Beispiel für Bot-Kontrolle: Einen bestimmten blockierten Bot zulassen - AWS WAF, AWS Firewall ManagerAWS Shield Advanced, und Direktor für AWS Shield Netzwerksicherheit

Wir stellen vor: ein neues Konsolenerlebnis für AWS WAF

Sie können das aktualisierte Erlebnis jetzt verwenden, um überall in der Konsole auf AWS WAF Funktionen zuzugreifen. Weitere Details finden Sie unter Arbeiten mit der aktualisierten Konsolenerfahrung.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Beispiel für Bot-Kontrolle: Einen bestimmten blockierten Bot zulassen

Es ist möglich, dass ein Bot durch mehr als eine der Bot-Control-Regeln blockiert wird. Führen Sie für jede Blockierungsregel die folgenden Schritte aus.

Wenn eine AWS WAF Bot-Kontrollregel einen Bot blockiert, den Sie nicht blockieren möchten, gehen Sie wie folgt vor:

  1. Identifizieren Sie die Bot-Control-Regel, die den Bot blockiert, in den Protokollen. Die Blockierungsregel wird in den Protokollen in den Feldern angegeben, deren Namen mit terminatingRule beginnen. Hinweise zu den Protokollen des Protection Packs (Web-ACL) finden Sie unterProtokollierung AWS WAF des Datenverkehrs mit dem Protection Pack (Web-ACL). Merken Sie sich die Bezeichnung, die die Regel den Anforderungen hinzufügt.

  2. Setzen Sie in Ihrem Schutzpaket (Web-ACL) die Aktion der Blockierungsregel außer Kraft, um sie zu zählen. Bearbeiten Sie dazu in der Konsole die Regelgruppenregel im Schutzpaket (Web-ACL) und wählen Sie Count für die Regel eine Regelaktion außer Kraft setzen. Dadurch wird sichergestellt, dass der Bot nicht durch die Regel blockiert wird, aber die Regel wendet ihre Bezeichnung trotzdem auf übereinstimmende Anfragen an.

  3. Fügen Sie Ihrem Schutzpaket (Web-ACL) nach der verwalteten Regelgruppe von Bot Control eine Regel für den Label-Abgleich hinzu. Konfigurieren Sie die Regel so, dass sie mit der Bezeichnung der überschriebenen Regel übereinstimmt und alle passenden Anfragen blockiert werden, mit Ausnahme des Bots, den Sie nicht blockieren möchten.

    Ihr Schutzpaket (Web-ACL) ist jetzt so konfiguriert, dass der Bot, den Sie zulassen möchten, nicht mehr durch die Blockierungsregel blockiert wird, die Sie in den Protokollen identifiziert haben.

Überprüfen Sie den Datenverkehr und die Protokolle erneut, um sicherzugehen, dass der Bot durchgelassen wird. Sollte das nicht der Fall sein, führen Sie die oben genannten Schritte erneut durch.

Angenommen, Sie möchten alle Überwachungs-Bots mit Ausnahme von pingdom blockieren. In diesem Fall überschreiben Sie die CategoryMonitoring Regel, um zu zählen, und schreiben dann eine Regel, um alle Überwachungs-Bots mit Ausnahme der Bots mit dem Bot-Namenslabel zu blockierenpingdom.

Die folgende Regel verwendet die von Bot Control verwaltete Regelgruppe, setzt jedoch die Regelaktion für CategoryMonitoring das Zählen außer Kraft. Die Kategorieüberwachungsregel wendet ihre Bezeichnungen wie üblich auf übereinstimmende Anforderungen an, zählt sie aber nur, anstatt die übliche Blockierungsaktion auszuführen. 

{
  "Name": "AWS-AWSBotControl-Example",
  "Priority": 5,
  "Statement": {
    "ManagedRuleGroupStatement": {
      "VendorName": "AWS",
      "Name": "AWSManagedRulesBotControlRuleSet",
      "ManagedRuleGroupConfigs": [
        {
          "AWSManagedRulesBotControlRuleSet": {
            "InspectionLevel": "COMMON"
          }
        }
      ],
	  "RuleActionOverrides": [
        {
          "ActionToUse": {
            "Count": {}
          },
          "Name": "CategoryMonitoring"
        }
      ],
      "ExcludedRules": []
    }
  },
  "VisibilityConfig": {
    "SampledRequestsEnabled": true,
    "CloudWatchMetricsEnabled": true,
    "MetricName": "AWS-AWSBotControl-Example"
  }
}

Die folgende Regel führt einen Abgleich mit der Bezeichung für die Kategorieüberwachung durch, die die vorangehende Regel CategoryMonitoring zu passenden Webanforderungen hinzufügt. Unter den Anforderungen der Kategorieüberwachung blockiert diese Regel alle bis auf diejenigen, die eine Bezeichnung für den Botnamen pingdom haben.

Die folgende Regel muss nach der vorherigen verwalteten Regelgruppe von Bot Control in der Verarbeitungsreihenfolge des Schutzpakets (Web-ACL) ausgeführt werden. 

{
      "Name": "match_rule",
      "Priority": 10,
      "Statement": {
        "AndStatement": {
          "Statements": [
            {
              "LabelMatchStatement": {
                "Scope": "LABEL",
                "Key": "awswaf:managed:aws:bot-control:bot:category:monitoring"
              }
            },
            {
              "NotStatement": {
                "Statement": {
                  "LabelMatchStatement": {
                    "Scope": "LABEL",
                    "Key": "awswaf:managed:aws:bot-control:bot:name:pingdom"
                  }
                }
              }
            }
          ]
        }
      },
      "Action": {
        "Block": {}
      },
      "VisibilityConfig": {
        "SampledRequestsEnabled": true,
        "CloudWatchMetricsEnabled": true,
        "MetricName": "match_rule"
      }
}