.
+ Ändern der Intervalle zwischen Datenpunkten.
+ Ändern Sie die Berechnung, CloudWatch die für die Daten ausgeführt wird, z. B. Maximum, Minimum, Durchschnitt oder Summe

**Anmerkung**  
AWS WAF Classic with CloudFront ist ein globaler Service, und Metriken sind nur verfügbar, wenn Sie die **Region USA Ost (Nord-Virginia)** in der auswählen AWS-Managementkonsole. Wenn Sie eine andere Region wählen, werden keine AWS WAF Classic-Metriken in der CloudWatch Konsole angezeigt.<a name="classic-web-acl-testing-count-procedure"></a>

**So zeigen Sie Daten für die Regeln in einer Web-ACL an**

1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die CloudWatch Konsole unter [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).

1. Wählen Sie im Navigationsbereich unter **Metrics** die Option **WAF** aus.

1. Aktivieren Sie das Kontrollkästchen für die Web-ACL, für die Sie Daten anzeigen möchten.

1. Ändern Sie die geltenden Einstellungen:  
**Statistik**  
Wählen Sie die Berechnung CloudWatch aus, die mit den Daten durchgeführt wird.  
**Zeitraum**  
Wählen Sie aus, ob die Daten für die letzte Stunde oder für die letzten drei Stunden angezeigt werden sollen.  
**Zeitraum**  
Wählen Sie das Intervall zwischen den Datenpunkten in der Grafik aus.  
**Regeln**  
Wählen Sie die Regeln aus, für die Sie Daten anzeigen möchten.

   Beachten Sie Folgendes:
   + Wenn Sie gerade eine Web-ACL mit einer API Gateway Gateway-API, einer CloudFront Distribution oder einem Application Load Balancer verknüpft haben, müssen Sie möglicherweise einige Minuten warten, bis Daten im Diagramm und die Metrik für die Web-ACL in der Liste der verfügbaren Metriken angezeigt wird.
   + Wenn Sie einer Web-ACL mehr als eine API Gateway Gateway-API, CloudFront Distribution oder Application Load Balancer zuordnen, enthalten die CloudWatch Daten alle Anfragen für alle Distributionen, die mit der Web-ACL verknüpft sind.
   + Bewegen Sie den Cursor über einen Datenpunkt, um weitere Informationen zu erhalten.
   + Die Grafik wird nicht automatisch aktualisiert. Wählen Sie zum Aktualisieren der Anzeige das Symbol ![\[Icon to refresh the Amazon CloudWatch graph\]](http://docs.aws.amazon.com/de_de/waf/latest/developerguide/images/cloudwatch-refresh-icon.png).

1. (Optional) Zeigen Sie detaillierte Informationen zu einzelnen Anfragen an, die API Gateway CloudFront oder ein Application Load Balancer an AWS WAF Classic weitergeleitet hat. Weitere Informationen finden Sie unter [Ein Beispiel der Webanfragen anzeigen, die API Gateway CloudFront oder ein Application Load Balancer an Classic weitergeleitet AWS WAF hat](#classic-web-acl-testing-view-sample).

1. Falls Sie feststellen, dass eine Regel Anforderungen abfängt, die nicht abgefangen werden sollen, ändern Sie die geltenden Einstellungen. Weitere Informationen finden Sie unter [Erstellen und Konfigurieren einer Web-Zugriffskontrollliste (Web-ACL)](classic-web-acl.md).

   Wenn alle Regeln nur die gewünschten Anforderungen abfangen und Sie zufrieden sind, ändern Sie die Aktion für die einzelnen Regeln zu **Allow** oder **Block**. Weitere Informationen finden Sie unter [Bearbeiten einer Web-ACL](classic-web-acl-editing.md).

## Ein Beispiel der Webanfragen anzeigen, die API Gateway CloudFront oder ein Application Load Balancer an Classic weitergeleitet AWS WAF hat
<a name="classic-web-acl-testing-view-sample"></a>

In der AWS WAF Classic-Konsole können Sie sich ein Beispiel der Anfragen ansehen, die API Gateway CloudFront oder ein Application Load Balancer zur Überprüfung an AWS WAF Classic weitergeleitet hat. Sie können zu jeder Anforderung in der Stichprobe detaillierte Daten aufrufen, z. B. die ursprüngliche IP-Adresse und die Header. Des Weiteren können Sie anzeigen, mit welcher Regel die Anforderung übereinstimmt und ob diese Regel zum Blockieren oder Zulassen von Anforderungen konfiguriert wurde.

Eine Stichprobe kann bis zu 100 Anforderungen enthalten, die allen Bedingungen in allen Regeln entsprechen, und weitere 100 Anforderungen für die Standardaktion, die für Anforderungen gilt, die nicht mit allen Bedingungen in allen Regeln übereinstimmen. Die Anfragen im Beispiel stammen von allen API Gateway APIs, CloudFront Edge-Standorten oder Application Load Balancern, die in den letzten 15 Minuten Anfragen für Ihre Inhalte erhalten haben.<a name="classic-web-acl-testing-view-sample-procedure"></a>

**Um ein Beispiel der Webanfragen anzuzeigen, die API Gateway CloudFront oder ein Application Load Balancer an Classic weitergeleitet AWS WAF hat**

1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die AWS WAF Konsole unter [https://console.aws.amazon.com/wafv2/](https://console.aws.amazon.com/wafv2/). 

   Wenn im Navigationsbereich **Zu AWS WAF Classic wechseln** angezeigt wird, wählen Sie es aus.

1. Wählen Sie im Navigationsbereich die Web-ACL aus, für die Sie Anforderungen anzeigen möchten.

1. Wählen Sie im rechten Bereich die Registerkarte **Requests** aus.

   In der Tabelle **Sampled requests** werden für jede Anforderung die folgenden Werte angegeben:  
**Quell-IP**  
Entweder die IP-Adresse, von der die Anforderung stammt, oder – falls das Anzeigeprogramm zum Senden der Anforderung einen HTTP-Proxy oder einen Application Load Balancer verwendet hat – die IP-Adresse des Proxys oder des Application Load Balancer.   
**URI**  
Der URI-Pfad der Anfrage, der die Ressource identifiziert, `/images/daily-ad.jpg` z. B. Dies beinhaltet nicht die Abfragezeichenfolge oder die Fragmentkomponenten der URI. Informationen dazu finden Sie unter [Uniform Resource Identifier (URI): Generic Syntax](https://tools.ietf.org/html/rfc3986#section-3.3).   
**Regelübereinstimmung**  
Identifiziert die erste Regel der Web-ACL, bei der die Webanforderungen allen Bedingungen entspricht. Wenn eine Webanforderung nicht allen Bedingungen einer Regel der Web-ACL entspricht, wird für **Matches rule** der Wert **Default** verwendet.  
Beachten Sie: Wenn eine Webanforderung alle Bedingungen in einer Regel erfüllt und die Aktion für diese Regel „**Anzahl**“ lautet, überprüft AWS WAF Classic die Webanforderung weiterhin auf der Grundlage der nachfolgenden Regeln in der Web-ACL. In diesem Fall kann eine Webanforderung zweimal in der Liste der per Stichprobe geprüften Anforderungen vorhanden sein: einmal für die Regel mit der Aktion **Count** und einmal für eine nachfolgende Regel bzw. für die Standardaktion.  
**Action**  
Gibt an, ob die Aktion für die entsprechende Regel **Allow**, **Block** oder **Count** lautet.  
**Zeit**  
Der Zeitpunkt, zu dem AWS WAF Classic die Anfrage von API Gateway CloudFront oder Ihrem Application Load Balancer erhalten hat.

1. Um zusätzliche Informationen zu der Anfrage anzuzeigen, wählen Sie den Pfeil auf der linken Seite der IP-Adresse für diese Anfrage. AWS WAF Classic zeigt die folgenden Informationen an:  
**Quell-IP**  
Die gleiche IP-Adresse wie in der Spalte **Source IP** in der Tabelle.  
**Land**  
Der zweistellige Ländercode des Landes, aus dem die Anforderung stammt. Falls das Anzeigeprogramm zum Senden der Anforderung ein HTTP-Proxy oder einen Application Load Balancer verwendet hat, ist dies der zweistellige Ländercode des Landes, in dem sich der HTTP-Proxy oder der Application Load Balancer befindet.  
Eine Liste mit den zweistelligen Ländercodes und den zugehörigen Ländernamen finden Sie im Wikipedia-Eintrag [ISO 3166-1 alpha-2](https://en.wikipedia.org/wiki/ISO_3166-1_alpha-2).  
**Methode**  
Die HTTP-Anforderungsmethode für die Anforderung: `GET`, `HEAD`, `OPTIONS`, `PUT`, `POST`, `PATCH` oder `DELETE`.   
**URI**  
Die gleiche URI wie in der Spalte **URI** in der Tabelle.  
**Anfordern von Headern**  
Die Anforderungs-Header und Header-Werte der Anforderung.

1. Um die Liste der Beispiele für Anforderungen zu aktualisieren, wählen Sie **Get new samples**.

# Arbeiten mit AWS WAF klassischen Regelgruppen zur Verwendung mit AWS Firewall Manager
<a name="classic-working-with-rule-groups"></a>

**Warnung**  
AWS WAF Classic durchläuft derzeit einen geplanten end-of-life Prozess. In Ihrem AWS Health Dashboard finden Sie die Meilensteine und Daten, die für Ihre Region spezifisch sind.

**Anmerkung**  
Dies ist die **AWS WAF klassische** Dokumentation. Sie sollten diese Version nur verwenden, wenn Sie AWS WAF Ressourcen wie Regeln und Websites ACLs AWS WAF vor November 2019 erstellt und diese noch nicht auf die neueste Version migriert haben. Informationen zur Migration Ihrer Website finden Sie ACLs unter[Migrieren Sie Ihre AWS WAF Classic-Ressourcen zu AWS WAF](waf-migrating-from-classic.md).  
**Die neueste Version von** finden AWS WAF Sie unter[AWS WAF](waf-chapter.md). 

Eine AWS WAF klassische *Regelgruppe* ist ein Regelsatz, den Sie zu einer AWS WAF AWS Firewall Manager Classic-Richtlinie hinzufügen. Sie können Ihre eigene Regelgruppe erstellen oder eine verwaltete Regelgruppe von erwerben AWS Marketplace. 

**Wichtig**  
Wenn Sie Ihrer Firewall Manager Manager-Richtlinie eine AWS Marketplace Regelgruppe hinzufügen möchten, muss jedes Konto in Ihrer Organisation zuerst diese Regelgruppe abonnieren. Nachdem die Regelgruppe von allen Konten abonniert wurde, können Sie sie einer Richtlinie hinzufügen. Weitere Informationen finden Sie unter [AWS Marketplace Regelgruppen](classic-waf-managed-rule-groups.md).

**Topics**
+ [Eine AWS WAF klassische Regelgruppe erstellen](classic-create-rule-group.md)
+ [Hinzufügen und Löschen von Regeln aus einer AWS WAF klassischen Regelgruppe](classic-rule-group-editing.md)

# Eine AWS WAF klassische Regelgruppe erstellen
<a name="classic-create-rule-group"></a>

**Warnung**  
AWS WAF Classic durchläuft derzeit einen geplanten end-of-life Prozess. In Ihrem AWS Health Dashboard finden Sie die Meilensteine und Daten, die für Ihre Region spezifisch sind.

**Anmerkung**  
Dies ist die **AWS WAF klassische** Dokumentation. Sie sollten diese Version nur verwenden, wenn Sie AWS WAF Ressourcen wie Regeln und Websites ACLs AWS WAF vor November 2019 erstellt und diese noch nicht auf die neueste Version migriert haben. Informationen zur Migration Ihrer Website finden Sie ACLs unter[Migrieren Sie Ihre AWS WAF Classic-Ressourcen zu AWS WAF](waf-migrating-from-classic.md).  
**Die neueste Version von** finden AWS WAF Sie unter[AWS WAF](waf-chapter.md). 

Wenn Sie eine AWS WAF klassische Regelgruppe für die Verwendung mit erstellen AWS Firewall Manager, geben Sie an, welche Regeln der Gruppe hinzugefügt werden sollen.<a name="classic-create-rule-group-procedure"></a>

**So erstellen Sie eine Regelgruppe (Konsole)**

1. Melden Sie sich AWS-Managementkonsole mit dem AWS Firewall Manager Administratorkonto an, das Sie in den Voraussetzungen eingerichtet haben, und öffnen Sie dann die Firewall Manager Manager-Konsole unter[https://console.aws.amazon.com/wafv2/fms](https://console.aws.amazon.com/wafv2/fms). 
**Anmerkung**  
Weitere Informationen zum Einrichten eines Firewall Manager-Administratorkontos finden Sie unter [Ein AWS Firewall Manager Standard-Administratorkonto erstellen](enable-integration.md).

1. Wählen Sie im Navigationsbereich die Option **Zu AWS WAF Classic wechseln** aus.

1. Wählen Sie im AWS WAF klassischen Navigationsbereich die Option **Regelgruppen** aus.

1. Wählen Sie **Create rule group** (Regelgruppe erstellen).
**Anmerkung**  
Sie können einer Regelgruppe keine ratenbasierten Regeln hinzufügen.

1. Wenn Sie die Regeln bereits erstellt haben, die Sie der Regelgruppe hinzufügen möchten, wählen Sie **Use existing rules for this rule group (Vorhandene Regeln für diese Regelgruppe verwenden)**. Wenn Sie neue Regeln zum Hinzufügen zur Regelgruppe erstellen möchten, wählen Sie **Create rules and conditions for this rule group (Regeln und Bedingungen für diese Regelgruppe erstellen)**. 

1. Wählen Sie **Weiter** aus.

1. Wenn Sie sich für die Erstellung von Regeln entschieden haben, folgen Sie den Schritten zur Erstellung dieser Regeln in [Erstellen einer Regel und Hinzufügen von Bedingungen](classic-web-acl-rules-creating.md). 
**Anmerkung**  
Verwenden Sie die AWS WAF Classic-Konsole, um Ihre Regeln zu erstellen. 

   Wenn Sie alle erforderlichen Regeln erstellt haben, fahren Sie mit dem nächsten Schritt fort.

1. Geben Sie einen Namen für die Regelgruppe ein.

1. Um eine Regel zur Regelgruppe hinzuzufügen, wählen Sie eine Regel und anschließend **Add rule (Regel hinzufügen)** aus. Wählen Sie aus, ob Anforderungen zugelassen, blockiert oder gezählt werden sollen, die mit den Bedingungen der Regel übereinstimmen. Weitere Informationen zu den Optionen finden Sie unter [So funktioniert AWS WAF Classic](classic-how-aws-waf-works.md). 

1. Wenn Sie alle Regeln hinzugefügt haben, wählen Sie **Create (Erstellen**) aus.

Sie können Ihre Regelgruppe testen, indem Sie sie einer AWS WAF WebACL hinzufügen und die WebACL-Aktion auf **Override to Count setzen**. Diese Aktion überschreibt alle Aktionen, die Sie für die in der Gruppe enthaltenen Regeln auswählen, und zählt nur übereinstimmende Anforderungen. Weitere Informationen finden Sie unter [Erstellen einer Web-ACL](classic-web-acl-creating.md).

# Hinzufügen und Löschen von Regeln aus einer AWS WAF klassischen Regelgruppe
<a name="classic-rule-group-editing"></a>

**Warnung**  
AWS WAF Classic durchläuft derzeit einen geplanten end-of-life Prozess. In Ihrem AWS Health Dashboard finden Sie die Meilensteine und Daten, die für Ihre Region spezifisch sind.

**Anmerkung**  
Dies ist die **AWS WAF klassische** Dokumentation. Sie sollten diese Version nur verwenden, wenn Sie AWS WAF Ressourcen wie Regeln und Websites ACLs AWS WAF vor November 2019 erstellt und diese noch nicht auf die neueste Version migriert haben. Informationen zur Migration Ihrer Website finden Sie ACLs unter[Migrieren Sie Ihre AWS WAF Classic-Ressourcen zu AWS WAF](waf-migrating-from-classic.md).  
**Die neueste Version von** finden AWS WAF Sie unter[AWS WAF](waf-chapter.md). 

Sie können Regeln in einer AWS WAF klassischen Regelgruppe hinzufügen oder löschen.

Wenn eine Regel aus der Regelgruppe gelöscht wird, wird die Regel selbst nicht gelöscht. Die Regel wird nur aus der Regelgruppe entfernt.<a name="classic-rule-group-editing-procedure"></a>

**So verfahren Sie zum Hinzufügen oder Löschen von Regeln in einer Regelgruppe (Konsole)**

1. Melden Sie sich AWS-Managementkonsole mit dem AWS Firewall Manager Administratorkonto an, das Sie in den Voraussetzungen eingerichtet haben, und öffnen Sie dann die Firewall Manager Manager-Konsole unter[https://console.aws.amazon.com/wafv2/fms](https://console.aws.amazon.com/wafv2/fms). 
**Anmerkung**  
Weitere Informationen zum Einrichten eines Firewall Manager-Administratorkontos finden Sie unter [Ein AWS Firewall Manager Standard-Administratorkonto erstellen](enable-integration.md).

1. Wählen Sie im Navigationsbereich die Option **Zu AWS WAF Classic wechseln** aus.

1. Wählen Sie im AWS WAF klassischen Navigationsbereich die Option **Regelgruppen** aus.

1. Wählen Sie die Regelgruppe aus, die Sie bearbeiten möchten.
**Anmerkung**  
Wenn Sie die Regelgruppe, die Sie bearbeiten möchten, nicht sehen, stellen Sie sicher, dass Sie die richtige Region ausgewählt haben. Verwenden Sie für Regelgruppen, die zum Schutz von CloudFront Amazon-Distributionen verwendet werden, die Einstellung **Global (CloudFront)**. 

1. Wählen Sie **Edit rule group** (Regelgruppe bearbeiten).

1. Um Regeln hinzuzufügen, führen Sie die folgenden Schritte aus:

   1. Wählen Sie eine Regel und anschließend **Add rule to rule group (Regel zur Regelgruppe hinzufügen)** aus. Wählen Sie aus, ob Anforderungen zugelassen, blockiert oder gezählt werden sollen, die mit den Bedingungen der Regel übereinstimmen. Weitere Informationen zu den Optionen finden Sie unter [So funktioniert AWS WAF Classic](classic-how-aws-waf-works.md). Wiederholen Sie den Vorgang, um der Regelgruppe weitere Regeln hinzuzufügen. 
**Anmerkung**  
Sie können keine ratenbasierten Regeln zur Regelgruppe hinzufügen.

   1. Wählen Sie **Aktualisieren** aus.

1. Um Regeln zu löschen, führen Sie die folgenden Schritte aus:

   1. Wählen Sie **X** neben der Regel, die Sie löschen möchten. Wiederholen Sie den Vorgang, um weitere Regeln aus der Regelgruppe zu löschen.

   1. Wählen Sie **Aktualisieren**.

# Erste Schritte mit AWS Firewall Manager , um AWS WAF klassische Regeln zu aktivieren
<a name="classic-getting-started-fms"></a>

**Warnung**  
AWS WAF Classic durchläuft derzeit einen geplanten end-of-life Prozess. In Ihrem AWS Health Dashboard finden Sie die Meilensteine und Daten, die für Ihre Region spezifisch sind.

**Anmerkung**  
Dies ist die **AWS WAF klassische** Dokumentation. Sie sollten diese Version nur verwenden, wenn Sie AWS WAF Ressourcen wie Regeln und Websites ACLs AWS WAF vor November 2019 erstellt und diese noch nicht auf die neueste Version migriert haben. Informationen zur Migration Ihrer Website finden Sie ACLs unter[Migrieren Sie Ihre AWS WAF Classic-Ressourcen zu AWS WAF](waf-migrating-from-classic.md).  
**Die neueste Version von** finden AWS WAF Sie unter[AWS WAF](waf-chapter.md). 

Sie können AWS Firewall Manager AWS WAF Regeln, AWS WAF klassische Regeln, AWS Shield Advanced Schutzmaßnahmen und Amazon VPC-Sicherheitsgruppen aktivieren. Die Schritte zum Einrichten sind dafür jeweils etwas unterschiedlich:
+ Wenn Sie den Firewall Manager verwenden möchten, um Regeln mit der neuesten Version von zu aktivieren AWS WAF, verwenden Sie dieses Thema nicht. Führen Sie stattdessen die Schritte in [AWS Firewall Manager AWS WAF Richtlinien einrichten](getting-started-fms.md) aus. 
+ Gehen Sie wie unter beschrieben vor, um den Firewall Manager zum Aktivieren von AWS Shield Advanced Schutzmaßnahmen zu verwenden. [AWS Firewall Manager AWS Shield Advanced Richtlinien einrichten](getting-started-fms-shield.md)
+ Gehen Sie wie unter beschrieben vor, um Amazon VPC-Sicherheitsgruppen mithilfe von Firewall Manager zu aktivieren. [Einrichtung von AWS Firewall Manager Amazon VPC-Sicherheitsgruppenrichtlinien](getting-started-fms-security-group.md) 

Um den Firewall Manager zur Aktivierung der AWS WAF klassischen Regeln zu verwenden, führen Sie die folgenden Schritte nacheinander aus. 

**Topics**
+ [Schritt 1: Erfüllen der Voraussetzungen](classic-complete-prereq.md)
+ [Schritt 2: Erstellen von Regeln](classic-get-started-fms-create-rules.md)
+ [Schritt 3: Erstellen einer Regelgruppe](classic-get-started-fms-create-rule-group.md)
+ [Schritt 4: Eine AWS Firewall Manager AWS WAF Classic-Richtlinie erstellen und anwenden](classic-get-started-fms-create-security-policy.md)

# Schritt 1: Erfüllen der Voraussetzungen
<a name="classic-complete-prereq"></a>

**Warnung**  
AWS WAF Classic durchläuft derzeit einen geplanten end-of-life Prozess. In Ihrem AWS Health Dashboard finden Sie die Meilensteine und Daten, die für Ihre Region spezifisch sind.

**Anmerkung**  
Dies ist die **AWS WAF klassische** Dokumentation. Sie sollten diese Version nur verwenden, wenn Sie AWS WAF Ressourcen wie Regeln und Websites ACLs AWS WAF vor November 2019 erstellt und diese noch nicht auf die neueste Version migriert haben. Informationen zur Migration Ihrer Website finden Sie ACLs unter[Migrieren Sie Ihre AWS WAF Classic-Ressourcen zu AWS WAF](waf-migrating-from-classic.md).  
**Die neueste Version von** finden AWS WAF Sie unter[AWS WAF](waf-chapter.md). 

Mehrere Schritte sind zur Vorbereitung Ihres Kontos auf AWS Firewall Manager zwingend erforderlich. Diese Schritte werden in [AWS Firewall Manager Voraussetzungen](fms-prereq.md) beschrieben. Erfüllen Sie alle Voraussetzungen, bevor Sie mit [Schritt 2: Erstellen von Regeln](classic-get-started-fms-create-rules.md) fortfahren.

# Schritt 2: Erstellen von Regeln
<a name="classic-get-started-fms-create-rules"></a>

**Warnung**  
AWS WAF Classic durchläuft derzeit einen geplanten end-of-life Prozess. In Ihrem AWS Health Dashboard finden Sie die Meilensteine und Daten, die für Ihre Region spezifisch sind.

**Anmerkung**  
Dies ist die **AWS WAF klassische** Dokumentation. Sie sollten diese Version nur verwenden, wenn Sie AWS WAF Ressourcen wie Regeln und Websites ACLs AWS WAF vor November 2019 erstellt und diese noch nicht auf die neueste Version migriert haben. Informationen zur Migration Ihrer Website finden Sie ACLs unter[Migrieren Sie Ihre AWS WAF Classic-Ressourcen zu AWS WAF](waf-migrating-from-classic.md).  
**Die neueste Version von** finden AWS WAF Sie unter[AWS WAF](waf-chapter.md). 

In diesem Schritt erstellen Sie Regeln mit AWS WAF Classic. Wenn Sie bereits über AWS WAF Classic-Regeln verfügen, die Sie mit verwenden möchten AWS Firewall Manager, überspringen Sie diesen Schritt und fahren Sie mit fort[Schritt 3: Erstellen einer Regelgruppe](classic-get-started-fms-create-rule-group.md). 

**Anmerkung**  
Verwenden Sie die AWS WAF Classic-Konsole, um Ihre Regeln zu erstellen. <a name="classic-get-started-fms-create-rules-procedure"></a>

**Um AWS WAF klassische Regeln zu erstellen (Konsole)**
+ Erstellen Sie Ihre Regeln und fügen Sie Ihre Bedingungen zu Ihren Regeln hinzu. Weitere Informationen finden Sie unter [Erstellen einer Regel und Hinzufügen von Bedingungen](classic-web-acl-rules-creating.md). 

Sie können nun mit [Schritt 3: Erstellen einer Regelgruppe](classic-get-started-fms-create-rule-group.md) fortfahren.

# Schritt 3: Erstellen einer Regelgruppe
<a name="classic-get-started-fms-create-rule-group"></a>

**Warnung**  
AWS WAF Classic durchläuft einen geplanten end-of-life Prozess. In Ihrem AWS Health Dashboard finden Sie die Meilensteine und Daten, die für Ihre Region spezifisch sind.

**Anmerkung**  
Dies ist die **AWS WAF klassische** Dokumentation. Sie sollten diese Version nur verwenden, wenn Sie AWS WAF Ressourcen wie Regeln und Websites ACLs AWS WAF vor November 2019 erstellt und diese noch nicht auf die neueste Version migriert haben. Informationen zur Migration Ihrer Website finden Sie ACLs unter[Migrieren Sie Ihre AWS WAF Classic-Ressourcen zu AWS WAF](waf-migrating-from-classic.md).  
**Die neueste Version von** finden AWS WAF Sie unter[AWS WAF](waf-chapter.md). 

Eine Regelgruppe ist ein Satz von Regeln, der bestimmt, welche Aktionen ausgeführt werden soll, wenn ein bestimmter Satz von Bedingungen erfüllt wird. Sie können verwaltete Regelgruppen von AWS Marketplace verwenden und eigene Regelgruppen erstellen. Informationen zu verwalteten Regelgruppen finden Sie unter [AWS Marketplace Regelgruppen](classic-waf-managed-rule-groups.md).

Um Ihre eigene Sicherheitsgruppe zu erstellen, führen Sie das folgende Verfahren durch.<a name="classic-get-started-fms-create-rule-group-procedure"></a>

**So erstellen Sie eine Regelgruppe (Konsole)**

1. Melden Sie sich AWS-Managementkonsole mit dem AWS Firewall Manager Administratorkonto an, das Sie in den Voraussetzungen eingerichtet haben, und öffnen Sie dann die Firewall Manager Manager-Konsole unter[https://console.aws.amazon.com/wafv2/fms](https://console.aws.amazon.com/wafv2/fms). 

1. Wählen Sie im Navigationsbereich **Security policies** (Sicherheitsrichtlinien) aus. 

1. Wenn Sie die Voraussetzungen nicht erfüllen, zeigt die Konsole Anweisungen zum Beheben vorliegender Problemen an. Befolgen Sie die Anweisungen und beginnen Sie dann erneut mit diesem Schritt (Erstellen einer Regelgruppe). Wenn die Voraussetzungen erfüllt sind, klicken Sie auf **Close** (Schließen). 

1. Wählen Sie **Richtlinie erstellen** aus.

   Wählen Sie unter **Policy type (Richtlinientyp)** die Option **AWS WAF Classic** aus. 

1. Wählen Sie ** AWS Firewall Manager Richtlinie erstellen und fügen Sie eine neue Regelgruppe** hinzu.

1. Wählen Sie eine AWS-Region und dann **Weiter**.

1. Da Sie bereits Regeln erstellt haben, müssen Sie keine Bedingungen erstellen. Wählen Sie **Weiter** aus.

1. Da Sie bereits Regeln erstellt haben, müssen Sie keine Regeln erstellen. Wählen Sie **Weiter** aus.

1. Wählen Sie **Create rule group** (Regelgruppe erstellen).

1. Geben Sie für **Name** einen benutzerfreundlichen Namen ein. 

1. Geben Sie einen Namen für die CloudWatch Metrik ein, die AWS WAF Classic erstellt und der Regelgruppe zuordnet. Der Name darf nur alphanumerische Zeichen (A-Z, a-z, 0-9) oder die folgenden Sonderzeichen enthalten: \$1-\$1"\$1`\$1\$1\$1,./ . Es darf keine Leerzeichen enthalten.

1. Wählen Sie eine Regel und danach **Add rule** (Regel hinzufügen) aus. Eine Regel besitzt eine Aktionseinstellung, mit der Sie auswählen können, ob Anforderungen zugelassen, blockiert oder gezählt werden sollen, die mit den Bedingungen der Regel übereinstimmen. Wählen Sie für dieses Tutorial **Count** (Zählen). Wiederholen Sie diesen Schritt, bis Sie alle gewünschten Regeln zur Regelgruppe hinzugefügt haben.

1. Wählen Sie **Erstellen** aus.

Sie können nun mit [Schritt 4: Eine AWS Firewall Manager AWS WAF Classic-Richtlinie erstellen und anwenden](classic-get-started-fms-create-security-policy.md) fortfahren.

# Schritt 4: Eine AWS Firewall Manager AWS WAF Classic-Richtlinie erstellen und anwenden
<a name="classic-get-started-fms-create-security-policy"></a>

**Warnung**  
AWS WAF Classic durchläuft derzeit einen geplanten end-of-life Prozess. In Ihrem AWS Health Dashboard finden Sie die Meilensteine und Daten, die für Ihre Region spezifisch sind.

**Anmerkung**  
Dies ist die **AWS WAF klassische** Dokumentation. Sie sollten diese Version nur verwenden, wenn Sie AWS WAF Ressourcen wie Regeln und Websites ACLs AWS WAF vor November 2019 erstellt und diese noch nicht auf die neueste Version migriert haben. Informationen zur Migration Ihrer Website finden Sie ACLs unter[Migrieren Sie Ihre AWS WAF Classic-Ressourcen zu AWS WAF](waf-migrating-from-classic.md).  
**Die neueste Version von** finden AWS WAF Sie unter[AWS WAF](waf-chapter.md). 

Nachdem Sie die Regelgruppe erstellt haben, erstellen Sie eine AWS Firewall Manager AWS WAF Richtlinie. Eine Firewall Manager AWS WAF Manager-Richtlinie enthält die Regelgruppe, die Sie auf Ihre Ressourcen anwenden möchten.<a name="classic-get-started-fms-create-security-policy-procedure"></a>

**So erstellen Sie eine Firewall Manager AWS WAF Manager-Richtlinie (Konsole)**

1. Nach dem Erstellen der Regelgruppe (der letzte Schritt im vorhergehenden Verfahren, [Schritt 3: Erstellen einer Regelgruppe](classic-get-started-fms-create-rule-group.md)) zeigt die Konsole die Seite **Rule group summary (Regelgruppen-Übersicht)** an. Wählen Sie **Weiter** aus.

1. Geben Sie für **Name** einen benutzerfreundlichen Namen ein. 

1. Wählen Sie unter **Policy type (Richtlinientyp)** die Option **WAF** aus. 

1. Wählen Sie für **Region** eine AWS-Region. Um CloudFront Amazon-Ressourcen zu schützen, wählen Sie **Global**.

   Um Ressourcen in mehreren Regionen (außer CloudFront Ressourcen) zu schützen, müssen Sie separate Firewall Manager Manager-Richtlinien für jede Region erstellen.

1. Wählen Sie eine hinzuzufügende Regelgruppe und danach **Add rule group** (Regelgruppe hinzufügen) aus. 

1. Für eine Richtlinie sind zwei mögliche Aktionen vorhanden: **Action set by rule group** (Aktion durch Regelgruppe festgelegt) und **Count** (Zählen). Wenn Sie die Richtlinie und Regelgruppe testen möchten, legen Sie als Aktion **Count** (Zählen) fest. Diese Aktion setzt alle *block* (Blockieren)-Aktionen außer Kraft, die durch die in der Richtlinie enthaltene Regelgruppe angegeben werden. Wenn als Aktion der Richtlinie **Count** (Zählen) festgelegt ist, bedeutet dies, dass solche Anforderungen nur gezählt und nicht blockiert werden. Wenn Sie als Aktion der Richtlinie dagegen **Action set by rule group** (Aktion durch Regelgruppe festgelegt) festlegen, werden Aktionen der Regelgruppe in der Richtlinie verwendet. Wählen Sie für dieses Tutorial **Count** (Zählen).

1. Wählen Sie **Weiter** aus.

1. Wenn Sie nur bestimmte Konten in die Richtlinie aufnehmen oder alternativ bestimmte Konten von der Richtlinie ausschließen möchten, wählen Sie **Select accounts to include/exclude from this policy (optional) (Konten auswählen, die in diese Richtlinie aufgenommen/von dieser Richtlinie ausgenommen werden sollen (optional))**. Wählen Sie entweder **Include only these accounts in this policy (Nur diese Konten in diese Richtlinie einschließen)** oder **Exclude these accounts from this policy (Diese Konten aus dieser Richtlinie ausschließen)**. Sie können nur eine Option auswählen. Wählen Sie **Hinzufügen** aus. Wählen Sie die ein- oder auszuschließenden Kontonummern und anschließend **OK**. 
**Anmerkung**  
Wenn Sie diese Option nicht auswählen, wendet Firewall Manager eine Richtlinie auf alle Konten in Ihrer Organisation in an AWS Organizations. Wenn Sie ein neues Konto zur Organisation hinzufügen, wendet Firewall-Manager die Richtlinie automatisch auf das betreffende Konto an.

1. Wählen Sie die Ressourcentypen aus, die geschützt werden sollen.

1. Wenn Sie nur Ressourcen mit bestimmten Tags schützen oder alternativ Ressourcen mit bestimmten Tags ausschließen möchten, wählen Sie **Use tags to include/exclude resources (Ressourcen mittels Tags ein-/ausschließen)**, geben Sie die Tags ein, und wählen Sie entweder **Include (Einschließen)** oder **Exclude (Ausschließen)**. Sie können nur eine Option auswählen. 

   Wenn Sie mehr als einen Tag (durch Kommas getrennt) eingeben und eine Ressource über einen dieser Tags verfügt, gilt dies als Entsprechung.

   Weitere Informationen zu Tags finden Sie unter [Arbeiten mit dem Tag Editor](https://docs.aws.amazon.com/awsconsolehelpdocs/latest/gsg/tag-editor.html).

1. Wählen Sie **Create and apply this policy to existing and new resources** (Erstellen und Anwenden dieser Richtlinie auf vorhandene und neue Ressourcen).

   Diese Option erstellt eine Web-ACL für jedes entsprechende Konto innerhalb einer Organisation in AWS Organizations und ordnet die Web-ACL den angegebenen Ressourcen in den Konten zu. Diese Option wendet die Richtlinie auch auf alle neuen Ressourcen an, die den voranstehenden Kriterien (Ressourcentyp und Tags) entsprechen. Wenn Sie „**Erstellen“ wählen, aber diese Richtlinie nicht auf bestehende oder neue Ressourcen anwenden**, erstellt Firewall Manager alternativ eine Web-ACL für jedes entsprechende Konto innerhalb der Organisation, wendet die Web-ACL jedoch nicht auf Ressourcen an. Sie müssen die Richtlinie zu einem späteren Zeitpunkt auf Ressourcen anwenden.

1. Belassen Sie die Option **Bestehende verknüpfte Website ersetzen ACLs** auf der Standardeinstellung.

   Wenn diese Option ausgewählt ist, hat Firewall Manager alle vorhandenen Web-ACL-Zuordnungen von Ressourcen im Geltungsbereich entfernt, bevor er ihnen das Web der neuen Richtlinie ACLs zuordnet. 

1. Wählen Sie **Weiter** aus.

1. Überprüfen Sie die neue Richtlinie. Um Änderungen vorzunehmen, wählen Sie **Edit** (Bearbeiten). Wenn Sie mit der Richtlinie zufrieden sind, klicken Sie auf **Create policy** (Richtlinie erstellen).

# Tutorial: Eine AWS Firewall Manager Richtlinie mit hierarchischen Regeln erstellen
<a name="hierarchical-rules"></a>

**Warnung**  
AWS WAF Classic durchläuft einen geplanten end-of-life Prozess. In Ihrem AWS Health Dashboard finden Sie die Meilensteine und Daten, die für Ihre Region spezifisch sind.

**Anmerkung**  
Dies ist die **AWS WAF klassische** Dokumentation. Sie sollten diese Version nur verwenden, wenn Sie AWS WAF Ressourcen wie Regeln und Websites ACLs AWS WAF vor November 2019 erstellt und diese noch nicht auf die neueste Version migriert haben. Informationen zur Migration Ihrer Website finden Sie ACLs unter[Migrieren Sie Ihre AWS WAF Classic-Ressourcen zu AWS WAF](waf-migrating-from-classic.md).  
**Die neueste Version von** finden AWS WAF Sie unter[AWS WAF](waf-chapter.md). 

Mit AWS Firewall Manager können Sie AWS WAF klassische Schutzrichtlinien erstellen und anwenden, die hierarchische Regeln enthalten. Das heißt, Sie können bestimmte Regeln zentral erstellen und durchsetzen, die Erstellung und Wartung kontospezifischer Regeln aber anderen Personen überlassen. Sie können die zentral angewendeten (gemeinsamen) Regeln auf versehentliches Entfernen oder fehlerhafte Behandlung überwachen und so ihre konsistente Anwendung sicherstellen. Die kontospezifischen Regeln bieten weiteren an die Anforderungen einzelner Teams angepassten Schutz hinzu.

**Anmerkung**  
In der neuesten Version von AWS WAF ist diese Funktion integriert und erfordert keine besondere Behandlung. Wenn Sie AWS WAF Classic noch nicht verwenden, verwenden Sie stattdessen die neueste Version. Siehe [Eine AWS Firewall Manager Richtlinie erstellen für AWS WAF](create-policy.md#creating-firewall-manager-policy-for-waf).

Das folgende Tutorial beschreibt die Erstellung eines hierarchischen Satzes von Schutzregeln. 

**Topics**
+ [Schritt 1: Bestimmen Sie ein Firewall Manager Manager-Administratorkonto](#hierarchical-rules-set-firewall-administrator)
+ [Schritt 2: Erstellen Sie eine Regelgruppe mit dem Firewall Manager Manager-Administratorkonto](#hierarchical-rules-create-a-rule-group)
+ [Schritt 3: Erstellen Sie eine Firewall Manager Manager-Richtlinie und fügen Sie die allgemeine Regelgruppe hinzu](#hierarchical-rules-create-policy)
+ [Schritt 4: Hinzufügen kontospezifischer Regeln](#hierarchical-rules-add-account-specific-rules)
+ [Schlussfolgerung](#hierarchical-rules-conclusion)

## Schritt 1: Bestimmen Sie ein Firewall Manager Manager-Administratorkonto
<a name="hierarchical-rules-set-firewall-administrator"></a>

Zur Verwendung AWS Firewall Manager müssen Sie ein Konto in Ihrer Organisation als Firewall Manager Manager-Administratorkonto festlegen. Dieses Konto kann entweder das Verwaltungskonto oder ein Mitgliedskonto in der Organisation sein. 

Sie können das Firewall Manager Manager-Administratorkonto verwenden, um eine Reihe allgemeiner Regeln zu erstellen, die Sie auf andere Konten in der Organisation anwenden. Andere Konten in der Organisation können diese zentral angewendeten Regeln nicht ändern.

Um ein Konto als Firewall Manager-Administratorkonto festzulegen und weitere Voraussetzungen für die Verwendung von Firewall Manager zu erfüllen, finden Sie die Anweisungen unter[AWS Firewall Manager Voraussetzungen](fms-prereq.md). Wenn die Voraussetzungen bereits erfüllt sind, können Sie zu Schritt 2 dieses Tutorials springen. 

In diesem Tutorial bezeichnen wir das Administratorkonto als **Firewall-Administrator-Account**.

## Schritt 2: Erstellen Sie eine Regelgruppe mit dem Firewall Manager Manager-Administratorkonto
<a name="hierarchical-rules-create-a-rule-group"></a>

Erstellen Sie dann mithilfe von **Firewall-Administrator-Account** eine Regelgruppe. Diese Regelgruppe enthält die gemeinsamen Regeln, die Sie für alle Mitgliedskonten anwenden, die der im nächsten Schritt erstellten Richtlinie unterliegen. Nur das **Firewall-Administrator-Account** kann Änderungen an diesen Regeln und der Container-Regelgruppe vornehmen.

In diesem Tutorial bezeichnen wir diese Container-Regelgruppe als **Common-Rule-Group**.

Zur Erstellung einer Regelgruppe vgl. die Anweisungen in [Eine AWS WAF klassische Regelgruppe erstellen](classic-create-rule-group.md). Denken Sie daran, sich mit Ihrem Firewall Manager Manager-Administratorkonto (**Firewall-Administrator-Account**) bei der Konsole anzumelden, wenn Sie diese Anweisungen befolgen.

## Schritt 3: Erstellen Sie eine Firewall Manager Manager-Richtlinie und fügen Sie die allgemeine Regelgruppe hinzu
<a name="hierarchical-rules-create-policy"></a>

Erstellen Sie mit**Firewall-Administrator-Account**, eine Firewall Manager Manager-Richtlinie. Wenn Sie diese Richtlinie erstellen, müssen Sie Folgendes tun:
+ Fügen Sie **Common-Rule-Group** zu der neuen Richtlinie hinzu.
+ Schließen Sie alle Konten in der Organisation ein, auf die **Common-Rule-Group** angewendet werden soll.
+ Fügen Sie alle Ressourcen hinzu, auf die **Common-Rule-Group** angewendet werden soll.

Anleitungen zum Erstellen einer Richtlinie finden Sie unter [Eine AWS Firewall Manager Richtlinie erstellen](create-policy.md).

Dadurch wird in jedem angegebenen Konto eine Web-ACL erstellt und **Common-Rule-Group** zu jedem dieser Webs hinzugefügt ACLs. Nachdem Sie die Richtlinie erstellt haben, werden diese Web-ACL und die gemeinsamen Regeln für alle angegebenen Konten bereitgestellt.

In diesem Tutorial bezeichnen wir diese Web-ACL als **Administrator-Created-ACL**. Jetzt besteht in jedem angegebenen Mitgliedskonto der Organisation eine eindeutige **Administrator-Created-ACL**. 

## Schritt 4: Hinzufügen kontospezifischer Regeln
<a name="hierarchical-rules-add-account-specific-rules"></a>

Jedes Mitgliedskonto der Organisation kann jetzt seine eigenen kontospezifischen Regeln zu der **Administrator-Created-ACL** in ihrem Konto hinzufügen. Die bereits geltenden allgemeinen Regeln gelten **Administrator-Created-ACL** weiterhin, ebenso wie die neuen, kontospezifischen Regeln. AWS WAF prüft Webanfragen auf der Grundlage der Reihenfolge, in der Regeln in der Web-ACL erscheinen. Dies gilt für **Administrator-Created-ACL** und für kontospezifische Regeln.

Informationen zum Hinzufügen von Regeln finden Sie **Administrator-Created-ACL** unter[Bearbeiten eines Schutzpakets (Web-ACL) in AWS WAF](web-acl-editing.md).

## Schlussfolgerung
<a name="hierarchical-rules-conclusion"></a>

Sie verfügen jetzt über eine Web-ACL, die allgemeine Regeln enthält, die vom Firewall Manager Manager-Administratorkonto verwaltet werden, sowie kontospezifische Regeln, die von jedem Mitgliedskonto verwaltet werden.

Die **Administrator-Created-ACL** in jedem Konto verweist auf die einzelne Referenzen **Common-Rule-Group**. Daher werden future Änderungen durch das Firewall Manager Manager-Administratorkonto **Common-Rule-Group** sofort für jedes Mitgliedskonto wirksam.

Mitgliedskonten können die gemeinsamen Regeln in **Common-Rule-Group** nicht ändern oder entfernen.

Kontospezifische Regeln wirken sich nicht auf andere Konten aus.

# Protokollieren von Web-ACL-Traffic-Informationen
<a name="classic-logging"></a>

**Warnung**  
AWS WAF Classic durchläuft derzeit einen geplanten end-of-life Prozess. In Ihrem AWS Health Dashboard finden Sie die Meilensteine und Daten, die für Ihre Region spezifisch sind.

**Anmerkung**  
Dies ist die **AWS WAF klassische** Dokumentation. Sie sollten diese Version nur verwenden, wenn Sie AWS WAF Ressourcen wie Regeln und Websites ACLs AWS WAF vor November 2019 erstellt und diese noch nicht auf die neueste Version migriert haben. Informationen zur Migration Ihrer Website finden Sie ACLs unter[Migrieren Sie Ihre AWS WAF Classic-Ressourcen zu AWS WAF](waf-migrating-from-classic.md).  
**Die neueste Version von** finden AWS WAF Sie unter[AWS WAF](waf-chapter.md). 

**Anmerkung**  
Sie können Amazon Security Lake nicht zum Sammeln von AWS WAF Classic-Daten verwenden. 

Sie können die Protokollierung aktivieren, um detaillierte Informationen über den Traffic zu erhalten, der von Ihrer Web-ACL analysiert wird. Zu den Informationen, die in den Protokollen enthalten sind, gehören der Zeitpunkt, zu dem AWS WAF Classic die Anfrage von Ihrer AWS Ressource erhalten hat, detaillierte Informationen über die Anfrage und die Aktion für die Regel, der jede Anfrage entsprach.

Um zu beginnen, richten Sie einen Amazon Kinesis Data Firehose ein. Wählen Sie im Rahmen dieses Prozesses ein Ziel zur Speicherung Ihrer Protokolle aus. Als Nächstes wählen Sie die Web-ACL aus, für die Sie die Protokollierung aktivieren möchten. Nachdem Sie die Protokollierung aktiviert haben AWS WAF , werden die Protokolle über die Firehose an Ihr Speicherziel gesendet. 

Informationen dazu, wie Sie eine Amazon Kinesis Data Firehose erstellen und Ihre gespeicherten Protokolle überprüfen, finden Sie unter [Was ist Amazon Data](https://docs.aws.amazon.com/firehose/latest/dev/what-is-this-service.html) Firehose? Informationen zu den für Ihre Kinesis-Data-Firehose-Konfiguration erforderlichen Berechtigungen finden Sie unter [Controlling Access with Amazon Kinesis Data Firehose](https://docs.aws.amazon.com/firehose/latest/dev/controlling-access.html) (Zugriff mit Amazon Kinesis Data Firehose steuern).

Sie müssen über die folgenden Berechtigungen verfügen, um erfolgreich die Protokollierung zu aktivieren:
+ `iam:CreateServiceLinkedRole`
+ `firehose:ListDeliveryStreams`
+ `waf:PutLoggingConfiguration`

Weitere Informationen zu serviceverknüpften Rollen und zur Berechtigung `iam:CreateServiceLinkedRole` finden Sie unter [Verwenden von serviceverknüpften Rollen für Classic AWS WAF](classic-using-service-linked-roles.md).<a name="classic-logging-procedure"></a>

**Aktivieren der Protokollierung für eine Web-ACL**

1. Erstellen Sie eine Amazon Kinesis Data Firehose mit einem Namen, der mit dem Präfix "aws-waf-logs-“ beginnt. Zum Beispiel. `aws-waf-logs-us-east-2-analytics` Erstellen Sie den Data Firehose mit einer `PUT`-Quelle und in der Region, in der Sie aktiv sind. Wenn Sie Logs für Amazon erfassen CloudFront, erstellen Sie die Firehose in USA East (Nord-Virginia). Weitere Informationen finden Sie unter [Einrichten eines Amazon-Data-Firehose-Bereitstellungsdatenstroms](https://docs.aws.amazon.com/firehose/latest/dev/basic-create.html).
**Wichtig**  
Wählen Sie nicht `Kinesis stream` als Ihre Quelle.  
Ein AWS WAF Classic-Protokoll entspricht einem Firehose-Datensatz. Wenn Sie in der Regel 10.000 Anfragen pro Sekunde erhalten und vollständige Protokolle aktivieren, sollten Sie in Firehose eine Einstellung von 10.000 Datensätzen pro Sekunde haben. Wenn Sie Firehose nicht richtig konfigurieren, zeichnet AWS WAF Classic nicht alle Protokolle auf. Weitere Informationen finden Sie unter [Amazon Kinesis Data Firehose-Kontingente](https://docs.aws.amazon.com/firehose/latest/dev/limits.html). 

1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die AWS WAF Konsole unter [https://console.aws.amazon.com/wafv2/](https://console.aws.amazon.com/wafv2/). 

   Wenn im Navigationsbereich **Zu AWS WAF Classic wechseln** angezeigt wird, wählen Sie es aus.

1. Wählen Sie im Navigationsbereich **Web** aus ACLs.

1. Wählen Sie die Web-ACL aus, für die Sie die Protokollierung aktivieren möchten. Dadurch wird im rechten Bereich eine Seite mit den Details der Web-ACL geöffnet.

1. Klicken Sie auf der Registerkarte **Logging (Protokollieren)** auf **Enable logging (Protokollieren aktivieren)**.

1. Wählen Sie den Kinesis Data Firehose, den Sie im ersten Schritt erstellt haben. Sie müssen einen Firehose wählen, der mit "aws-waf-logs-“ beginnt.

1. (Optional) Wenn Sie nicht möchten, dass bestimmte Felder und deren Werte in den Protokollen enthalten sind, machen Sie diese Felder unkenntlich. Wählen Sie das Feld aus, das unkenntlich gemacht werden soll, und klicken Sie dann auf **Add (Hinzufügen)**. Wiederholen Sie diesen Vorgang nach Bedarf, um zusätzliche Felder unkenntlich zu machen. Die unkenntlich gemachten Felder werden als `REDACTED` in den Protokollen angezeigt. Wenn Sie beispielsweise das Feld **Cookie** unkenntlich machen, wird das Feld **Cookie** in den Protokollen als `REDACTED` angezeigt. 

1. Wählen Sie **Enable logging (Protokollierung aktivieren)** aus.
**Anmerkung**  
Wenn Sie die Protokollierung erfolgreich aktivieren, erstellt AWS WAF Classic eine serviceverknüpfte Rolle mit den erforderlichen Berechtigungen, um Protokolle in die Amazon Kinesis Data Firehose zu schreiben. Weitere Informationen finden Sie unter [Verwenden von serviceverknüpften Rollen für Classic AWS WAF](classic-using-service-linked-roles.md).<a name="classic-logging-disable-procedure"></a>

**So deaktivieren Sie die Protokollierung für eine Web-ACL**

1. **Wählen Sie im Navigationsbereich Web aus. ACLs**

1. Wählen Sie die Web-ACL aus, für die Sie die Protokollierung deaktivieren möchten. Dadurch wird im rechten Bereich eine Seite mit den Details der Web-ACL geöffnet.

1. Klicken Sie auf der Registerkarte **Logging (Protokollieren)** auf **Disable logging (Protokollieren deaktivieren)**.

1. Wählen Sie im Dialogfeld **Disable logging (Protokollieren deaktivieren)**.

**Example Beispielprotokoll**  

```
{
			
	"timestamp":1533689070589,                            
	"formatVersion":1,                                   
	"webaclId":"385cb038-3a6f-4f2f-ac64-09ab912af590",  
	"terminatingRuleId":"Default_Action",                
	"terminatingRuleType":"REGULAR",                     
	"action":"ALLOW",                                    
	"httpSourceName":"CF",                               
	"httpSourceId":"i-123",                             
	"ruleGroupList":[                                    
                         {  
                          "ruleGroupId":"41f4eb08-4e1b-2985-92b5-e8abf434fad3",
                          "terminatingRule":null,    
                          "nonTerminatingMatchingRules":[                  
                                                         {"action" : "COUNT",   
                                                         "ruleId" : "4659b169-2083-4a91-bbd4-08851a9aaf74"}       
                                                        ],
                          "excludedRules":              [
                                                         {"exclusionType" : "EXCLUDED_AS_COUNT",   
                                                          "ruleId" : "5432a230-0113-5b83-bbb2-89375c5bfa98"}
                                                        ]                          
                         }
                        ],
     
	"rateBasedRuleList":[                                 
                             {  
                              "rateBasedRuleId":"7c968ef6-32ec-4fee-96cc-51198e412e7f",   
                              "limitKey":"IP",
                              "maxRateAllowed":100                                                                                           
                             },
                             {  
                              "rateBasedRuleId":"462b169-2083-4a93-bbd4-08851a9aaf30",
                              "limitKey":"IP",
                              "maxRateAllowed":100
                              }
                              ],
			
	"nonTerminatingMatchingRules":[                                
                                       {"action" : "COUNT",                                                           
                                       "ruleId" : "4659b181-2011-4a91-bbd4-08851a9aaf52"}    
                                      ],
                                  
	"httpRequest":{                                                             
                       "clientIp":"192.10.23.23",                                           
                       "country":"US",                                                         
                       "headers":[                                                                 
                                   {  
                                    "name":"Host",
                                    "value":"127.0.0.1:1989"
                                   },
                                   {  
                                    "name":"User-Agent",
                                    "value":"curl/7.51.2"
                                   },
                                   {  
                                    "name":"Accept",
                                    "value":"*/*"
                                   }
                                 ],
                      "uri":"REDACTED",                                                
                      "args":"usernam=abc",                                         
                      "httpVersion":"HTTP/1.1",
                      "httpMethod":"GET",
                      "requestId":"cloud front Request id"                    
                      }
}
```

Im Folgenden finden Sie Beschreibungen aller Elemente, die in diesen Protokollen aufgelistet werden.

**Zeitstempel**  
Der Zeitstempel in Millisekunden.

**formatVersion**  
Die Formatversion für das Protokoll.

**webaclId**  
Die GUID der Web-ACL.

**terminatingRuleId**  
Die ID der Regel, die die Anforderung beendet. Wenn nichts zur Beendigung der Anforderung führt, ist der Wert `Default_Action`.

**terminatingRuleType**  
Der Typ der Regel, die die Anforderung beendet. Mögliche Werte: RATE\$1BASED, REGULAR und GROUP.

**action**  
Die Aktion. Mögliche Werte für eine beendende Regel: ALLOW und BLOCK. COUNT ist kein gültiger Wert für eine beendende Regel.

**terminatingRuleMatchEinzelheiten**  
Detaillierte Informationen zur Beendigungsregel, die mit der Anforderung übereingestimmt hat. Eine Beendigungsregel verfügt über eine Aktion, die den Inspektionsprozess für eine Webanforderung beendet. Mögliche Aktionen für Beendigungsregeln sind ALLOW und BLOCK. Dies wird nur für SQL-Injection und Cross-Site Scripting (XSS) -Übereinstimmungsregelanweisungen aufgefüllt. Wie bei allen Regelanweisungen, die auf mehr als ein Element prüfen, wendet AWS WAF die Aktion auf die erste Übereinstimmung an und stoppt die Überprüfung der Webanforderung. Eine Webanforderung mit einer Beendungsaktion kann zusätzlich zu den im Protokoll gemeldeten Bedrohungen weitere Bedrohungen enthalten.

**httpSourceName**  
Die Quelle der Anforderung. Mögliche Werte: CF (wenn die Quelle Amazon ist CloudFront), APIGW (wenn die Quelle Amazon API Gateway ist) und ALB (wenn die Quelle ein Application Load Balancer ist).

**httpSourceId**  
Die Quell-ID. Dieses Feld zeigt die ID der zugehörigen CloudFront Amazon-Distribution, die REST-API für API Gateway oder den Namen für einen Application Load Balancer.

**ruleGroupList**  
Die Liste der Regelgruppen, die auf diese Anforderung reagiert haben. Im vorangehenden Beispiel gibt es nur eine.

**ruleGroupId**  
Die ID der Regelgruppe. Wenn die Regel die Anforderung blockiert hat, ist die ID für `ruleGroupID` mit der ID für `terminatingRuleId` identisch. 

**terminatingRule**  
Die Regel innerhalb der Regelgruppe, die die Anforderung beendet hat. Wenn es sich um einen Nicht-Null-Wert handelt, enthält er auch eine **ruleid (Regel-ID)** und eine **action (Aktion)**. In diesem Fall ist die Aktion stets BLOCK.

**nonTerminatingMatchingRegeln**  
Die Liste der Regeln in der Regelgruppe, die mit der Anforderung übereinstimmen. Dies sind stets COUNT-Regeln (nicht beendende Regeln, die übereinstimmen).

**Aktion (Gruppe „nonTerminatingMatchingRegeln“)**  
Dies ist stets COUNT (nicht beendende Regeln, die übereinstimmen).

**ruleId (Gruppe „nonTerminatingMatchingRegeln“)**  
Die ID der Regel innerhalb der Regelgruppe, die mit der Anforderung übereinstimmt und nicht beendend war. Also COUNT-Regeln.

**excludedRules**  
Die Liste der Regeln in der Regelgruppe, die von Ihnen ausgeschlossen wurden. Die Aktion für diese Regeln ist auf COUNT festgelegt.

**exclusionType (excludedRules-Gruppe)**  
Ein Typ, der anzeigt, dass die ausgeschlossene Regel die Aktion COUNT hat.

**ruleId (excludedRules-Gruppe)**  
Die ID der Regel innerhalb der Regelgruppe, die ausgeschlossen ist.

**rateBasedRuleListe**  
Die Liste der ratenbasierten Regeln, die auf die Anforderung reagiert haben.

**rateBasedRuleAusweis**  
Die ID der ratenbasierten Regel, die auf die Anforderung reagiert hat. Wenn die Anforderung hierdurch beendet wurde, ist die ID für `rateBasedRuleId` mit der ID für `terminatingRuleId` identisch.

**limitKey**  
Das Feld, AWS WAF anhand dessen bestimmt wird, ob Anfragen wahrscheinlich aus einer einzigen Quelle stammen und daher einer Tarifüberwachung unterliegen. Möglicher Wert: IP. 

**maxRateAllowed**  
Die maximale Anzahl von Anforderungen mit einem identischen Wert in dem Feld, das durch `limitKey` angegeben wird, zulässig innerhalb eines Zeitraums von fünf Minuten. Wenn die Anzahl der Anfragen den Wert überschreitet `maxRateAllowed` und die anderen in der Regel angegebenen Prädikate ebenfalls erfüllt sind, wird die für diese Regel angegebene Aktion AWS WAF ausgelöst.

**httpRequest**  
Die Metadaten zu der Anforderung.

**clientIp**  
Die IP-Adresse des Clients, der die Anforderung sendet.

**country**  
Das Quellland der Anforderung. Wenn AWS WAF das Herkunftsland nicht bestimmt werden kann, wird dieses Feld auf gesetzt. `-` 

**Header**  
Die Liste der Header.

**uri**  
Der URI der Anforderung. Das vorangehende Codebeispiel zeigt, wie der Wert aussehen würde, wenn dieses Feld redigiert worden wäre.

**args**  
Die Abfragezeichenfolge.

**httpVersion**  
Die HTTP-Version.

**httpMethod**  
Die HTTP-Methode in der Anforderung.

**requestId**  
Die ID der Anfrage.

# Auflisten der durch ratenbasierte Regeln blockierten IP-Adressen
<a name="classic-listing-managed-ips"></a>

**Warnung**  
AWS WAF Classic durchläuft derzeit einen geplanten end-of-life Prozess. In Ihrem AWS Health Dashboard finden Sie die Meilensteine und Daten, die für Ihre Region spezifisch sind.

**Anmerkung**  
Dies ist die **AWS WAF klassische** Dokumentation. Sie sollten diese Version nur verwenden, wenn Sie AWS WAF Ressourcen wie Regeln und Websites ACLs AWS WAF vor November 2019 erstellt und diese noch nicht auf die neueste Version migriert haben. Informationen zur Migration Ihrer Website finden Sie ACLs unter[Migrieren Sie Ihre AWS WAF Classic-Ressourcen zu AWS WAF](waf-migrating-from-classic.md).  
**Die neueste Version von** finden AWS WAF Sie unter[AWS WAF](waf-chapter.md). 

AWS WAF Classic bietet eine Liste von IP-Adressen, die durch ratenbasierte Regeln blockiert werden.<a name="classic-listing-managed-ips-procedure"></a>

**So listen Sie die durch ratenbasierte Regeln blockierten IP-Adressen auf**

1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die AWS WAF Konsole unter. [https://console.aws.amazon.com/wafv2/](https://console.aws.amazon.com/wafv2/) 

   Wenn im Navigationsbereich **Zu AWS WAF Classic wechseln** angezeigt wird, wählen Sie es aus.

1. Wählen Sie im Navigationsbereich **Regeln** aus.

1. Wählen Sie in der Spalte **Name** eine ratenbasierte Regel aus.

   Die Liste zeigt die IP-Adressen an, die die Regel derzeit blockiert.

# So funktioniert AWS WAF Classic mit CloudFront Amazon-Funktionen
<a name="classic-cloudfront-features"></a>

**Warnung**  
AWS WAF Classic durchläuft derzeit einen geplanten end-of-life Prozess. In Ihrem AWS Health Dashboard finden Sie die Meilensteine und Daten, die für Ihre Region spezifisch sind.

**Anmerkung**  
Dies ist die **AWS WAF klassische** Dokumentation. Sie sollten diese Version nur verwenden, wenn Sie AWS WAF Ressourcen wie Regeln und Websites ACLs AWS WAF vor November 2019 erstellt und diese noch nicht auf die neueste Version migriert haben. Informationen zur Migration Ihrer Website finden Sie ACLs unter[Migrieren Sie Ihre AWS WAF Classic-Ressourcen zu AWS WAF](waf-migrating-from-classic.md).  
**Die neueste Version von** finden AWS WAF Sie unter[AWS WAF](waf-chapter.md). 

Wenn Sie eine Web-ACL erstellen, können Sie eine oder mehrere CloudFront Distributionen angeben, die AWS WAF Classic untersuchen soll. AWS WAF Classic beginnt, Webanfragen für diese Distributionen auf der Grundlage der Bedingungen, die Sie in der Web-ACL angeben, zuzulassen, zu blockieren oder zu zählen. CloudFront bietet einige Funktionen, die die AWS WAF Classic-Funktionalität erweitern. In diesem Kapitel werden einige Möglichkeiten beschrieben, die Sie konfigurieren könnenCloudFront , damit AWS WAF Classic CloudFront und Classic besser zusammenarbeiten.

**Topics**
+ [AWS WAF Classic mit CloudFront benutzerdefinierten Fehlerseiten verwenden](#classic-cloudfront-features-custom-error-pages)
+ [Verwenden Sie AWS WAF Classic mit CloudFront für Anwendungen, die auf Ihrem eigenen HTTP-Server ausgeführt werden](#classic-cloudfront-features-your-own-http-server)
+ [Auswahl der HTTP-Methoden, die CloudFront darauf reagieren](#classic-cloudfront-features-allowed-http-methods)

## AWS WAF Classic mit CloudFront benutzerdefinierten Fehlerseiten verwenden
<a name="classic-cloudfront-features-custom-error-pages"></a>

Wenn AWS WAF Classic eine Webanforderung auf der Grundlage der von Ihnen angegebenen Bedingungen blockiert, wird der HTTP-Statuscode 403 (Forbidden) an zurückgegeben CloudFront. Als Nächstes wird dieser Statuscode an den Betrachter CloudFront zurückgegeben. Dieses zeigt dann die folgende kurze und kaum formatierte Standardnachricht an:

`Forbidden: You don't have permission to access /myfilename.html on this server.`

Wenn Sie lieber eine benutzerdefinierte Fehlermeldung anzeigen möchten, die möglicherweise dieselbe Formatierung wie der Rest Ihrer Website verwendet, können Sie so konfigurieren CloudFront , dass ein Objekt (z. B. eine HTML-Datei), das Ihre benutzerdefinierte Fehlermeldung enthält, an den Viewer zurückgegeben wird. 

**Anmerkung**  
CloudFront kann nicht zwischen einem HTTP-Statuscode 403, der von Ihrem Ursprung zurückgegeben wird, und einem, der von AWS WAF Classic zurückgegeben wird, wenn eine Anfrage blockiert wird, unterscheiden. Das heißt, Sie können keine unterschiedlichen benutzerdefinierten Fehlerseiten basierend auf den verschiedenen Ursachen für den HTTP-Statuscode 403 zurückgeben. 

Weitere Informationen zu CloudFront benutzerdefinierten Fehlerseiten finden Sie unter [Anpassen von Fehlerantworten](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/custom-error-pages.html) im *Amazon CloudFront Developer Guide*.

## Verwenden Sie AWS WAF Classic mit CloudFront für Anwendungen, die auf Ihrem eigenen HTTP-Server ausgeführt werden
<a name="classic-cloudfront-features-your-own-http-server"></a>

Wenn Sie AWS WAF Classic mit verwenden CloudFront, können Sie Ihre Anwendungen schützen, die auf einem beliebigen HTTP-Webserver ausgeführt werden, unabhängig davon, ob es sich um einen Webserver handelt, der in Amazon Elastic Compute Cloud (Amazon EC2) läuft, oder um einen Webserver, den Sie privat verwalten. Sie können auch so konfigurieren CloudFront , dass HTTPS zwischen CloudFront und Ihrem eigenen Webserver sowie zwischen Zuschauern und erforderlich ist. CloudFront

**HTTPS zwischen CloudFront und Ihrem eigenen Webserver erforderlich**  
Um HTTPS zwischen CloudFront und Ihrem eigenen Webserver zu verlangen, können Sie die CloudFront benutzerdefinierte Origin-Funktion verwenden und die **Origin-Protokollrichtlinie** und die Einstellungen für den **Origin-Domainnamen** für bestimmte Ursprünge konfigurieren. In Ihrer CloudFront Konfiguration können Sie den DNS-Namen des Servers zusammen mit dem Port und dem Protokoll angeben, das Sie beim Abrufen von Objekten von Ihrem Ursprung verwenden CloudFront möchten. Sie sollten auch sicherstellen, dass das SSL/TLS Zertifikat auf Ihrem benutzerdefinierten Ursprungsserver mit dem von Ihnen konfigurierten Ursprungsdomänennamen übereinstimmt. Wenn Sie Ihren eigenen HTTP-Webserver außerhalb von verwenden AWS, müssen Sie ein Zertifikat verwenden, das von einer vertrauenswürdigen Zertifizierungsstelle (CA) eines Drittanbieters, z. B. Comodo oder Symantec, signiert wurde. DigiCert Weitere Informationen darüber, wie HTTPS für die Kommunikation zwischen Ihrem eigenen Webserver CloudFront und Ihrem eigenen Webserver [erforderlich ist, finden Sie im *Amazon CloudFront Developer Guide* unter HTTPS für die Kommunikation zwischen CloudFront und Ihrem benutzerdefinierten Ursprung](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/using-https-cloudfront-to-custom-origin.html) erforderlich.

**HTTPS zwischen einem Viewer und CloudFront**  
Um HTTPS zwischen Zuschauern und vorzuschreiben CloudFront, können Sie die **Viewer-Protokollrichtlinie** für ein oder mehrere Cache-Verhaltensweisen in Ihrer CloudFront Distribution ändern. Weitere Informationen zur Verwendung von HTTPS zwischen Zuschauern und CloudFront finden Sie im Thema [HTTPS für die Kommunikation zwischen Zuschauern erforderlich und CloudFront](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/using-https-viewers-to-cloudfront.html) im *Amazon CloudFront Developer Guide*. Sie können auch Ihr eigenes SSL-Zertifikat mitbringen, damit sich Zuschauer beispielsweise mit Ihrem eigenen Domainnamen über HTTPS mit Ihrer CloudFront Distribution verbinden können *https://www.mysite.com*. Weitere Informationen finden Sie im Thema [Konfiguration alternativer Domainnamen und HTTPS](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/cnames-and-https-procedures.html) im *Amazon CloudFront Developer Guide*.

## Auswahl der HTTP-Methoden, die CloudFront darauf reagieren
<a name="classic-cloudfront-features-allowed-http-methods"></a>

Wenn Sie eine CloudFront Amazon-Webdistribution erstellen, wählen Sie die HTTP-Methoden aus, die Sie verarbeiten und CloudFront an Ihren Ursprung weiterleiten möchten. Sie können aus den folgenden Optionen wählen:
+ **GET, HEAD** — Sie können diese CloudFront Option nur verwenden, um Objekte von Ihrem Ursprung oder Objekt-Header abzurufen.
+ **GET, HEAD, OPTIONS** — Sie können diese Option CloudFront nur verwenden, um Objekte von Ihrem Ursprung abzurufen, Objekt-Header abzurufen oder eine Liste der Optionen abzurufen, die Ihr Original-Server unterstützt.
+ **GET, HEAD, OPTIONS, PUT, POST, PATCH, DELETE** — Sie können CloudFront sie verwenden, um Objekte abzurufen, hinzuzufügen, zu aktualisieren und zu löschen und Objekt-Header abzurufen. Darüber hinaus können Sie andere POST-Vorgänge wie das Senden von Daten aus einem Webformular ausführen. 

Sie können auch AWS WAF klassische Bedingungen für den Abgleich von Zeichenketten verwenden, um Anfragen, die auf der HTTP-Methode basieren, zuzulassen oder zu blockieren, wie unter beschrieben[Arbeiten mit Zeichenfolgen-Übereinstimmungsbedingungen](classic-web-acl-string-conditions.md). Wenn Sie eine Kombination von Methoden verwenden möchten, die CloudFront Unterstützung bieten, z. B. `GET` und`HEAD`, müssen Sie AWS WAF Classic nicht so konfigurieren, dass Anfragen blockiert werden, die die anderen Methoden verwenden. Wenn Sie eine Kombination von Methoden zulassen möchten, die CloudFront nicht unterstützt werden, z. B., und `GET``HEAD`, können Sie so konfigurieren`POST`, dass CloudFront auf alle Methoden reagiert wird, und dann AWS WAF Classic verwenden, um Anfragen zu blockieren, die andere Methoden verwenden.

Weitere Informationen zur Auswahl der Methoden, CloudFront auf die reagiert, finden Sie unter [Zulässige HTTP-Methoden](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/distribution-web-values-specify.html#DownloadDistValuesAllowedHTTPMethods) im Thema [Werte, die Sie beim Erstellen oder Aktualisieren einer Web-Distribution angeben](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/distribution-web-values-specify.html) im *Amazon CloudFront Developer Guide*.

# Sicherheit in AWS WAF Classic
<a name="classic-security"></a>

**Warnung**  
AWS WAF Classic durchläuft derzeit einen geplanten end-of-life Prozess. In Ihrem AWS Health Dashboard finden Sie die Meilensteine und Daten, die für Ihre Region spezifisch sind.

**Anmerkung**  
Dies ist die **AWS WAF klassische** Dokumentation. Sie sollten diese Version nur verwenden, wenn Sie AWS WAF Ressourcen wie Regeln und Websites ACLs AWS WAF vor November 2019 erstellt und diese noch nicht auf die neueste Version migriert haben. Informationen zur Migration Ihrer Website finden Sie ACLs unter[Migrieren Sie Ihre AWS WAF Classic-Ressourcen zu AWS WAF](waf-migrating-from-classic.md).  
**Die neueste Version von** finden AWS WAF Sie unter[AWS WAF](waf-chapter.md). 

Cloud-Sicherheit AWS hat höchste Priorität. Als AWS Kunde profitieren Sie von einer Rechenzentrums- und Netzwerkarchitektur, die darauf ausgelegt sind, die Anforderungen der sicherheitssensibelsten Unternehmen zu erfüllen.

Sicherheit ist eine gemeinsame Verantwortung von Ihnen AWS und Ihnen. Das [Modell der geteilten Verantwortung](https://aws.amazon.com/compliance/shared-responsibility-model/) beschreibt dies als Sicherheit *der* Cloud und Sicherheit *in* der Cloud:
+ **Sicherheit der Cloud** — AWS ist verantwortlich für den Schutz der Infrastruktur, auf der AWS Dienste in der ausgeführt AWS Cloud werden. AWS bietet Ihnen auch Dienste, die Sie sicher nutzen können. Die Wirksamkeit unserer Sicherheitsfunktionen wird regelmäßig von externen Prüfern im Rahmen des [AWS -Compliance-Programms getestet und überprüft](https://aws.amazon.com/compliance/programs/). Weitere Informationen zu den Compliance-Programmen, die für AWS WAF Classic gelten, finden Sie unter [AWS Services in Scope by Compliance Program](https://aws.amazon.com/compliance/services-in-scope/).
+ **Sicherheit in der Cloud** — Ihre Verantwortung richtet sich nach dem AWS Dienst, den Sie nutzen. In Ihre Verantwortung fallen außerdem weitere Faktoren, wie z. B. die Vertraulichkeit der Daten, die Anforderungen Ihrer Organisation sowie geltende Gesetze und Vorschriften. 

Diese Dokumentation hilft Ihnen zu verstehen, wie Sie das Modell der gemeinsamen Verantwortung bei der Verwendung von AWS WAF Classic anwenden können. In den folgenden Themen erfahren Sie, wie Sie AWS WAF Classic konfigurieren, um Ihre Sicherheits- und Compliance-Ziele zu erreichen. Sie erfahren auch, wie Sie andere AWS Dienste verwenden können, die Sie bei der Überwachung und Sicherung Ihrer AWS WAF Classic-Ressourcen unterstützen. 

**Topics**
+ [Datenschutz in AWS WAF Classic](classic-data-protection.md)
+ [Identitäts- und Zugriffsmanagement für AWS WAF Classic](classic-security-iam.md)
+ [Protokollierung und Überwachung in AWS WAF Classic](classic-waf-incident-response.md)
+ [Konformitätsvalidierung für AWS WAF Classic](classic-waf-compliance.md)
+ [Resilienz in AWS WAF Classic](classic-disaster-recovery-resiliency.md)
+ [Infrastruktursicherheit in AWS WAF Classic](classic-infrastructure-security.md)

# Datenschutz in AWS WAF Classic
<a name="classic-data-protection"></a>

**Warnung**  
AWS WAF Classic durchläuft derzeit einen geplanten end-of-life Prozess. In Ihrem AWS Health Dashboard finden Sie die Meilensteine und Daten, die für Ihre Region spezifisch sind.

**Anmerkung**  
Dies ist die **AWS WAF klassische** Dokumentation. Sie sollten diese Version nur verwenden, wenn Sie AWS WAF Ressourcen wie Regeln und Websites ACLs AWS WAF vor November 2019 erstellt und diese noch nicht auf die neueste Version migriert haben. Informationen zur Migration Ihrer Website finden Sie ACLs unter[Migrieren Sie Ihre AWS WAF Classic-Ressourcen zu AWS WAF](waf-migrating-from-classic.md).  
**Die neueste Version von** finden AWS WAF Sie unter[AWS WAF](waf-chapter.md). 

Das [Modell der AWS gemeinsamen Verantwortung](https://aws.amazon.com/compliance/shared-responsibility-model/) und geteilter Verantwortung gilt für den Datenschutz in AWS WAF Classic. Wie in diesem Modell beschrieben, AWS ist verantwortlich für den Schutz der globalen Infrastruktur, auf der die gesamte Infrastruktur läuft AWS Cloud. Sie sind dafür verantwortlich, die Kontrolle über Ihre in dieser Infrastruktur gehosteten Inhalte zu behalten. Sie sind auch für die Sicherheitskonfiguration und die Verwaltungsaufgaben für die von Ihnen verwendeten AWS-Services verantwortlich. Weitere Informationen zum Datenschutz finden Sie unter [Häufig gestellte Fragen zum Datenschutz](https://aws.amazon.com/compliance/data-privacy-faq/). Informationen zum Datenschutz in Europa finden Sie im Blog-Beitrag [AWS -Modell der geteilten Verantwortung und in der DSGVO](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) im *AWS -Sicherheitsblog*.

Aus Datenschutzgründen empfehlen wir, dass Sie AWS-Konto Anmeldeinformationen schützen und einzelne Benutzer mit AWS IAM Identity Center oder AWS Identity and Access Management (IAM) einrichten. So erhält jeder Benutzer nur die Berechtigungen, die zum Durchführen seiner Aufgaben erforderlich sind. Außerdem empfehlen wir, die Daten mit folgenden Methoden schützen:
+ Verwenden Sie für jedes Konto die Multi-Faktor-Authentifizierung (MFA).
+ Wird verwendet SSL/TLS , um mit AWS Ressourcen zu kommunizieren. Wir benötigen TLS 1.2 und empfehlen TLS 1.3.
+ Richten Sie die API und die Protokollierung von Benutzeraktivitäten mit ein AWS CloudTrail. Informationen zur Verwendung von CloudTrail Pfaden zur Erfassung von AWS Aktivitäten finden Sie unter [Arbeiten mit CloudTrail Pfaden](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) im *AWS CloudTrail Benutzerhandbuch*.
+ Verwenden Sie AWS Verschlüsselungslösungen zusammen mit allen darin enthaltenen Standardsicherheitskontrollen AWS-Services.
+ Verwenden Sie erweiterte verwaltete Sicherheitsservices wie Amazon Macie, die dabei helfen, in Amazon S3 gespeicherte persönliche Daten zu erkennen und zu schützen.
+ Wenn Sie für den Zugriff AWS über eine Befehlszeilenschnittstelle oder eine API FIPS 140-3-validierte kryptografische Module benötigen, verwenden Sie einen FIPS-Endpunkt. Weitere Informationen über verfügbare FIPS-Endpunkte finden Sie unter [Federal Information Processing Standard (FIPS) 140-3](https://aws.amazon.com/compliance/fips/).

Wir empfehlen dringend, in Freitextfeldern, z. B. im Feld **Name**, keine vertraulichen oder sensiblen Informationen wie die E-Mail-Adressen Ihrer Kunden einzugeben. Dies gilt auch, wenn Sie mit AWS WAF Classic oder anderen Geräten arbeiten und dabei die Konsole, die API oder AWS-Services verwenden. AWS CLI AWS SDKs Alle Daten, die Sie in Tags oder Freitextfelder eingeben, die für Namen verwendet werden, können für Abrechnungs- oder Diagnoseprotokolle verwendet werden. Wenn Sie eine URL für einen externen Server bereitstellen, empfehlen wir dringend, keine Anmeldeinformationen zur Validierung Ihrer Anforderung an den betreffenden Server in die URL einzuschließen.

AWS WAF Klassische Entitäten wie das Internet ACLs, Regeln und Bedingungen werden im Ruhezustand verschlüsselt, außer in bestimmten Regionen, in denen Verschlüsselung nicht verfügbar ist, darunter China (Peking) und China (Ningxia). Eindeutige Verschlüsselungsschlüssel werden für jede Region verwendet. 

## AWS WAF Klassische Ressourcen löschen
<a name="classic-deleting-resources"></a>

Sie können die Ressourcen löschen, die Sie in AWS WAF Classic erstellt haben. In den folgenden Abschnitten finden Sie Anleitungen für die verschiedenen Ressourcentypen.
+ [Löschen einer Web-ACL](classic-web-acl-deleting.md)
+ [Hinzufügen und Löschen von Regeln aus einer AWS WAF klassischen Regelgruppe](classic-rule-group-editing.md)
+ [Löschen einer Regel](classic-web-acl-rules-deleting.md)

# Identitäts- und Zugriffsmanagement für AWS WAF Classic
<a name="classic-security-iam"></a>

**Warnung**  
AWS WAF Classic durchläuft derzeit einen geplanten end-of-life Prozess. In Ihrem AWS Health Dashboard finden Sie die Meilensteine und Daten, die für Ihre Region spezifisch sind.

**Anmerkung**  
Dies ist die **AWS WAF klassische** Dokumentation. Sie sollten diese Version nur verwenden, wenn Sie AWS WAF Ressourcen wie Regeln und Websites ACLs AWS WAF vor November 2019 erstellt und diese noch nicht auf die neueste Version migriert haben. Informationen zur Migration Ihrer Website finden Sie ACLs unter[Migrieren Sie Ihre AWS WAF Classic-Ressourcen zu AWS WAF](waf-migrating-from-classic.md).  
**Die neueste Version von** finden AWS WAF Sie unter[AWS WAF](waf-chapter.md). 



AWS Identity and Access Management (IAM) hilft einem Administrator AWS-Service , den Zugriff auf AWS Ressourcen sicher zu kontrollieren. IAM-Administratoren kontrollieren, wer *authentifiziert* (angemeldet) und *autorisiert* werden kann (über Berechtigungen verfügt), um Classic-Ressourcen zu verwenden AWS WAF . IAM ist ein Programm AWS-Service , das Sie ohne zusätzliche Kosten nutzen können.

**Topics**
+ [Zielgruppe](#security_iam_audience)
+ [Authentifizierung mit Identitäten](#security_iam_authentication)
+ [Verwalten des Zugriffs mit Richtlinien](#security_iam_access-manage)
+ [So funktioniert AWS WAF Classic mit IAM](classic-security_iam_service-with-iam.md)
+ [Beispiele für identitätsbasierte Richtlinien für Classic AWS WAF](classic-security_iam_id-based-policy-examples.md)
+ [Problembehebung bei AWS WAF klassischer Identität und Zugriff](classic-security_iam_troubleshoot.md)
+ [Verwenden von serviceverknüpften Rollen für Classic AWS WAF](classic-using-service-linked-roles.md)

## Zielgruppe
<a name="security_iam_audience"></a>

Die Art und Weise, wie Sie AWS Identity and Access Management (IAM) verwenden, hängt von der Arbeit ab, die Sie in AWS WAF Classic ausführen.

**Dienstbenutzer** — Wenn Sie den AWS WAF Classic-Dienst für Ihre Arbeit verwenden, stellt Ihnen Ihr Administrator die erforderlichen Anmeldeinformationen und Berechtigungen zur Verfügung. Wenn Sie für Ihre Arbeit mehr AWS WAF Classic-Funktionen verwenden, benötigen Sie möglicherweise zusätzliche Berechtigungen. Wenn Sie die Funktionsweise der Zugriffskontrolle nachvollziehen, wissen Sie bereits, welche Berechtigungen Sie von Ihrem Administrator anfordern müssen. Wenn Sie in AWS WAF Classic nicht auf eine Funktion zugreifen können, finden Sie weitere Informationen unter[Problembehebung bei AWS WAF klassischer Identität und Zugriff](classic-security_iam_troubleshoot.md).

**Dienstadministrator** — Wenn Sie in Ihrem Unternehmen für AWS WAF Classic-Ressourcen verantwortlich sind, haben Sie wahrscheinlich vollen Zugriff auf AWS WAF Classic. Es ist Ihre Aufgabe, zu bestimmen, auf welche AWS WAF Classic-Funktionen und Ressourcen Ihre Servicebenutzer zugreifen sollen. Anschließend müssen Sie Anforderungen an Ihren IAM-Administrator senden, um die Berechtigungen der Servicebenutzer zu ändern. Lesen Sie die Informationen auf dieser Seite, um die Grundkonzepte von IAM nachzuvollziehen. Weitere Informationen darüber, wie Ihr Unternehmen IAM mit AWS WAF Classic verwenden kann, finden Sie unter[So funktioniert AWS WAF Classic mit IAM](classic-security_iam_service-with-iam.md).

**IAM-Administrator** — Wenn Sie ein IAM-Administrator sind, möchten Sie vielleicht mehr darüber erfahren, wie Sie Richtlinien zur Verwaltung des Zugriffs auf Classic schreiben können. AWS WAF Beispiele für identitätsbasierte AWS WAF Classic-Richtlinien, die Sie in IAM verwenden können, finden Sie unter. [Beispiele für identitätsbasierte Richtlinien für Classic AWS WAF](classic-security_iam_id-based-policy-examples.md)

## Authentifizierung mit Identitäten
<a name="security_iam_authentication"></a>

Authentifizierung ist die Art und Weise, wie Sie sich AWS mit Ihren Identitätsdaten anmelden. Sie müssen sich als IAM-Benutzer authentifizieren oder eine IAM-Rolle annehmen. Root-Benutzer des AWS-Kontos

Sie können sich als föderierte Identität anmelden, indem Sie Anmeldeinformationen aus einer Identitätsquelle wie AWS IAM Identity Center (IAM Identity Center), Single Sign-On-Authentifizierung oder Anmeldeinformationen verwenden. Google/Facebook Weitere Informationen zum Anmelden finden Sie unter [So melden Sie sich bei Ihrem AWS-Konto an](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) im *Benutzerhandbuch für AWS-Anmeldung *.

 AWS Bietet für den programmatischen Zugriff ein SDK und eine CLI zum kryptografischen Signieren von Anfragen. Weitere Informationen finden Sie unter [AWS Signature Version 4 for API requests](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) im *IAM-Benutzerhandbuch*.

### AWS-Konto Root-Benutzer
<a name="security_iam_authentication-rootuser"></a>

 Wenn Sie einen erstellen AWS-Konto, beginnen Sie mit einer Anmeldeidentität, dem sogenannten AWS-Konto *Root-Benutzer*, der vollständigen Zugriff auf alle AWS-Services Ressourcen hat. Wir raten ausdrücklich davon ab, den Root-Benutzer für Alltagsaufgaben zu verwenden. Eine Liste der Aufgaben, für die Sie sich als Root-Benutzer anmelden müssen, finden Sie unter [Tasks that require root user credentials](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) im *IAM-Benutzerhandbuch*. 

### Verbundidentität
<a name="security_iam_authentication-federated"></a>

Als bewährte Methode sollten menschliche Benutzer für den Zugriff AWS-Services mithilfe temporärer Anmeldeinformationen einen Verbund mit einem Identitätsanbieter verwenden.

Eine *föderierte Identität* ist ein Benutzer aus Ihrem Unternehmensverzeichnis, Ihrem Directory Service Web-Identitätsanbieter oder der AWS-Services mithilfe von Anmeldeinformationen aus einer Identitätsquelle zugreift. Verbundene Identitäten übernehmen Rollen, die temporäre Anmeldeinformationen bereitstellen.

Für die zentrale Zugriffsverwaltung empfehlen wir AWS IAM Identity Center. Weitere Informationen finden Sie unter [Was ist IAM Identity Center?](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) im *AWS IAM Identity Center -Benutzerhandbuch*.

### IAM-Benutzer und -Gruppen
<a name="security_iam_authentication-iamuser"></a>

Ein *[IAM-Benutzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* ist eine Identität mit bestimmten Berechtigungen für eine einzelne Person oder Anwendung. Wir empfehlen die Verwendung temporärer Anmeldeinformationen anstelle von IAM-Benutzern mit langfristigen Anmeldeinformationen. Weitere Informationen finden Sie im *IAM-Benutzerhandbuch* unter [Erfordern, dass menschliche Benutzer den Verbund mit einem Identitätsanbieter verwenden müssen, um AWS mithilfe temporärer Anmeldeinformationen darauf zugreifen zu](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) können.

Eine [https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) spezifiziert eine Sammlung von IAM-Benutzern und erleichtert die Verwaltung von Berechtigungen für große Gruppen von Benutzern. Weitere Informationen finden Sie unter [Anwendungsfälle für IAM-Benutzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) im *IAM-Benutzerhandbuch*.

### IAM-Rollen
<a name="security_iam_authentication-iamrole"></a>

Eine *[IAM-Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* ist eine Identität mit spezifischen Berechtigungen, die temporäre Anmeldeinformationen bereitstellt. Sie können eine Rolle übernehmen, indem Sie [von einer Benutzer- zu einer IAM-Rolle (Konsole) wechseln](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) AWS CLI oder einen AWS API-Vorgang aufrufen. Weitere Informationen finden Sie unter [Methoden, um eine Rolle zu übernehmen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) im *IAM-Benutzerhandbuch*.

IAM-Rollen sind nützlich für den Verbundbenutzer-Zugriff, temporäre IAM-Benutzerberechtigungen, kontoübergreifenden Zugriff, serviceübergreifenden Zugriff und Anwendungen, die auf Amazon EC2 laufen. Weitere Informationen finden Sie unter [Kontoübergreifender Ressourcenzugriff in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) im *IAM-Benutzerhandbuch*.

## Verwalten des Zugriffs mit Richtlinien
<a name="security_iam_access-manage"></a>

Sie kontrollieren den Zugriff, AWS indem Sie Richtlinien erstellen und diese an AWS Identitäten oder Ressourcen anhängen. Eine Richtlinie definiert Berechtigungen, wenn sie mit einer Identität oder Ressource verknüpft sind. AWS bewertet diese Richtlinien, wenn ein Principal eine Anfrage stellt. Die meisten Richtlinien werden AWS als JSON-Dokumente gespeichert. Weitere Informationen zu JSON-Richtliniendokumenten finden Sie unter [Übersicht über JSON-Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) im *IAM-Benutzerhandbuch*.

Mit Hilfe von Richtlinien legen Administratoren fest, wer Zugriff auf was hat, indem sie definieren, welches **Prinzipal** welche **Aktionen** auf welchen **Ressourcen**und unter welchen **Bedingungen**durchführen darf.

Standardmäßig haben Benutzer, Gruppen und Rollen keine Berechtigungen. Ein IAM-Administrator erstellt IAM-Richtlinien und fügt sie zu Rollen hinzu, die die Benutzer dann übernehmen können. IAM-Richtlinien definieren Berechtigungen unabhängig von der Methode, die zur Ausführung der Operation verwendet wird.

### Identitätsbasierte Richtlinien
<a name="security_iam_access-manage-id-based-policies"></a>

Identitätsbasierte Richtlinien sind JSON-Berechtigungsrichtliniendokumente, die Sie einer Identität (Benutzer, Gruppe oder Rolle) anfügen können. Diese Richtlinien steuern, welche Aktionen Identitäten für welche Ressourcen und unter welchen Bedingungen ausführen können. Informationen zum Erstellen identitätsbasierter Richtlinien finden Sie unter [Definieren benutzerdefinierter IAM-Berechtigungen mit vom Kunden verwalteten Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) im *IAM-Benutzerhandbuch*.

Identitätsbasierte Richtlinien können *Inline-Richtlinien* (direkt in eine einzelne Identität eingebettet) oder *verwaltete Richtlinien* (eigenständige Richtlinien, die mit mehreren Identitäten verbunden sind) sein. Informationen dazu, wie Sie zwischen verwalteten und Inline-Richtlinien wählen, finden Sie unter [Choose between managed policies and inline policies](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) im *IAM-Benutzerhandbuch*.

### Ressourcenbasierte Richtlinien
<a name="security_iam_access-manage-resource-based-policies"></a>

Ressourcenbasierte Richtlinien sind JSON-Richtliniendokumente, die Sie an eine Ressource anfügen. Beispiele hierfür sind *Vertrauensrichtlinien für IAM-Rollen* und Amazon S3*-Bucket-Richtlinien*. In Services, die ressourcenbasierte Richtlinien unterstützen, können Service-Administratoren sie verwenden, um den Zugriff auf eine bestimmte Ressource zu steuern. Sie müssen in einer ressourcenbasierten Richtlinie [einen Prinzipal angeben](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html).

Ressourcenbasierte Richtlinien sind Richtlinien innerhalb dieses Diensts. Sie können AWS verwaltete Richtlinien von IAM nicht in einer ressourcenbasierten Richtlinie verwenden.

### Zugriffskontrolllisten () ACLs
<a name="security_iam_access-manage-acl"></a>

Zugriffskontrolllisten (ACLs) steuern, welche Principals (Kontomitglieder, Benutzer oder Rollen) über Zugriffsberechtigungen für eine Ressource verfügen. ACLs ähneln ressourcenbasierten Richtlinien, verwenden jedoch nicht das JSON-Richtliniendokumentformat.

Amazon S3 und Amazon VPC sind Beispiele für Dienste, die Unterstützung ACLs bieten. AWS WAF Weitere Informationen finden Sie unter [Übersicht über ACLs die Zugriffskontrollliste (ACL)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acl-overview.html) im *Amazon Simple Storage Service Developer Guide*.

### Weitere Richtlinientypen
<a name="security_iam_access-manage-other-policies"></a>

AWS unterstützt zusätzliche Richtlinientypen, mit denen die maximalen Berechtigungen festgelegt werden können, die durch gängigere Richtlinientypen gewährt werden:
+ **Berechtigungsgrenzen** – Eine Berechtigungsgrenze legt die maximalen Berechtigungen fest, die eine identitätsbasierte Richtlinie einer IAM-Entität erteilen kann. Weitere Informationen finden Sie unter [Berechtigungsgrenzen für IAM-Entitäten](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) im *-IAM-Benutzerhandbuch*.
+ **Richtlinien zur Dienstkontrolle (SCPs)** — Geben Sie die maximalen Berechtigungen für eine Organisation oder Organisationseinheit in an AWS Organizations. Weitere Informationen finden Sie unter [Service-Kontrollrichtlinien](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) im *AWS Organizations -Benutzerhandbuch*.
+ **Richtlinien zur Ressourcenkontrolle (RCPs)** — Legen Sie die maximal verfügbaren Berechtigungen für Ressourcen in Ihren Konten fest. Weitere Informationen finden Sie im *AWS Organizations Benutzerhandbuch* unter [Richtlinien zur Ressourcenkontrolle (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html).
+ **Sitzungsrichtlinien** – Sitzungsrichtlinien sind erweiterte Richtlinien, die als Parameter übergeben werden, wenn Sie eine temporäre Sitzung für eine Rolle oder einen Verbundbenutzer erstellen. Weitere Informationen finden Sie unter [Sitzungsrichtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) im *IAM-Benutzerhandbuch*.

### Mehrere Richtlinientypen
<a name="security_iam_access-manage-multiple-policies"></a>

Wenn für eine Anfrage mehrere Arten von Richtlinien gelten, sind die daraus resultierenden Berechtigungen schwieriger zu verstehen. Informationen darüber, wie AWS bestimmt wird, ob eine Anfrage zulässig ist, wenn mehrere Richtlinientypen betroffen sind, finden Sie unter [Bewertungslogik für Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) im *IAM-Benutzerhandbuch*.

# So funktioniert AWS WAF Classic mit IAM
<a name="classic-security_iam_service-with-iam"></a>

**Warnung**  
AWS WAF Classic durchläuft derzeit einen geplanten end-of-life Prozess. In Ihrem AWS Health Dashboard finden Sie die Meilensteine und Daten, die für Ihre Region spezifisch sind.

**Anmerkung**  
Dies ist die **AWS WAF klassische** Dokumentation. Sie sollten diese Version nur verwenden, wenn Sie AWS WAF Ressourcen wie Regeln und Websites ACLs AWS WAF vor November 2019 erstellt und diese noch nicht auf die neueste Version migriert haben. Informationen zur Migration Ihrer Website finden Sie ACLs unter[Migrieren Sie Ihre AWS WAF Classic-Ressourcen zu AWS WAF](waf-migrating-from-classic.md).  
**Die neueste Version von** finden AWS WAF Sie unter[AWS WAF](waf-chapter.md). 

Bevor Sie IAM zur Verwaltung des Zugriffs auf AWS WAF Classic verwenden, sollten Sie sich darüber informieren, welche IAM-Funktionen für Classic verfügbar sind. AWS WAF 






**IAM-Funktionen, die Sie mit Classic verwenden können AWS WAF**  

| IAM-Feature | AWS WAF Klassische Unterstützung | 
| --- | --- | 
|  [Identitätsbasierte Richtlinien](#classic-security_iam_service-with-iam-id-based-policies)  |   Ja  | 
|  [Ressourcenbasierte Richtlinien](#classic-security_iam_service-with-iam-resource-based-policies)  |   Nein   | 
|  [Richtlinienaktionen](#classic-security_iam_service-with-iam-id-based-policies-actions)  |   Ja  | 
|  [Richtlinienressourcen](#classic-security_iam_service-with-iam-id-based-policies-resources)  |   Ja  | 
|  [Richtlinienbedingungsschlüssel (servicespezifisch)](#classic-security_iam_service-with-iam-id-based-policies-conditionkeys)  |   Ja  | 
|  [ACLs](#classic-security_iam_service-with-iam-acls)  |   Nein   | 
|  [ABAC (Tags in Richtlinien)](#classic-security_iam_service-with-iam-tags)  |   Teilweise  | 
|  [Temporäre Anmeldeinformationen](#classic-security_iam_service-with-iam-roles-tempcreds)  |   Ja  | 
|  [Forward Access Sessions (FAS)](#classic-security_iam_service-with-iam-principal-permissions)  |   Ja  | 
|  [Servicerollen](#classic-security_iam_service-with-iam-roles-service)  |   Ja  | 
|  [Service-verknüpfte Rollen](#classic-security_iam_service-with-iam-roles-service-linked)  |   Ja  | 

Einen allgemeinen Überblick darüber, wie AWS WAF Classic und andere AWS Dienste mit den meisten IAM-Funktionen funktionieren, finden Sie im [IAM-Benutzerhandbuch unter AWS Dienste, die mit *IAM* funktionieren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html).

## Identitätsbasierte Richtlinien für Classic AWS WAF
<a name="classic-security_iam_service-with-iam-id-based-policies"></a>

**Unterstützt Richtlinien auf Identitätsbasis:** Ja

Identitätsbasierte Richtlinien sind JSON-Berechtigungsrichtliniendokumente, die Sie einer Identität anfügen können, wie z. B. IAM-Benutzern, -Benutzergruppen oder -Rollen. Diese Richtlinien steuern, welche Aktionen die Benutzer und Rollen für welche Ressourcen und unter welchen Bedingungen ausführen können. Informationen zum Erstellen identitätsbasierter Richtlinien finden Sie unter [Definieren benutzerdefinierter IAM-Berechtigungen mit vom Kunden verwalteten Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) im *IAM-Benutzerhandbuch*.

Mit identitätsbasierten IAM-Richtlinien können Sie angeben, welche Aktionen und Ressourcen zugelassen oder abgelehnt werden. Darüber hinaus können Sie die Bedingungen festlegen, unter denen Aktionen zugelassen oder abgelehnt werden. Informationen zu sämtlichen Elementen, die Sie in einer JSON-Richtlinie verwenden, finden Sie in der [IAM-Referenz für JSON-Richtlinienelemente](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) im *IAM-Benutzerhandbuch*.

Beispiele für identitätsbasierte Richtlinien in AWS WAF Classic finden Sie unter. [Beispiele für identitätsbasierte Richtlinien für Classic AWS WAF](classic-security_iam_id-based-policy-examples.md)

## Ressourcenbasierte Richtlinien innerhalb von Classic AWS WAF
<a name="classic-security_iam_service-with-iam-resource-based-policies"></a>

**Unterstützt ressourcenbasierte Richtlinien:** Nein 

Ressourcenbasierte Richtlinien sind JSON-Richtliniendokumente, die Sie an eine Ressource anfügen. Beispiele für ressourcenbasierte Richtlinien sind IAM-*Rollen-Vertrauensrichtlinien* und Amazon-S3-*Bucket-Richtlinien*. In Services, die ressourcenbasierte Richtlinien unterstützen, können Service-Administratoren sie verwenden, um den Zugriff auf eine bestimmte Ressource zu steuern. Für die Ressource, an welche die Richtlinie angehängt ist, legt die Richtlinie fest, welche Aktionen ein bestimmter Prinzipal unter welchen Bedingungen für diese Ressource ausführen kann. Sie müssen in einer ressourcenbasierten Richtlinie [einen Prinzipal angeben](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html). Zu den Prinzipalen können Konten, Benutzer, Rollen, Verbundbenutzer oder gehören. AWS-Services

Um kontoübergreifenden Zugriff zu ermöglichen, können Sie ein gesamtes Konto oder IAM-Entitäten in einem anderen Konto als Prinzipal in einer ressourcenbasierten Richtlinie angeben. Weitere Informationen finden Sie unter [Kontoübergreifender Ressourcenzugriff in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) im *IAM-Benutzerhandbuch*.

## Richtlinienaktionen für Classic AWS WAF
<a name="classic-security_iam_service-with-iam-id-based-policies-actions"></a>

**Unterstützt Richtlinienaktionen:** Ja

Administratoren können mithilfe von AWS JSON-Richtlinien angeben, wer auf was Zugriff hat. Das heißt, welcher **Prinzipal** **Aktionen** für welche **Ressourcen** und unter welchen **Bedingungen** ausführen kann.

Das Element `Action` einer JSON-Richtlinie beschreibt die Aktionen, mit denen Sie den Zugriff in einer Richtlinie zulassen oder verweigern können. Nehmen Sie Aktionen in eine Richtlinie auf, um Berechtigungen zur Ausführung des zugehörigen Vorgangs zu erteilen.



Eine Liste der AWS WAF klassischen Aktionen finden Sie in der *Serviceautorisierungsreferenz* unter [Aktionen definiert von AWS WAF](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awswaf.html#awswaf-actions-as-permissions) [und Aktionen, die von AWS WAF Regional](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awswafregional.html#awswafregional-actions-as-permissions) definiert sind.

Bei Richtlinienaktionen in AWS WAF Classic wird vor der Aktion das folgende Präfix verwendet:

```
waf
```

Um mehrere Aktionen in einer einzigen Anweisung anzugeben, trennen Sie sie mit Kommata:

```
"Action": [
      "waf:action1",
      "waf:action2"
         ]
```



Sie können auch Platzhalter verwenden, um mehrere Aktionen anzugeben. Um beispielsweise alle Aktionen in AWS WAF Classic anzugeben, die mit beginnen`List`, schließen Sie die folgende Aktion ein:

```
"Action": "waf:List*"
```

Beispiele für AWS WAF klassische identitätsbasierte Richtlinien finden Sie unter. [Beispiele für identitätsbasierte Richtlinien für Classic AWS WAF](classic-security_iam_id-based-policy-examples.md)

## Richtlinienressourcen für Classic AWS WAF
<a name="classic-security_iam_service-with-iam-id-based-policies-resources"></a>

**Unterstützt Richtlinienressourcen:** Ja

Administratoren können mithilfe von AWS JSON-Richtlinien angeben, wer auf was Zugriff hat. Das heißt, welcher **Prinzipal** **Aktionen** für welche **Ressourcen** und unter welchen **Bedingungen** ausführen kann.

Das JSON-Richtlinienelement `Resource` gibt die Objekte an, auf welche die Aktion angewendet wird. Als Best Practice geben Sie eine Ressource mit dem zugehörigen [Amazon-Ressourcennamen (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html) an. Verwenden Sie für Aktionen, die keine Berechtigungen auf Ressourcenebene unterstützen, einen Platzhalter (\$1), um anzugeben, dass die Anweisung für alle Ressourcen gilt.

```
"Resource": "*"
```

Eine Liste der AWS WAF klassischen Ressourcentypen und ihrer ARNs Eigenschaften finden Sie unter [Ressourcen definiert von AWS WAF](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awswaf.html#awswaf-resources-for-iam-policies) und [Ressourcen definiert durch AWS WAF Regional](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awswafregional.html#awswafregional-resources-for-iam-policies) in der *Service Authorization Reference*. Informationen zu den Aktionen, mit denen Sie den ARN jeder Ressource angeben können, finden Sie unter [Aktionen definiert von AWS WAF](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awswaf.html#awswaf-actions-as-permissions) und [Aktionen definiert von AWS WAF Regional](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awswafregional.html#awswafregional-actions-as-permissions). Um den Zugriff auf eine Teilmenge der AWS WAF Classic-Ressourcen zuzulassen oder zu verweigern, nehmen Sie den ARN der Ressource in das `resource` Element Ihrer Richtlinie auf.

In AWS WAF Classic sind die Ressourcen *Web ACLs* und *Regeln*. AWS WAF Classic unterstützt auch Bedingungen wie *Byteübereinstimmung*, *IP-Übereinstimmung* und *Größenbeschränkung*. 

Diesen Ressourcen und Bedingungen sind eindeutige Amazon-Ressourcennamen (ARNs) zugeordnet, wie in der folgenden Tabelle dargestellt. 


****  

| Name in der AWS WAF Konsole | Name im AWS WAF SDK/CLI | ARN-Format  | 
| --- | --- | --- | 
| Web-ACL | WebACL |  `arn:aws:waf::account:webacl/ID`  | 
| Regel | Rule |  `arn:aws:waf::account:rule/ID `  | 
| Zeichenfolgen-Übereinstimmungsbedingung | ByteMatchSet |  `arn:aws:waf::account:bytematchset/ID`  | 
| SQL Injections-Übereinstimmungsbedingung | SqlInjectionMatchSet | arn:aws:waf::account:sqlinjectionset/ID | 
| Größenbeschränkungsbedingung | SizeConstraintSet | arn:aws:waf::account:sizeconstraintset/ID | 
| IP-Übereinstimmungsbedingung | IPSet | arn:aws:waf::account:ipset/ID | 
| Cross-Site-Scripting-Übereinstimmungsbedingung | XssMatchSet | arn:aws:waf::account:xssmatchset/ID |  | 

Um den Zugriff auf eine Teilmenge der AWS WAF Classic-Ressourcen zuzulassen oder zu verweigern, nehmen Sie den ARN der Ressource in das `resource` Element Ihrer Richtlinie auf. Die ARNs für AWS WAF Classic haben das folgende Format:

```
arn:aws:waf::account:resource/ID
```

Ersetzen Sie die *ID* Variablen *account**resource*, und durch gültige Werte. Gültige Werte können beispielsweise folgende sein:
+ *account*: Die ID Ihres AWS-Konto. Sie müssen einen Wert angeben.
+ *resource*: Der Typ der AWS WAF klassischen Ressource. 
+ *ID*: Die ID der AWS WAF Classic-Ressource oder ein Platzhalter (`*`), um alle Ressourcen des angegebenen Typs anzugeben, die der angegebenen Ressource zugeordnet sind. AWS-Konto

Der folgende ARN gibt beispielsweise das gesamte Web ACLs für das Konto an`111122223333`:

```
arn:aws:waf::111122223333:webacl/*
```

## Bedingungsschlüssel für Richtlinien für AWS WAF Classic
<a name="classic-security_iam_service-with-iam-id-based-policies-conditionkeys"></a>

**Unterstützt servicespezifische Richtlinienbedingungsschlüssel:** Ja

Administratoren können mithilfe von AWS JSON-Richtlinien angeben, wer auf was Zugriff hat. Das heißt, welcher **Prinzipal** **Aktionen** für welche **Ressourcen** und unter welchen **Bedingungen** ausführen kann.

Das Element `Condition` gibt an, wann Anweisungen auf der Grundlage definierter Kriterien ausgeführt werden. Sie können bedingte Ausdrücke erstellen, die [Bedingungsoperatoren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html) verwenden, z. B. ist gleich oder kleiner als, damit die Bedingung in der Richtlinie mit Werten in der Anforderung übereinstimmt. Eine Übersicht aller AWS globalen Bedingungsschlüssel finden Sie unter [Kontextschlüssel für AWS globale Bedingungen](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) im *IAM-Benutzerhandbuch*.

Eine Liste der AWS WAF klassischen Bedingungsschlüssel finden Sie unter [Bedingungsschlüssel für AWS WAF](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awswaf.html#awswaf-policy-keys) und [von AWS WAF Regional definierte Ressourcen](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awswafregional.html#awswafregional-resources-for-iam-policies) in der *Service Authorization Reference.* Informationen zu den Aktionen und Ressourcen, mit denen Sie einen Bedingungsschlüssel verwenden können, finden Sie unter [Definierte Aktionen von AWS WAF](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awswaf.html#awswaf-actions-as-permissions) und [Von AWS WAF Regional definierte Aktionen](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awswafregional.html#awswafregional-actions-as-permissions).

Beispiele für AWS WAF klassische identitätsbasierte Richtlinien finden Sie unter. [Beispiele für identitätsbasierte Richtlinien für Classic AWS WAF](classic-security_iam_id-based-policy-examples.md)

## ACLs in Classic AWS WAF
<a name="classic-security_iam_service-with-iam-acls"></a>

**Unterstützt ACLs:** Nein 

Zugriffskontrolllisten (ACLs) steuern, welche Principals (Kontomitglieder, Benutzer oder Rollen) über Zugriffsberechtigungen für eine Ressource verfügen. ACLs ähneln ressourcenbasierten Richtlinien, verwenden jedoch nicht das JSON-Richtliniendokumentformat.

## ABAC mit Classic AWS WAF
<a name="classic-security_iam_service-with-iam-tags"></a>

**Unterstützt ABAC (Tags in Richtlinien):** Teilweise

Die attributbasierte Zugriffskontrolle (ABAC) ist eine Autorisierungsstrategie, bei der Berechtigungen basierend auf Attributen, auch als Tags bezeichnet, definiert werden. Sie können Tags an IAM-Entitäten und AWS -Ressourcen anhängen und dann ABAC-Richtlinien entwerfen, die Operationen zulassen, wenn das Tag des Prinzipals mit dem Tag auf der Ressource übereinstimmt.

Um den Zugriff auf der Grundlage von Tags zu steuern, geben Sie im Bedingungselement einer[ Richtlinie Tag-Informationen ](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)an, indem Sie die Schlüssel `aws:ResourceTag/key-name`, `aws:RequestTag/key-name`, oder Bedingung `aws:TagKeys` verwenden.

Wenn ein Service alle drei Bedingungsschlüssel für jeden Ressourcentyp unterstützt, lautet der Wert für den Service **Ja**. Wenn ein Service alle drei Bedingungsschlüssel für nur einige Ressourcentypen unterstützt, lautet der Wert **Teilweise**.

*Weitere Informationen zu ABAC finden Sie unter [Definieren von Berechtigungen mit ABAC-Autorisierung](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) im IAM-Benutzerhandbuch*. Um ein Tutorial mit Schritten zur Einstellung von ABAC anzuzeigen, siehe [Attributbasierte Zugriffskontrolle (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html) verwenden im *IAM-Benutzerhandbuch*.

## Verwenden temporärer Anmeldeinformationen mit Classic AWS WAF
<a name="classic-security_iam_service-with-iam-roles-tempcreds"></a>

**Unterstützt temporäre Anmeldeinformationen:** Ja

Temporäre Anmeldeinformationen ermöglichen kurzfristigen Zugriff auf AWS Ressourcen und werden automatisch erstellt, wenn Sie einen Verbund verwenden oder die Rollen wechseln. AWS empfiehlt, temporäre Anmeldeinformationen dynamisch zu generieren, anstatt langfristige Zugriffsschlüssel zu verwenden. Weitere Informationen finden Sie unter [Temporäre Anmeldeinformationen in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) und [AWS-Services , die mit IAM funktionieren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) im *IAM-Benutzerhandbuch*.

## Zugriffssitzungen für AWS WAF Classic weiterleiten
<a name="classic-security_iam_service-with-iam-principal-permissions"></a>

**Unterstützt Forward Access Sessions (FAS):** Ja

 Forward-Access-Sitzungen (FAS) verwenden die Berechtigungen des Prinzipals, der einen aufruft AWS-Service, kombiniert mit der Anforderung, Anfragen AWS-Service an nachgelagerte Dienste zu stellen. Einzelheiten zu den Richtlinien für FAS-Anforderungen finden Sie unter [Zugriffssitzungen weiterleiten](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html). 

## Servicerollen für Classic AWS WAF
<a name="classic-security_iam_service-with-iam-roles-service"></a>

**Unterstützt Servicerollen:** Ja

 Eine Servicerolle ist eine [IAM-Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html), die ein Service annimmt, um Aktionen in Ihrem Namen auszuführen. Ein IAM-Administrator kann eine Servicerolle innerhalb von IAM erstellen, ändern und löschen. Weitere Informationen finden Sie unter [Erstellen einer Rolle zum Delegieren von Berechtigungen an einen AWS-Service](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) im *IAM-Benutzerhandbuch*. 

**Warnung**  
Durch das Ändern der Berechtigungen für eine Servicerolle kann die AWS WAF Classic-Funktionalität beeinträchtigt werden. Bearbeiten Sie Servicerollen nur, wenn AWS WAF Classic eine Anleitung dazu bietet.

## Dienstbezogene Rollen für Classic AWS WAF
<a name="classic-security_iam_service-with-iam-roles-service-linked"></a>

**Unterstützt serviceverknüpfte Rollen:** Ja

 Eine serviceverknüpfte Rolle ist eine Art von Servicerolle, die mit einer verknüpft ist. AWS-Service Der Service kann die Rolle übernehmen, um eine Aktion in Ihrem Namen auszuführen. Dienstbezogene Rollen werden in Ihrem Dienst angezeigt AWS-Konto und gehören dem Dienst. Ein IAM-Administrator kann die Berechtigungen für Service-verknüpfte Rollen anzeigen, aber nicht bearbeiten. 

Einzelheiten zum Erstellen oder Verwalten von AWS WAF klassischen dienstbezogenen Rollen finden Sie unter. [Verwenden von serviceverknüpften Rollen für Classic AWS WAF](classic-using-service-linked-roles.md)

# Beispiele für identitätsbasierte Richtlinien für Classic AWS WAF
<a name="classic-security_iam_id-based-policy-examples"></a>

**Warnung**  
AWS WAF Classic durchläuft derzeit einen geplanten end-of-life Prozess. In Ihrem AWS Health Dashboard finden Sie die Meilensteine und Daten, die für Ihre Region spezifisch sind.

**Anmerkung**  
Dies ist die **AWS WAF klassische** Dokumentation. Sie sollten diese Version nur verwenden, wenn Sie AWS WAF Ressourcen wie Regeln und Websites ACLs AWS WAF vor November 2019 erstellt und diese noch nicht auf die neueste Version migriert haben. Informationen zur Migration Ihrer Website finden Sie ACLs unter[Migrieren Sie Ihre AWS WAF Classic-Ressourcen zu AWS WAF](waf-migrating-from-classic.md).  
**Die neueste Version von** finden AWS WAF Sie unter[AWS WAF](waf-chapter.md). 

Standardmäßig sind Benutzer und Rollen nicht berechtigt, AWS WAF Classic-Ressourcen zu erstellen oder zu ändern. Ein IAM-Administrator muss IAM-Richtlinien erstellen, die Benutzern die Berechtigung erteilen, Aktionen für die Ressourcen auszuführen, die sie benötigen.

Informationen dazu, wie Sie unter Verwendung dieser beispielhaften JSON-Richtliniendokumente eine identitätsbasierte IAM-Richtlinie erstellen, finden Sie unter [Erstellen von IAM-Richtlinien (Konsole)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) im *IAM-Benutzerhandbuch*.

Einzelheiten zu den von AWS WAF Classic definierten Aktionen und Ressourcentypen, einschließlich des Formats ARNs für die einzelnen Ressourcentypen, finden Sie unter [Aktionen, Ressourcen und Bedingungsschlüssel für AWS WAF](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awswaf.html) und [Aktionen, Ressourcen und Bedingungsschlüssel für AWS WAF Regional](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awswafregional.html) in der *Service Authorization Reference*.

**Topics**
+ [Best Practices für Richtlinien](#classic-security_iam_service-with-iam-policy-best-practices)
+ [Verwenden der Classic-Konsole AWS WAF](#classic-security_iam_id-based-policy-examples-console)
+ [Gewähren der Berechtigung zur Anzeige der eigenen Berechtigungen für Benutzer](#classic-security_iam_id-based-policy-examples-view-own-permissions)

## Best Practices für Richtlinien
<a name="classic-security_iam_service-with-iam-policy-best-practices"></a>

Identitätsbasierte Richtlinien legen fest, ob jemand AWS WAF Classic-Ressourcen in Ihrem Konto erstellen, darauf zugreifen oder sie löschen kann. Dies kann zusätzliche Kosten für Ihr verursachen AWS-Konto. Beachten Sie beim Erstellen oder Bearbeiten identitätsbasierter Richtlinien die folgenden Richtlinien und Empfehlungen:
+ **Erste Schritte mit AWS verwalteten Richtlinien und Umstellung auf Berechtigungen mit den geringsten Rechten** — Verwenden Sie die *AWS verwalteten Richtlinien*, die Berechtigungen für viele gängige Anwendungsfälle gewähren, um damit zu beginnen, Ihren Benutzern und Workloads Berechtigungen zu gewähren. Sie sind in Ihrem verfügbar. AWS-Konto Wir empfehlen Ihnen, die Berechtigungen weiter zu reduzieren, indem Sie vom AWS Kunden verwaltete Richtlinien definieren, die speziell auf Ihre Anwendungsfälle zugeschnitten sind. Weitere Informationen finden Sie unter [Von AWS verwaltete Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) oder [Von AWS verwaltete Richtlinien für Auftragsfunktionen](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) im *IAM-Benutzerhandbuch*.
+ **Anwendung von Berechtigungen mit den geringsten Rechten** – Wenn Sie mit IAM-Richtlinien Berechtigungen festlegen, gewähren Sie nur die Berechtigungen, die für die Durchführung einer Aufgabe erforderlich sind. Sie tun dies, indem Sie die Aktionen definieren, die für bestimmte Ressourcen unter bestimmten Bedingungen durchgeführt werden können, auch bekannt als *die geringsten Berechtigungen*. Weitere Informationen zur Verwendung von IAM zum Anwenden von Berechtigungen finden Sie unter [ Richtlinien und Berechtigungen in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) im *IAM-Benutzerhandbuch*.
+ **Verwenden von Bedingungen in IAM-Richtlinien zur weiteren Einschränkung des Zugriffs** – Sie können Ihren Richtlinien eine Bedingung hinzufügen, um den Zugriff auf Aktionen und Ressourcen zu beschränken. Sie können beispielsweise eine Richtlinienbedingung schreiben, um festzulegen, dass alle Anforderungen mithilfe von SSL gesendet werden müssen. Sie können auch Bedingungen verwenden, um Zugriff auf Serviceaktionen zu gewähren, wenn diese für einen bestimmten Zweck verwendet werden AWS-Service, z. CloudFormation B. Weitere Informationen finden Sie unter [IAM-JSON-Richtlinienelemente: Bedingung](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) im *IAM-Benutzerhandbuch*.
+ **Verwenden von IAM Access Analyzer zur Validierung Ihrer IAM-Richtlinien, um sichere und funktionale Berechtigungen zu gewährleisten** – IAM Access Analyzer validiert neue und vorhandene Richtlinien, damit die Richtlinien der IAM-Richtliniensprache (JSON) und den bewährten IAM-Methoden entsprechen. IAM Access Analyzer stellt mehr als 100 Richtlinienprüfungen und umsetzbare Empfehlungen zur Verfügung, damit Sie sichere und funktionale Richtlinien erstellen können. Weitere Informationen finden Sie unter [Richtlinienvalidierung mit IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) im *IAM-Benutzerhandbuch*.
+ **Multi-Faktor-Authentifizierung (MFA) erforderlich** — Wenn Sie ein Szenario haben, das IAM-Benutzer oder einen Root-Benutzer in Ihrem System erfordert AWS-Konto, aktivieren Sie MFA für zusätzliche Sicherheit. Um MFA beim Aufrufen von API-Vorgängen anzufordern, fügen Sie Ihren Richtlinien MFA-Bedingungen hinzu. Weitere Informationen finden Sie unter [Sicherer API-Zugriff mit MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) im *IAM-Benutzerhandbuch*.

Weitere Informationen zu bewährten Methoden in IAM finden Sie unter [Best Practices für die Sicherheit in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) im *IAM-Benutzerhandbuch*.

## Verwenden der Classic-Konsole AWS WAF
<a name="classic-security_iam_id-based-policy-examples-console"></a>

Um auf die AWS WAF Classic-Konsole zugreifen zu können, benötigen Sie ein Mindestmaß an Berechtigungen. Diese Berechtigungen müssen es Ihnen ermöglichen, Details zu den AWS WAF Classic-Ressourcen in Ihrem aufzulisten und anzuzeigen AWS-Konto. Wenn Sie eine identitätsbasierte Richtlinie erstellen, die strenger ist als die mindestens erforderlichen Berechtigungen, funktioniert die Konsole nicht wie vorgesehen für Entitäten (Benutzer oder Rollen) mit dieser Richtlinie.

Sie müssen Benutzern, die nur die API AWS CLI oder die AWS API aufrufen, keine Mindestberechtigungen für die Konsole gewähren. Stattdessen sollten Sie nur Zugriff auf die Aktionen zulassen, die der API-Operation entsprechen, die die Benutzer ausführen möchten.

Benutzer, die auf die AWS Konsole zugreifen und sie verwenden können, können auch auf die AWS WAF Classic-Konsole zugreifen. Es sind keine zusätzlichen Berechtigungen erforderlich.

## Gewähren der Berechtigung zur Anzeige der eigenen Berechtigungen für Benutzer
<a name="classic-security_iam_id-based-policy-examples-view-own-permissions"></a>

In diesem Beispiel wird gezeigt, wie Sie eine Richtlinie erstellen, die IAM-Benutzern die Berechtigung zum Anzeigen der eingebundenen Richtlinien und verwalteten Richtlinien gewährt, die ihrer Benutzeridentität angefügt sind. Diese Richtlinie umfasst Berechtigungen zum Ausführen dieser Aktion auf der Konsole oder programmgesteuert mithilfe der API AWS CLI oder AWS .

```
{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "ViewOwnUserInfo",
            "Effect": "Allow",
            "Action": [
                "iam:GetUserPolicy",
                "iam:ListGroupsForUser",
                "iam:ListAttachedUserPolicies",
                "iam:ListUserPolicies",
                "iam:GetUser"
            ],
            "Resource": ["arn:aws:iam::*:user/${aws:username}"]
        },
        {
            "Sid": "NavigateInConsole",
            "Effect": "Allow",
            "Action": [
                "iam:GetGroupPolicy",
                "iam:GetPolicyVersion",
                "iam:GetPolicy",
                "iam:ListAttachedGroupPolicies",
                "iam:ListGroupPolicies",
                "iam:ListPolicyVersions",
                "iam:ListPolicies",
                "iam:ListUsers"
            ],
            "Resource": "*"
        }
    ]
}
```







# Problembehebung bei AWS WAF klassischer Identität und Zugriff
<a name="classic-security_iam_troubleshoot"></a>

**Warnung**  
AWS WAF Classic durchläuft derzeit einen geplanten end-of-life Prozess. In Ihrem AWS Health Dashboard finden Sie die Meilensteine und Daten, die für Ihre Region spezifisch sind.

**Anmerkung**  
Dies ist die **AWS WAF klassische** Dokumentation. Sie sollten diese Version nur verwenden, wenn Sie AWS WAF Ressourcen wie Regeln und Websites ACLs AWS WAF vor November 2019 erstellt und diese noch nicht auf die neueste Version migriert haben. Informationen zur Migration Ihrer Website finden Sie ACLs unter[Migrieren Sie Ihre AWS WAF Classic-Ressourcen zu AWS WAF](waf-migrating-from-classic.md).  
**Die neueste Version von** finden AWS WAF Sie unter[AWS WAF](waf-chapter.md). 

Verwenden Sie die folgenden Informationen, um häufig auftretende Probleme zu diagnostizieren und zu beheben, die bei der Arbeit mit AWS WAF Classic und IAM auftreten können.

**Topics**
+ [Ich bin nicht berechtigt, eine Aktion in AWS WAF Classic durchzuführen](#classic-security_iam_troubleshoot-no-permissions)
+ [Ich bin nicht berechtigt, iam durchzuführen: PassRole](#classic-security_iam_troubleshoot-passrole)
+ [Ich möchte Personen außerhalb von mir den Zugriff AWS-Konto auf meine AWS WAF Classic-Ressourcen ermöglichen](#classic-security_iam_troubleshoot-cross-account-access)

## Ich bin nicht berechtigt, eine Aktion in AWS WAF Classic durchzuführen
<a name="classic-security_iam_troubleshoot-no-permissions"></a>

Wenn Sie eine Fehlermeldung erhalten, dass Sie nicht zur Durchführung einer Aktion berechtigt sind, müssen Ihre Richtlinien aktualisiert werden, damit Sie die Aktion durchführen können.

Der folgende Beispielfehler tritt auf, wenn der IAM-Benutzer `mateojackson` versucht, über die Konsole Details zu einer fiktiven `my-example-widget`-Ressource anzuzeigen, jedoch nicht über `waf:GetWidget`-Berechtigungen verfügt.

```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: waf:GetWidget on resource: my-example-widget
```

In diesem Fall muss die Richtlinie für den Benutzer `mateojackson` aktualisiert werden, damit er mit der `waf:GetWidget`-Aktion auf die `my-example-widget`-Ressource zugreifen kann.

Wenn Sie Hilfe benötigen, wenden Sie sich an Ihren AWS Administrator. Ihr Administrator hat Ihnen Ihre Anmeldeinformationen zur Verfügung gestellt.

## Ich bin nicht berechtigt, iam durchzuführen: PassRole
<a name="classic-security_iam_troubleshoot-passrole"></a>

Wenn Sie die Fehlermeldung erhalten, dass Sie nicht autorisiert sind, die `iam:PassRole` Aktion auszuführen, müssen Ihre Richtlinien aktualisiert werden, damit Sie eine Rolle an AWS WAF Classic übergeben können.

Einige AWS-Services ermöglichen es Ihnen, eine bestehende Rolle an diesen Dienst zu übergeben, anstatt eine neue Servicerolle oder eine dienstverknüpfte Rolle zu erstellen. Hierzu benötigen Sie Berechtigungen für die Übergabe der Rolle an den Dienst.

Der folgende Beispielfehler tritt auf, wenn ein IAM-Benutzer mit dem Namen `marymajor` versucht, die Konsole zu verwenden, um eine Aktion in AWS WAF Classic auszuführen. Die Aktion erfordert jedoch, dass der Service über Berechtigungen verfügt, die durch eine Servicerolle gewährt werden. Mary besitzt keine Berechtigungen für die Übergabe der Rolle an den Dienst.

```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```

In diesem Fall müssen die Richtlinien von Mary aktualisiert werden, um die Aktion `iam:PassRole` ausführen zu können.

Wenn Sie Hilfe benötigen, wenden Sie sich an Ihren AWS Administrator. Ihr Administrator hat Ihnen Ihre Anmeldeinformationen zur Verfügung gestellt.

## Ich möchte Personen außerhalb von mir den Zugriff AWS-Konto auf meine AWS WAF Classic-Ressourcen ermöglichen
<a name="classic-security_iam_troubleshoot-cross-account-access"></a>

Sie können eine Rolle erstellen, mit der Benutzer in anderen Konten oder Personen außerhalb Ihrer Organisation auf Ihre Ressourcen zugreifen können. Sie können festlegen, wem die Übernahme der Rolle anvertraut wird. Für Dienste, die ressourcenbasierte Richtlinien oder Zugriffskontrolllisten (ACLs) unterstützen, können Sie diese Richtlinien verwenden, um Personen Zugriff auf Ihre Ressourcen zu gewähren.

Weitere Informationen dazu finden Sie hier:
+ Informationen darüber, ob AWS WAF Classic diese Funktionen unterstützt, finden Sie unter. [So funktioniert AWS WAF Classic mit IAM](classic-security_iam_service-with-iam.md)
+ *Informationen dazu, wie Sie Zugriff auf Ihre Ressourcen gewähren können, AWS-Konten die Ihnen gehören, finden Sie im IAM-Benutzerhandbuch unter [Gewähren des Zugriffs für einen IAM-Benutzer in einem anderen AWS-Konto , den Sie besitzen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html).*
+ Informationen dazu, wie Sie Dritten Zugriff auf Ihre Ressourcen gewähren können AWS-Konten, finden Sie [AWS-Konten im *IAM-Benutzerhandbuch* unter Gewähren des Zugriffs für Dritte](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html).
+ Informationen dazu, wie Sie über einen Identitätsverbund Zugriff gewähren, finden Sie unter [Gewähren von Zugriff für extern authentifizierte Benutzer (Identitätsverbund)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) im *IAM-Benutzerhandbuch*.
+ Informationen zum Unterschied zwischen der Verwendung von Rollen und ressourcenbasierten Richtlinien für den kontoübergreifenden Zugriff finden Sie unter [So unterscheiden sich IAM-Rollen von ressourcenbasierten Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_compare-resource-policies.html) im *IAM-Benutzerhandbuch*.

# Verwenden von serviceverknüpften Rollen für Classic AWS WAF
<a name="classic-using-service-linked-roles"></a>

**Warnung**  
AWS WAF Classic durchläuft derzeit einen geplanten end-of-life Prozess. In Ihrem AWS Health Dashboard finden Sie die Meilensteine und Daten, die für Ihre Region spezifisch sind.

**Anmerkung**  
Dies ist die **AWS WAF klassische** Dokumentation. Sie sollten diese Version nur verwenden, wenn Sie AWS WAF Ressourcen wie Regeln und Websites ACLs AWS WAF vor November 2019 erstellt und diese noch nicht auf die neueste Version migriert haben. Informationen zur Migration Ihrer Website finden Sie ACLs unter[Migrieren Sie Ihre AWS WAF Classic-Ressourcen zu AWS WAF](waf-migrating-from-classic.md).  
**Die neueste Version von** finden AWS WAF Sie unter[AWS WAF](waf-chapter.md). 

AWS WAF Classic verwendet AWS Identity and Access Management (IAM) [serviceverknüpfte Rollen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role). Eine serviceverknüpfte Rolle ist ein einzigartiger Typ von IAM-Rolle, die direkt mit Classic verknüpft ist. AWS WAF Servicebezogene Rollen sind von AWS WAF Classic vordefiniert und beinhalten alle Berechtigungen, die der Dienst benötigt, um andere AWS Dienste in Ihrem Namen aufzurufen. 

Eine dienstverknüpfte Rolle erleichtert die Einrichtung von AWS WAF Classic, da Sie die erforderlichen Berechtigungen nicht manuell hinzufügen müssen. AWS WAF Classic definiert die Berechtigungen seiner dienstbezogenen Rollen, und sofern nicht anders definiert, kann nur AWS WAF Classic diese Rollen übernehmen. Die definierten Berechtigungen umfassen die Vertrauens- und Berechtigungsrichtlinie. Diese Berechtigungsrichtlinie kann an keine andere IAM-Entität angefügt werden.

Sie können eine serviceverknüpfte Rolle erst löschen, nachdem die zugehörigen Ressourcen gelöscht wurden. Dadurch werden Ihre AWS WAF Classic-Ressourcen geschützt, da Sie die Zugriffsberechtigung für die Ressourcen nicht versehentlich entfernen können.

Informationen zu anderen Services, die serviceverknüpften Rollen unterstützen, finden Sie unter [AWS -Services, die mit IAM funktionieren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html). Suchen Sie nach den Services, für die **Ja** in der Spalte **Serviceverknüpfte Rolle** angegeben ist. Wählen Sie über einen Link **Ja** aus, um die Dokumentation zu einer serviceverknüpften Rolle für diesen Service anzuzeigen.

## Dienstbezogene Rollenberechtigungen für Classic AWS WAF
<a name="classic-slr-permissions"></a>

AWS WAF Classic verwendet die folgenden dienstbezogenen Rollen:
+ `AWSServiceRoleForWAFLogging`
+ `AWSServiceRoleForWAFRegionalLogging`

AWS WAF Classic verwendet diese serviceverknüpften Rollen, um Protokolle in Amazon Data Firehose zu schreiben. Diese Rollen werden nur verwendet, wenn Sie die Anmeldung aktivieren. AWS WAF Weitere Informationen finden Sie unter [Protokollieren von Web-ACL-Traffic-Informationen](classic-logging.md).

Die Rollen `AWSServiceRoleForWAFLogging` und die mit dem `AWSServiceRoleForWAFRegionalLogging` Dienst verknüpften Rollen vertrauen darauf, dass die folgenden Dienste (jeweils) die Rolle übernehmen:
+ `waf.amazonaws.com`

  `waf-regional.amazonaws.com`

Die Berechtigungsrichtlinien der Rollen ermöglichen es AWS WAF Classic, die folgenden Aktionen für die angegebenen Ressourcen durchzuführen:
+ Aktion: `firehose:PutRecord` und `firehose:PutRecordBatch` auf Amazon Data Firehose Datenstream-Ressourcen mit einem Namen, der mit "aws-waf-logs-“ beginnt. Beispiel, `aws-waf-logs-us-east-2-analytics`.

Sie müssen Berechtigungen konfigurieren, damit eine juristische Stelle von IAM (z. B. Benutzer, Gruppe oder Rolle) eine serviceverknüpfte Rolle erstellen, bearbeiten oder löschen kann. Weitere Informationen finden Sie unter [serviceverknüpfte Rollenberechtigungen](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) im *IAM-Benutzerhandbuch*.

## Eine serviceverknüpfte Rolle für Classic erstellen AWS WAF
<a name="classic-create-slr"></a>

Sie müssen eine serviceverknüpfte Rolle nicht manuell erstellen. Wenn Sie die AWS WAF Classic-Protokollierung auf der AWS-Managementkonsole aktivieren oder eine `PutLoggingConfiguration` Anfrage in der AWS WAF Classic CLI oder der AWS WAF Classic API stellen, erstellt AWS WAF Classic die serviceverknüpfte Rolle für Sie. 

Sie müssen über die `iam:CreateServiceLinkedRole`-Berechtigung verfügen, um die Protokollierung zu aktivieren.

Wenn Sie diese serviceverknüpfte Rolle löschen und sie dann erneut erstellen müssen, können Sie dasselbe Verfahren anwenden, um die Rolle in Ihrem Konto neu anzulegen. Wenn Sie die AWS WAF klassische Protokollierung aktivieren, erstellt AWS WAF Classic die serviceverknüpfte Rolle erneut für Sie. 

## Eine dienstverknüpfte Rolle für Classic bearbeiten AWS WAF
<a name="classic-edit-slr"></a>

AWS WAF In Classic können Sie die Rollen `AWSServiceRoleForWAFLogging` und die `AWSServiceRoleForWAFRegionalLogging` dienstbezogenen Rollen nicht bearbeiten. Da möglicherweise verschiedene Entitäten auf die Rolle verweisen, kann der Rollenname nach der Erstellung einer serviceverknüpften Rolle nicht bearbeitet werden. Sie können jedoch die Beschreibung der Rolle mit IAM bearbeiten. Weitere Informationen finden Sie unter [Bearbeiten einer serviceverknüpften Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) im *IAM-Benutzerhandbuch*.

## Löschen einer dienstverknüpften Rolle für Classic AWS WAF
<a name="classic-delete-slr"></a>

Wenn Sie ein Feature oder einen Dienst, die bzw. der eine serviceverknüpften Rolle erfordert, nicht mehr benötigen, sollten Sie diese Rolle löschen. Auf diese Weise haben Sie keine ungenutzte juristische Stelle, die nicht aktiv überwacht oder verwaltet wird. Sie müssen jedoch die Ressourcen für Ihre serviceverknüpften Rolle zunächst bereinigen, bevor Sie sie manuell löschen können.

**Anmerkung**  
Wenn der AWS WAF Classic-Dienst die Rolle verwendet, wenn Sie versuchen, die Ressourcen zu löschen, schlägt das Löschen möglicherweise fehl. Wenn dies passiert, warten Sie einige Minuten und versuchen Sie es erneut.

**Um AWS WAF Classic-Ressourcen zu löschen, die von `AWSServiceRoleForWAFLogging` und verwendet werden `AWSServiceRoleForWAFRegionalLogging`**

1. Entfernen Sie auf der AWS WAF Classic-Konsole die Protokollierung aus jeder Web-ACL. Weitere Informationen finden Sie unter [Protokollieren von Web-ACL-Traffic-Informationen](classic-logging.md).

1. Senden Sie über die API oder CLI eine `DeleteLoggingConfiguration`-Anforderung für jede Web-ACL, für die die Protokollierung aktiviert ist. Weitere Informationen finden Sie unter [AWS WAF Classic API Reference](https://docs.aws.amazon.com/waf/latest/APIReference/Welcome.html).

**So löschen Sie die serviceverknüpfte Rolle mit IAM**

Verwenden Sie die IAM-Konsole, die IAM-CLI oder die IAM-API, um die Rollen `AWSServiceRoleForWAFLogging` und `AWSServiceRoleForWAFRegionalLogging` die dienstverknüpften Rollen zu löschen. Weitere Informationen finden Sie unter [Löschen einer serviceverknüpften Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) im *IAM-Leitfaden*.

## Unterstützte Regionen für serviceverknüpfte Classic-Rollen AWS WAF
<a name="classic-slr-regions"></a>

AWS WAF Classic unterstützt im Folgenden die Verwendung von serviceverknüpften Rollen. AWS-Regionen


****  

| Name der Region | Region-ID | Support in AWS WAF Classic | 
| --- | --- | --- | 
| USA Ost (Nord-Virginia) | us-east-1 | Ja | 
| USA Ost (Ohio) | us-east-2 | Ja | 
| USA West (Nordkalifornien) | us-west-1 | Ja | 
| USA West (Oregon) | us-west-2 | Ja | 
| Asien-Pazifik (Mumbai) | ap-south-1 | Ja | 
| Asien-Pazifik (Osaka) | ap-northeast-3 | Ja | 
| Asien-Pazifik (Seoul) | ap-northeast-2 | Ja | 
| Asien-Pazifik (Singapore) | ap-southeast-1 | Ja | 
| Asien-Pazifik (Sydney) | ap-southeast-2 | Ja | 
| Asien-Pazifik (Tokyo) | ap-northeast-1 | Ja | 
| Kanada (Zentral) | ca-central-1 | Ja | 
| Europa (Frankfurt) | eu-central-1 | Ja | 
| Europa (Ireland) | eu-west-1 | Ja | 
| Europa (London) | eu-west-2 | Ja | 
| Europa (Paris) | eu-west-3 | Ja | 
| Südamerika (São Paulo) | sa-east-1 | Ja | 

# Protokollierung und Überwachung in AWS WAF Classic
<a name="classic-waf-incident-response"></a>

**Warnung**  
AWS WAF Classic durchläuft derzeit einen geplanten end-of-life Prozess. In Ihrem AWS Health Dashboard finden Sie die Meilensteine und Daten, die für Ihre Region spezifisch sind.

**Anmerkung**  
Dies ist die **AWS WAF klassische** Dokumentation. Sie sollten diese Version nur verwenden, wenn Sie AWS WAF Ressourcen wie Regeln und Websites ACLs AWS WAF vor November 2019 erstellt und diese noch nicht auf die neueste Version migriert haben. Informationen zur Migration Ihrer Website finden Sie ACLs unter[Migrieren Sie Ihre AWS WAF Classic-Ressourcen zu AWS WAF](waf-migrating-from-classic.md).  
**Die neueste Version von** finden AWS WAF Sie unter[AWS WAF](waf-chapter.md). 

Die Überwachung ist ein wichtiger Bestandteil der Aufrechterhaltung der Zuverlässigkeit, Verfügbarkeit und Leistung von AWS WAF Classic und Ihren AWS Lösungen. Sie sollten Überwachungsdaten aus allen Teilen Ihrer AWS Lösung sammeln, damit Sie einen etwaigen Ausfall an mehreren Stellen leichter debuggen können. AWS bietet mehrere Tools zur Überwachung Ihrer AWS WAF Classic-Ressourcen und zur Reaktion auf potenzielle Ereignisse:

** CloudWatch Amazon-Alarme**  
Mithilfe von CloudWatch Alarmen beobachten Sie eine einzelne Metrik über einen von Ihnen festgelegten Zeitraum. Wenn die Metrik einen bestimmten Schwellenwert überschreitet, CloudWatch sendet eine Benachrichtigung an ein Amazon SNS SNS-Thema oder eine AWS Auto Scaling Richtlinie. Weitere Informationen finden Sie unter [Überwachung mit Amazon CloudWatch](monitoring-cloudwatch.md).

**AWS CloudTrail Logs**  
CloudTrail bietet eine Aufzeichnung der Aktionen, die von einem Benutzer, einer Rolle oder einem AWS Dienst in AWS WAF Classic ausgeführt wurden. Anhand der von gesammelten Informationen können Sie die Anfrage CloudTrail, die an AWS WAF Classic gestellt wurde, die IP-Adresse, von der aus die Anfrage gestellt wurde, wer die Anfrage gestellt hat, wann sie gestellt wurde, und weitere Details ermitteln. Weitere Informationen finden Sie unter [Protokollierung von AWS CloudTrail-API-Aufrufen mit](logging-using-cloudtrail.md).

# Konformitätsvalidierung für AWS WAF Classic
<a name="classic-waf-compliance"></a>

**Warnung**  
AWS WAF Classic durchläuft derzeit einen geplanten end-of-life Prozess. In Ihrem AWS Health Dashboard finden Sie die Meilensteine und Daten, die für Ihre Region spezifisch sind.

**Anmerkung**  
Dies ist die **AWS WAF klassische** Dokumentation. Sie sollten diese Version nur verwenden, wenn Sie AWS WAF Ressourcen wie Regeln und Websites ACLs AWS WAF vor November 2019 erstellt und diese noch nicht auf die neueste Version migriert haben. Informationen zur Migration Ihrer Website finden Sie ACLs unter[Migrieren Sie Ihre AWS WAF Classic-Ressourcen zu AWS WAF](waf-migrating-from-classic.md).  
**Die neueste Version von** finden AWS WAF Sie unter[AWS WAF](waf-chapter.md). 

Informationen darüber, ob AWS-Service ein [AWS-Services in den Geltungsbereich bestimmter Compliance-Programme fällt, finden Sie unter Umfang nach Compliance-Programm AWS-Services unter](https://aws.amazon.com/compliance/services-in-scope/) . Wählen Sie dort das Compliance-Programm aus, an dem Sie interessiert sind. Allgemeine Informationen finden Sie unter [AWS Compliance-Programme AWS](https://aws.amazon.com/compliance/programs/) .

Sie können Prüfberichte von Drittanbietern unter herunterladen AWS Artifact. Weitere Informationen finden Sie unter [Berichte herunterladen unter ](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html).

Ihre Verantwortung für die Einhaltung der Vorschriften bei der Nutzung AWS-Services hängt von der Vertraulichkeit Ihrer Daten, den Compliance-Zielen Ihres Unternehmens und den geltenden Gesetzen und Vorschriften ab. Weitere Informationen zu Ihrer Verantwortung für die Einhaltung der Vorschriften bei der Nutzung AWS-Services finden Sie in der [AWS Sicherheitsdokumentation](https://docs.aws.amazon.com/security/).

# Resilienz in AWS WAF Classic
<a name="classic-disaster-recovery-resiliency"></a>

**Warnung**  
AWS WAF Classic durchläuft derzeit einen geplanten end-of-life Prozess. In Ihrem AWS Health Dashboard finden Sie die Meilensteine und Daten, die für Ihre Region spezifisch sind.

**Anmerkung**  
Dies ist die **AWS WAF klassische** Dokumentation. Sie sollten diese Version nur verwenden, wenn Sie AWS WAF Ressourcen wie Regeln und Websites ACLs AWS WAF vor November 2019 erstellt und diese noch nicht auf die neueste Version migriert haben. Informationen zur Migration Ihrer Website finden Sie ACLs unter[Migrieren Sie Ihre AWS WAF Classic-Ressourcen zu AWS WAF](waf-migrating-from-classic.md).  
**Die neueste Version von** finden AWS WAF Sie unter[AWS WAF](waf-chapter.md). 

Die AWS globale Infrastruktur basiert auf AWS-Regionen Availability Zones. AWS-Regionen bieten mehrere physisch getrennte und isolierte Availability Zones, die über Netzwerke mit niedriger Latenz, hohem Durchsatz und hoher Redundanz miteinander verbunden sind. Mithilfe von Availability Zones können Sie Anwendungen und Datenbanken erstellen und ausführen, die automatisch Failover zwischen Availability Zones ausführen, ohne dass es zu Unterbrechungen kommt. Availability Zones sind besser hoch verfügbar, fehlertoleranter und skalierbarer als herkömmliche Infrastrukturen mit einem oder mehreren Rechenzentren. 

Weitere Informationen zu Availability Zones AWS-Regionen und Availability Zones finden Sie unter [AWS Globale](https://aws.amazon.com/about-aws/global-infrastructure/) Infrastruktur.

# Infrastruktursicherheit in AWS WAF Classic
<a name="classic-infrastructure-security"></a>

**Warnung**  
AWS WAF Classic durchläuft derzeit einen geplanten end-of-life Prozess. In Ihrem AWS Health Dashboard finden Sie die Meilensteine und Daten, die für Ihre Region spezifisch sind.

**Anmerkung**  
Dies ist die **AWS WAF klassische** Dokumentation. Sie sollten diese Version nur verwenden, wenn Sie AWS WAF Ressourcen wie Regeln und Websites ACLs AWS WAF vor November 2019 erstellt und diese noch nicht auf die neueste Version migriert haben. Informationen zur Migration Ihrer Website finden Sie ACLs unter[Migrieren Sie Ihre AWS WAF Classic-Ressourcen zu AWS WAF](waf-migrating-from-classic.md).  
**Die neueste Version von** finden AWS WAF Sie unter[AWS WAF](waf-chapter.md). 

Als verwalteter Dienst ist AWS WAF Classic durch AWS globale Netzwerksicherheit geschützt. Informationen zu AWS Sicherheitsdiensten und zum AWS Schutz der Infrastruktur finden Sie unter [AWS Cloud-Sicherheit](https://aws.amazon.com/security/). Informationen zum Entwerfen Ihrer AWS Umgebung unter Verwendung der bewährten Methoden für die Infrastruktursicherheit finden Sie unter [Infrastructure Protection](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html) in *Security Pillar AWS Well‐Architected Framework*.

Sie verwenden AWS veröffentlichte API-Aufrufe, um über das Netzwerk auf AWS WAF Classic zuzugreifen. Kunden müssen Folgendes unterstützen:
+ Transport Layer Security (TLS). Wir benötigen TLS 1.2 und empfehlen TLS 1.3.
+ Verschlüsselungs-Suiten mit Perfect Forward Secrecy (PFS) wie DHE (Ephemeral Diffie-Hellman) oder ECDHE (Elliptic Curve Ephemeral Diffie-Hellman). Die meisten modernen Systeme wie Java 7 und höher unterstützen diese Modi.

# AWS WAF Klassische Kontingente
<a name="classic-limits"></a>

**Warnung**  
AWS WAF Classic durchläuft derzeit einen geplanten end-of-life Prozess. In Ihrem AWS Health Dashboard finden Sie die Meilensteine und Daten, die für Ihre Region spezifisch sind.

**Anmerkung**  
Dies ist die **AWS WAF klassische** Dokumentation. Sie sollten diese Version nur verwenden, wenn Sie AWS WAF Ressourcen wie Regeln und Websites ACLs AWS WAF vor November 2019 erstellt und diese noch nicht auf die neueste Version migriert haben. Informationen zur Migration Ihrer Website finden Sie ACLs unter[Migrieren Sie Ihre AWS WAF Classic-Ressourcen zu AWS WAF](waf-migrating-from-classic.md).  
**Die neueste Version von** finden AWS WAF Sie unter[AWS WAF](waf-chapter.md). 

AWS WAF Classic unterliegt den folgenden Kontingenten (früher als Limits bezeichnet). 

AWS WAF Classic hat Standardkontingente für die Anzahl der Entitäten pro Konto und Region. Sie können [eine Erhöhung dieser Kontingente anfordern](https://console.aws.amazon.com/support/home#/case/create?issueType=service-limit-increase&limitType=service-code-waf).


| Ressource | Standardkontingent pro Konto und Region | 
| --- | --- | 
| Web ACLs  | 50 | 
| Regeln  | 100 | 
| Rate-based-rules  | 5 | 
| Bedingungen pro -Konto und Region | Für alle Bedingungen außer Regex-Match und Geo-Match, 100 von jedem Bedingungstyp. Zum Beispiel 100 Größenbeschränkungsbedingungen und 100 IP-Übereinstimmungsbedingungen. Informationen zu Regex- und Geo-Match-Bedingungen finden Sie in der folgenden Tabelle.  | 
| Anforderungen pro Sekunde | 25 000 pro Web-ACL\$1 | 

\$1Dieses Kontingent gilt nur für AWS WAF Classic auf einem Application Load Balancer. [Die RPS-Kontingente (Requests per Second) für AWS WAF Classic on CloudFront entsprechen den unterstützten RPS-Kontingenten CloudFront , die im Entwicklerhandbuch beschrieben sind. CloudFront ](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/cloudfront-limits.html)

Die folgenden Kontingente für AWS WAF Classic-Entitäten können nicht geändert werden.


| Ressource | Kontingente pro Konto und Region | 
| --- | --- | 
| Regelgruppen je Web-ACL | 2:1 vom Kunden erstellte Regelgruppe und 1 AWS Marketplace Regelgruppe | 
| Regeln pro Web-ACL | 10 | 
| Bedingungen pro Regel | 10 | 
| IP-Adressbereiche (in CIDR-Notation) pro Bedingung für IP-Übereinstimmung | 10.000Sie können bis zu 1.000 Adressen gleichzeitig aktualisieren. Der API-Aufruf `UpdateIPSet` akzeptiert maximal 1.000 Adressen in einer einzigen Anfrage. | 
| Nach der ratenbasierten Regel blockierte IP-Adressen | 10.000 | 
| Mindestgrenzwert der ratenbasierten Regel pro 5 Minuten | 100 | 
| Filter pro Cross-Site-Scripting-Übereinstimmungsbedingung | 10 | 
| Filter pro Größenbeschränkungsbedingung | 10 | 
| Filter pro SQL Injection-Übereinstimmungsbedingung | 10 | 
| Filter pro Bedingung für Zeichenfolgenübereinstimmung | 10 | 
| Bei Zeichenfolgenabgleichsbedingungen die Anzahl der Zeichen in HTTP-Header-Namen, wenn Sie AWS WAF Classic so konfiguriert haben, dass die Header in Webanfragen auf einen bestimmten Wert überprüft werden | 40 | 
| Bei Vergleichsbedingungen für Zeichenketten die Anzahl der Zeichen in dem Wert, nach denen AWS WAF Classic suchen soll | 50 | 
| Regex-Abgleichbedingungen  | 10  | 
| Bei Regex-Abgleichbedingungen die Anzahl der Zeichen im Muster, nach denen Classic suchen soll AWS WAF  | 70 | 
| In Regex-Übereinstimmungsbedingungen ist die Anzahl der Muster pro Mustersatz festgelegt | 10 | 
| In Regex-Übereinstimmungsbedingungen, die Anzahl der Mustersätze pro Regex-Bedingung | 1 | 
| Mustersätze  | 5 | 
| Geo-Match-Bedingungen  | 50  | 
| Standorte je nach Geo-Match-Bedingung | 50 | 

AWS WAF Classic hat die folgenden festen Kontingente für Anrufe pro Konto und Region. Diese Kontingente gelten für die Gesamtzahl der Aufrufe des Dienstes über alle verfügbaren Mittel, einschließlich der Konsole, der CLI AWS CloudFormation, der REST-API und der SDKs. Diese Kontingente können nicht geändert werden.


| Art des Anrufs | Kontingente pro Konto und Region | 
| --- | --- | 
| Maximale Anzahl von Aufrufen an AssociateWebACL |  1 Anfrage alle 2 Sekunden   | 
| Maximale Anzahl von Aufrufen an DisassociateWebACL |  1 Anfrage alle 2 Sekunden   | 
| Maximale Anzahl von Aufrufen an GetWebACLForResource  |  1 Anfrage pro Sekunde  | 
| Maximale Anzahl von Aufrufen an ListResourcesForWebACL |  1 Anfrage pro Sekunde  | 
| Maximale Anzahl von Aufrufen an CreateWebACLMigrationStack |  1 Anfrage pro Sekunde  | 
| Maximale Anzahl von Aufrufen an GetChangeToken |  10 Anforderungen pro Sekunde  | 
| Maximale Anzahl von Aufrufen an GetChangeTokenStatus |  1 Anfrage pro Sekunde  | 
| Maximale Anzahl von Aufrufen einer einzelnen List-Aktion, wenn kein anderes Kontingent dafür definiert ist  |  5 Anforderungen pro Sekunde  | 
| Maximale Anzahl von Aufrufen einer einzelnen Create-, Put-, Get- oder Update-Aktion, wenn kein anderes Kontingent dafür definiert ist  |  1 Anfrage pro Sekunde  |