**Wir stellen vor: ein neues Konsolenerlebnis für AWS WAF**
Sie können das aktualisierte Erlebnis jetzt verwenden, um überall in der Konsole auf AWS WAF Funktionen zuzugreifen. Weitere Informationen finden Sie unter [Arbeiten mit der Konsole](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html).
Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Verwenden von Vergleichsregelanweisungen in AWS WAF
In diesem Abschnitt wird erklärt, was eine Match-Anweisung ist und wie sie funktioniert.
Match-Anweisungen vergleichen die Webanfrage oder ihren Ursprung mit den von Ihnen angegebenen Kriterien. Bei vielen Anweisungen dieses Typs wird eine bestimmte Komponente der Anfrage auf übereinstimmende Inhalte AWS WAF verglichen.
Übereinstimmungsanweisungen sind schachtelbar. Sie können jede dieser Anweisungen in logischen Regelanweisungen verschachteln und sie in Scope-Down-Anweisungen verwenden. Hinweise zu logischen Regelanweisungen finden Sie unter. [Verwendung logischer Regelanweisungen in AWS WAF](waf-rule-statements-logical.md) Informationen zu Eingrenzungsanweisungen finden Sie unter [Verwendung von Scope-Down-Aussagen in AWS WAF](waf-rule-scope-down-statements.md).
Diese Tabelle beschreibt die regulären Match-Anweisungen, die Sie zu einer Regel hinzufügen können, und enthält einige Richtlinien für die Berechnung der jeweiligen Kapazitätseinheiten (WCU) von Protection Packs (Web ACL). Weitere Informationen dazu finden Sie WCUs unter[Web-ACL-Kapazitätseinheiten (WCUs) in AWS WAF](aws-waf-capacity-units.md).
| Übereinstimmungsanweisung | Description | WCUs |
| --- | --- | --- |
| [Geographische Übereinstimmung](waf-rule-statement-type-geo-match.md) | Überprüft das Ursprungsland der Anfrage und bringt Kennzeichnungen für das Herkunftsland und die Herkunftsregion an. | 1 |
| [ASN-Übereinstimmung](waf-rule-statement-type-asn-match.md) | Prüft die Anfrage anhand einer ASN, die IP-Adressen und Adressbereichen zugeordnet ist. | 1 |
| [IP-Set-Übereinstimmung](waf-rule-statement-type-ipset-match.md) | Gleicht die Anforderung mit einer Reihe von IP-Adressen und -Adressbereichen ab. | 1 für die meisten Fälle. Wenn Sie die Anweisung so konfigurieren, dass sie einen Header mit weitergeleiteten IP-Adressen verwendet und eine Position im Header von angebenAny, erhöhen Sie den Wert um WCUs 4. |
| [Regelanweisung für Bezeichnungsübereinstimmung](waf-rule-statement-type-label-match.md) | Prüft die Anforderung auf Labels, die durch andere Regeln im selben Schutzpaket (Web-ACL) hinzugefügt wurden. | 1 |
| [Regex-Übereinstimmungsregel-Anweisung](waf-rule-statement-type-regex-match.md) | Vergleicht ein Regex-Muster mit einer bestimmten Anforderungskomponente. | 3, als Basiskosten. Wenn Sie die Anforderungskomponente **Alle Abfrageparameter** verwenden, fügen Sie 10 WCUs hinzu. Wenn Sie den **JSON-Hauptteil** der Anforderungskomponente verwenden, verdoppeln Sie die Grundkosten WCUs. Fügen Sie für jede **Texttransformation**, die Sie anwenden, 10 hinzu WCUs. |
| [Regex-Mustersatz](waf-rule-statement-type-regex-pattern-set-match.md) | Vergleicht RegEx-Muster mit einer bestimmten Anforderungskomponente. | 25 pro Mustersatz, als Basiskosten. Wenn Sie die Anforderungskomponente **Alle Abfrageparameter** verwenden, fügen Sie 10 hinzu WCUs. Wenn Sie den **JSON-Hauptteil** der Anforderungskomponente verwenden, verdoppeln Sie die Grundkosten WCUs. Fügen Sie für jede **Texttransformation**, die Sie anwenden, 10 hinzu WCUs. |
| [Größenbeschränkung](waf-rule-statement-type-size-constraint-match.md) | Prüft Größenbeschränkungen gegen eine bestimmte Anforderungskomponente. | 1, als Basiskosten. Wenn Sie die Anforderungskomponente **Alle Abfrageparameter** verwenden, fügen Sie 10 hinzu WCUs. Wenn Sie den **JSON-Hauptteil** der Anforderungskomponente verwenden, verdoppeln Sie die Grundkosten WCUs. Fügen Sie für jede **Texttransformation**, die Sie anwenden, 10 hinzu WCUs. |
| [SQLiAngriff](waf-rule-statement-type-sqli-match.md) | Sucht nach schädlichem SQL-Code in einer bestimmten Anforderungskomponente. | 20, als Basiskosten. Wenn Sie die Anforderungskomponente **Alle Abfrageparameter** verwenden, fügen Sie 10 hinzu WCUs. Wenn Sie den **JSON-Hauptteil** der Anforderungskomponente verwenden, verdoppeln Sie die Grundkosten WCUs. Fügen Sie für jede **Texttransformation**, die Sie anwenden, 10 hinzu WCUs. |
| [Zeichenfolgen-Übereinstimmung](waf-rule-statement-type-string-match.md) | Vergleicht eine Zeichenfolge mit einer angegebenen Anforderungskomponente. | Die Basiskosten hängen vom Typ der Zeichenfolgen-Übereinstimmung ab und liegen zwischen 1 und 10. Wenn Sie die Anforderungskomponente **Alle Abfrageparameter** verwenden, fügen Sie 10 hinzu WCUs. Wenn Sie den **JSON-Hauptteil** der Anforderungskomponente verwenden, verdoppeln Sie die Grundkosten WCUs. Fügen Sie für jede **Texttransformation**, die Sie anwenden, 10 hinzu WCUs. |
| [XSS-Scripting-Angriff](waf-rule-statement-type-xss-match.md) | Überprüft auf Cross-Site-Scripting-Angriffe in einer bestimmten Anforderungskomponente. | 40, als Basiskosten. Wenn Sie die Anforderungskomponente **Alle Abfrageparameter** verwenden, fügen Sie 10 hinzu WCUs. Wenn Sie den **JSON-Hauptteil** der Anforderungskomponente verwenden, verdoppeln Sie die Grundkosten WCUs. Fügen Sie für jede **Texttransformation**, die Sie anwenden, 10 hinzu WCUs. |
# Anweisung für Regel zur geographischen Übereinstimmung
In diesem Abschnitt wird erklärt, was eine geografische Übereinstimmungsaussage ist und wie sie funktioniert.
Verwenden Sie geografische Angaben oder Geo-Match-Angaben, um Webanfragen nach Herkunftsland und -region zu verwalten. Eine Geo-Match-Anweisung fügt Webanfragen Labels hinzu, die das Herkunftsland und die Herkunftsregion angeben. Diese Bezeichnungen werden unabhängig davon hinzugefügt, ob die Kriterien für die Aussage mit der Anfrage übereinstimmen. Eine Geo-Match-Anweisung führt auch einen Abgleich mit dem Herkunftsland der Anfrage durch.
## Wie benutzt man die Geo-Match-Erklärung
Sie können die Geo-Match-Anweisung wie folgt für den Länder- oder Regionalabgleich verwenden:
+ **Land** — Sie können eine Geo-Match-Regel als eigenständige Geo-Match-Regel verwenden, um Anfragen zu verwalten, die ausschließlich auf ihrem Herkunftsland basieren. Die Regelaussage stimmt mit den Ländercodes überein. Sie können auch einer Geo-Match-Regel mit einer Label-Match-Regel folgen, die mit dem Herkunftsland-Label übereinstimmt.
**Anmerkung**
Um Traffic aus Hongkong zu filtern, verwenden Sie den ISO-3166-1-Alpha-2-Ländercode `HK` in Ihrem Geo-Match-Statement.
+ **Region** — Verwenden Sie eine Geo-Match-Regel, gefolgt von einer Label-Match-Regel, um Anfragen auf der Grundlage ihrer Herkunftsregion zu verwalten. Sie können eine Geo-Match-Regel nicht allein für den Abgleich mit Regionalcodes verwenden.
Informationen zur Verwendung von Label-Abgleichsregeln finden Sie unter [Regelanweisung für Bezeichnungsübereinstimmung](waf-rule-statement-type-label-match.md) und[Etikettierung von Webanfragen in AWS WAF](waf-labels.md).
## So funktioniert die Geo-Match-Anweisung
AWS WAF Verwaltet mit der Geo-Match-Anweisung jede Webanfrage wie folgt:
1. **Ermittelt die Landes- und Regionalcodes der Anfrage** — AWS WAF bestimmt das Land und die Region einer Anfrage anhand ihrer IP-Adresse. AWS WAF Verwendet standardmäßig die IP-Adresse des Ursprungs der Webanfrage. Sie können anweisen AWS WAF , eine IP-Adresse aus einem alternativen Anforderungsheader zu verwenden`X-Forwarded-For`, indem Sie beispielsweise die Konfiguration für weitergeleitete IP-Adressen in den Einstellungen für die Regelanweisung aktivieren.
AWS WAF bestimmt den Speicherort von Anfragen mithilfe von MaxMind GeoIP-Datenbanken. MaxMind meldet eine sehr hohe Genauigkeit ihrer Daten auf Landesebene, obwohl die Genauigkeit je nach Faktoren wie Land und Art des geistigen Eigentums variiert. Weitere Informationen MaxMind dazu finden Sie unter [MaxMind IP-Geolokalisierung](https://support.maxmind.com/hc/en-us/sections/4407519834267-IP-Geolocation). Wenn Sie der Meinung sind, dass einige der GeoIP-Daten falsch sind, können Sie unter [MaxMind Correct Geo IP2 ](https://support.maxmind.com/hc/en-us/articles/4408252036123-GeoIP-Correction) Data eine Korrekturanfrage an Maxmind stellen.
AWS WAF verwendet die Alpha-2-Länder- und Regionscodes der Norm 3166 der Internationalen Organisation für Normung (ISO). Sie finden die Codes an den folgenden Stellen:
+ Auf der ISO-Website können Sie auf der [ISO Online Browsing Platform (OBP)](https://www.iso.org/obp/ui#home) nach den Ländercodes suchen.
+ Auf Wikipedia sind die Ländercodes bei [ISO 3166-2](https://en.wikipedia.org/wiki/ISO_3166-2) aufgeführt.
Die Regionalcodes für ein Land sind unter der URL aufgeführt. `https://en.wikipedia.org/wiki/ISO_3166-2:` [Die Regionen für die Vereinigte Staaten beispielsweise [ISO 3166-2:US](https://en.wikipedia.org/wiki/ISO_3166-2:US) und für die Ukraine ISO 3166-2:UA.](https://en.wikipedia.org/wiki/ISO_3166-2:UA)
1. **Bestimmt das Landes- und Regionslabel, das der Anfrage hinzugefügt werden soll — Die** Beschriftungen geben an, ob die Geo-Match-Anweisung die Quell-IP oder eine weitergeleitete IP-Konfiguration verwendet.
+ **Herkunfts-IP**
Das Länderlabel ist`awswaf:clientip:geo:country:`. Beispiel für die Vereinigte Staaten:`awswaf:clientip:geo:country:US`.
Die Bezeichnung der Region lautet`awswaf:clientip:geo:region:-`. Beispiel für Oregon in den Vereinigte Staaten:`awswaf:clientip:geo:region:US-OR`.
+ **Weitergeleitete IP**
Das Länderlabel ist`awswaf:forwardedip:geo:country:`. Beispiel für die Vereinigte Staaten:`awswaf:forwardedip:geo:country:US`.
Die Bezeichnung der Region lautet`awswaf:forwardedip:geo:region:-`. Beispiel für Oregon in den Vereinigte Staaten:`awswaf:forwardedip:geo:region:US-OR`.
Wenn der Landes- oder Regionalcode für die angegebene IP-Adresse einer Anfrage nicht verfügbar ist, AWS WAF wird er `XX` in den Labels anstelle des Werts verwendet. Die folgende Bezeichnung bezieht sich beispielsweise auf eine Client-IP, deren Landesvorwahl nicht verfügbar ist: `awswaf:clientip:geo:country:XX` und die folgende Bezeichnung bezieht sich auf eine weitergeleitete IP, deren Land die Vereinigte Staaten ist, deren Regionalcode jedoch nicht verfügbar ist:`awswaf:forwardedip:geo:region:US-XX`.
1. **Prüft den Ländercode der Anfrage anhand der Regelkriterien**
Die Geo-Match-Anweisung fügt allen Anfragen, die geprüft werden, Länder- und Regionskennzeichnungen hinzu, unabhängig davon, ob eine Übereinstimmung gefunden wird.
**Anmerkung**
AWS WAF fügt am Ende der Auswertung der Webanforderung einer Regel alle Bezeichnungen hinzu. Aus diesem Grund muss jeder Labelabgleich, den Sie mit den Beschriftungen aus einer Geo-Match-Anweisung verwenden, in einer anderen Regel definiert werden als die Regel, die die Geo-Match-Anweisung enthält.
Wenn Sie nur Regionswerte überprüfen möchten, können Sie eine Geo-Match-Regel mit Count Aktion und einer einzigen Übereinstimmung mit der Landesvorwahl schreiben, gefolgt von einer Label-Abgleichsregel für die Regions-Labels. Sie müssen einen Ländercode angeben, damit die Geo-Match-Regel ausgewertet werden kann, auch bei diesem Ansatz. Sie können die Anzahl von Protokollierungs- und Zählmetriken reduzieren, indem Sie ein Land angeben, von dem es sehr unwahrscheinlich ist, dass Besucher auf Ihre Website gelangen.
## CloudFront Verteilungen und die Funktion zur CloudFront geografischen Beschränkung
Beachten Sie bei CloudFront Verteilungen, wenn Sie die CloudFront Funktion zur geografischen Beschränkung verwenden, dass die Funktion blockierte Anfragen nicht weiterleitet. AWS WAF Zulässige Anfragen werden weitergeleitet an AWS WAF. Wenn Sie Anfragen aufgrund der geografischen Lage und anderer Kriterien, die Sie angeben können, blockieren möchten AWS WAF, verwenden Sie die AWS WAF Geo-Match-Anweisung und nicht die Funktion zur CloudFront geografischen Beschränkung.
## Merkmale der Regelaussage
**Verschachtelung** – Sie können diesen Anweisungstyp verschachteln.
**WCUs **— 1 ECU.
**Einstellungen** — Diese Anweisung verwendet die folgenden Einstellungen:
+ **Ländercodes** — Eine Reihe von Ländercodes, die für einen Geo-Match verglichen werden können. Dabei muss es sich um zweistellige Ländercodes aus den ISO-Alpha-2-Ländercodes der internationalen Norm ISO 3166 handeln, zum Beispiel. `["US","CN"]`
+ **(Optional) Konfiguration für weitergeleitete IP-Adressen** — AWS WAF Verwendet standardmäßig die IP-Adresse im Ursprung der Webanfrage, um das Herkunftsland zu ermitteln. Alternativ können Sie die Regel so konfigurieren, dass `X-Forwarded-For` stattdessen eine weitergeleitete IP in einem HTTP-Header verwendet wird. AWS WAF verwendet die erste IP-Adresse im Header. Mit dieser Konfiguration geben Sie auch ein Fallback-Verhalten an, das auf eine Webanfrage mit einer falsch formatierten IP-Adresse im Header angewendet wird. Das Fallback-Verhalten legt das Übereinstimmungsergebnis für die Anforderung fest, auf Übereinstimmgung oder keine Übereinstimmung. Weitere Informationen finden Sie unter [Verwendung weitergeleiteter IP-Adressen](waf-rule-statement-forwarded-ip-address.md).
## Wo finde ich diese Regelaussage
+ **Rule Builder** in der Konsole – Wählen Sie für **Request option** (Anforderungsoption) die Option **Originates from a country in** (Ursprung aus einem Land in) aus.
+ **API** – [GeoMatchStatement](https://docs.aws.amazon.com/waf/latest/APIReference/API_GeoMatchStatement.html)
## Beispiele
Sie können die Geo-Match-Erklärung verwenden, um Anfragen aus bestimmten Ländern oder Regionen zu verwalten. Wenn Sie beispielsweise Anfragen aus bestimmten Ländern blockieren möchten, aber dennoch Anfragen von einer bestimmten Gruppe von IP-Adressen in diesen Ländern zulassen möchten, könnten Sie eine Regel mit der Einstellung der Aktion auf Block und den folgenden verschachtelten Anweisungen erstellen, die in Pseudocode dargestellt werden:
+ AND-Anweisung
+ Geomatch-Anweisung, die die Länder auflistet, die Sie blockieren möchten
+ NOT-Anweisung
+ IP-Set-Anweisung, die die IP-Adressen angibt, die Sie zulassen möchten.
Oder wenn Sie einige Regionen in bestimmten Ländern blockieren, aber dennoch Anfragen aus anderen Regionen in diesen Ländern zulassen möchten, können Sie zunächst eine Geo-Match-Regel definieren, bei der die Aktion auf eingestellt ist. Count Definieren Sie dann eine Label-Match-Regel, die mit den hinzugefügten Geo-Match-Labels übereinstimmt und die Anfragen nach Bedarf bearbeitet.
Der folgende Pseudocode beschreibt ein Beispiel für diesen Ansatz:
1. Geo-Match-Statement, in dem die Länder mit Regionen aufgeführt sind, die Sie blockieren möchten, deren Aktion jedoch auf Count gesetzt ist. Dadurch wird jede Webanfrage unabhängig vom Abgleichstatus gekennzeichnet und Sie erhalten außerdem Zählwerte für die Länder, für die Sie von Interesse sind.
1. `AND`Anweisung mit Block-Aktion
+ Label Match-Anweisung, die die Labels für die Länder angibt, die Sie blockieren möchten
+ `NOT`-Anweisung
+ Label Match-Anweisung, die die Bezeichnungen der Regionen in den Ländern angibt, die Sie durchlassen möchten
Die folgende JSON-Liste zeigt eine Implementierung der beiden Regeln, die im vorherigen Pseudocode beschrieben wurden. Diese Regeln blockieren den gesamten Verkehr aus den Vereinigte Staaten mit Ausnahme des Verkehrs aus Oregon und Washington. In der Geo-Match-Anweisung werden allen Anfragen, die geprüft werden, Länder- und Regionsetiketten hinzugefügt. Die Label-Match-Regel wird nach der Geo-Match-Regel ausgeführt, sodass sie mit den Land- und Regionsbezeichnungen abgeglichen werden kann, die die Geo-Match-Regel gerade hinzugefügt hat. Die Geo-Match-Anweisung verwendet eine weitergeleitete IP-Adresse, sodass beim Labelabgleich auch weitergeleitete IP-Labels angegeben werden.
```
{
"Name": "geoMatchForLabels",
"Priority": 10,
"Statement": {
"GeoMatchStatement": {
"CountryCodes": [
"US"
],
"ForwardedIPConfig": {
"HeaderName": "X-Forwarded-For",
"FallbackBehavior": "MATCH"
}
}
},
"Action": {
"Count": {}
},
"VisibilityConfig": {
"SampledRequestsEnabled": true,
"CloudWatchMetricsEnabled": true,
"MetricName": "geoMatchForLabels"
}
},
{
"Name": "blockUSButNotOROrWA",
"Priority": 11,
"Statement": {
"AndStatement": {
"Statements": [
{
"LabelMatchStatement": {
"Scope": "LABEL",
"Key": "awswaf:forwardedip:geo:country:US"
}
},
{
"NotStatement": {
"Statement": {
"OrStatement": {
"Statements": [
{
"LabelMatchStatement": {
"Scope": "LABEL",
"Key": "awswaf:forwardedip:geo:region:US-OR"
}
},
{
"LabelMatchStatement": {
"Scope": "LABEL",
"Key": "awswaf:forwardedip:geo:region:US-WA"
}
}
]
}
}
}
}
]
}
},
"Action": {
"Block": {}
},
"VisibilityConfig": {
"SampledRequestsEnabled": true,
"CloudWatchMetricsEnabled": true,
"MetricName": "blockUSButNotOROrWA"
}
}
```
Als weiteres Beispiel können Sie Geo-Matching mit ratenbasierten Regeln kombinieren, um Ressourcen für Benutzer in einem bestimmten Land oder einer bestimmten Region zu priorisieren. Sie erstellen für jede Geo-Match- oder Label-Match-Aussage, die Sie zur Differenzierung Ihrer Benutzer verwenden, eine andere ratenbasierte Abrechnung. Legen Sie ein höheres Ratenlimit für Benutzer im bevorzugten Land oder der bevorzugten Region und ein niedrigeres Ratenlimit für andere Benutzer fest.
Die folgende JSON-Liste zeigt eine Geo-Match-Regel, gefolgt von ratenbasierten Regeln, die die Verkehrsrate aus den Vereinigte Staaten begrenzen. Die Regeln ermöglichen es, dass Verkehr aus Oregon mit einer höheren Rate eingeht als Verkehr aus anderen Teilen des Landes.
```
{
"Name": "geoMatchForLabels",
"Priority": 190,
"Statement": {
"GeoMatchStatement": {
"CountryCodes": [
"US"
]
}
},
"Action": {
"Count": {}
},
"VisibilityConfig": {
"SampledRequestsEnabled": true,
"CloudWatchMetricsEnabled": true,
"MetricName": "geoMatchForLabels"
}
},
{
"Name": "rateLimitOregon",
"Priority": 195,
"Statement": {
"RateBasedStatement": {
"Limit": 3000,
"AggregateKeyType": "IP",
"ScopeDownStatement": {
"LabelMatchStatement": {
"Scope": "LABEL",
"Key": "awswaf:clientip:geo:region:US-OR"
}
}
}
},
"Action": {
"Block": {}
},
"VisibilityConfig": {
"SampledRequestsEnabled": true,
"CloudWatchMetricsEnabled": true,
"MetricName": "rateLimitOregon"
}
},
{
"Name": "rateLimitUSNotOR",
"Priority": 200,
"Statement": {
"RateBasedStatement": {
"Limit": 100,
"AggregateKeyType": "IP",
"ScopeDownStatement": {
"AndStatement": {
"Statements": [
{
"LabelMatchStatement": {
"Scope": "LABEL",
"Key": "awswaf:clientip:geo:country:US"
}
},
{
"NotStatement": {
"Statement": {
"LabelMatchStatement": {
"Scope": "LABEL",
"Key": "awswaf:clientip:geo:region:US-OR"
}
}
}
}
]
}
}
}
},
"Action": {
"Block": {}
},
"VisibilityConfig": {
"SampledRequestsEnabled": true,
"CloudWatchMetricsEnabled": true,
"MetricName": "rateLimitUSNotOR"
}
}
```
# IP-Set-Übereinstimmungsregelanweisung
In diesem Abschnitt wird erklärt, was eine IP-Set-Match-Anweisung ist und wie sie funktioniert.
Die IP-Set-Übereinstimmungsanweisung gleicht die IP-Adresse einer Webanforderung mit einer Reihe von IP-Adressen und -Adressbereichen ab. Verwenden Sie diese Option, um Webanforderungen basierend auf den IP-Adressen zuzulassen oder zu blockieren, von denen die Anforderungen stammen. Standardmäßig verwendet AWS WAF die IP-Adresse aus dem Ursprung der Webanforderung, aber Sie können die Regel so konfigurieren, dass sie einen HTTP-Header wie `X-Forwarded-For` verwendet.
AWS WAF unterstützt alle IPv4 und IPv6 CIDR-Bereiche mit Ausnahme `/0` von. Weitere Informationen zur CIDR-Notation finden Sie im Wikipedia-Artikel [Classless Inter-Domain Routing](https://en.wikipedia.org/wiki/Classless_Inter-Domain_Routing). Ein IP-Set kann bis zu 10.000 IP-Adressen oder IP-Adressbereiche zur Überprüfung aufnehmen.
**Anmerkung**
Jede IP-Set-Match-Regel verweist auf ein IP-Set, das Sie unabhängig von Ihren Regeln erstellen und pflegen. Sie können einen einzelnen IP-Satz in mehreren Regeln verwenden. Wenn Sie den Satz aktualisieren, auf den verwiesen AWS WAF wird, werden automatisch alle Regeln aktualisiert, die darauf verweisen.
Informationen zum Erstellen und Verwalten eines IP-Sets finden Sie unter [Einen IP-Satz erstellen und verwalten in AWS WAF](waf-ip-set-managing.md).
Wenn Sie die Regeln in Ihrer Regelgruppe oder Ihrem Schutzpaket (Web-ACL) hinzufügen oder aktualisieren, wählen Sie die Option **IP-Set** und wählen Sie den Namen des IP-Sets aus, den Sie verwenden möchten.
## Eigenschaften der Regelaussage
**Verschachtelung** – Sie können diesen Anweisungstyp verschachteln.
**WCUs**— 1 WCU für die meisten. Wenn Sie die Anweisung für die Verwendung weitergeleiteter IP-Adressen konfigurieren und eine Position von angebenANY, erhöhen Sie die WCU-Nutzung um 4.
Diese Anweisung verwendet die folgenden Einstellungen:
+ **IP-Set-Spezifikation** – Wählen Sie in der Liste das IP-Set, das Sie verwenden möchten, oder erstellen Sie ein neues.
+ **(Optional) Weitergeleitete IP-Konfiguration** – ein alternativer weitergeleiteter IP-Header-Name, der anstelle des Anforderungsursprungs verwendet werden soll. Sie geben an, ob ein Abgleich mit der ersten, letzten oder irgendeiner Adresse im Header durchgeführt werden soll. Außerdem geben Sie ein Fallback-Verhalten an, das auf eine Webanforderung mit einer fehlerhaften IP-Adresse im angegebenen Header angewendet werden soll. Das Fallback-Verhalten legt das Übereinstimmungsergebnis für die Anforderung fest, auf Übereinstimmgung oder keine Übereinstimmung. Weitere Informationen finden Sie unter [Verwendung weitergeleiteter IP-Adressen](waf-rule-statement-forwarded-ip-address.md).
## Wo finde ich diese Regelaussage
**Wo finde ich diese Regelerklärung**
+ **Rule Builder** in der Konsole – Wählen Sie für **Request option** (Anforderungsoption) die Option **Originates from an IP address in** (Ursprung von einer IP-Adresse in) aus.
+ Seite **Add my own rules and rule groups** (Eigene Regeln und Regelgruppen hinzufügen) in der Konsole. Wählen Sie die Option **IP set** (IP-Set) aus.
+ **API** – [IPSetReferenceStatement](https://docs.aws.amazon.com/waf/latest/APIReference/API_IPSetReferenceStatement.html)
# Anweisung zur Übereinstimmungsregel für autonome Systemnummern (ASN)
Eine ASN-Match-Rule-Anweisung in AWS WAF ermöglicht es Ihnen, den Webverkehr anhand der Autonomen Systemnummer (ASN) zu überprüfen, die der IP-Adresse der Anfrage zugeordnet ist. ASNs sind eindeutige Kennungen, die großen Internetnetzwerken zugewiesen werden, die von Organisationen wie Internetdienstanbietern, Unternehmen, Universitäten oder Regierungsbehörden verwaltet werden. Mithilfe von ASN Match Statements können Sie Datenverkehr von bestimmten Netzwerkorganisationen zulassen oder blockieren, ohne einzelne IP-Adressen verwalten zu müssen. Dieser Ansatz bietet eine stabilere und effizientere Methode zur Zugriffskontrolle als IP-basierte Regeln, da sie ASNs sich seltener ändern als IP-Bereiche.
Der ASN-Abgleich ist besonders nützlich, wenn es darum geht, Datenverkehr aus bekannten problematischen Netzwerken zu blockieren oder den Zugriff nur über vertrauenswürdige Partnernetzwerke zuzulassen. Die ASN-Match-Anweisung bietet Flexibilität bei der Bestimmung der Client-IP-Adresse durch eine optionale Konfiguration für weitergeleitete IP-Adressen. Dadurch ist sie mit verschiedenen Netzwerkkonfigurationen kompatibel, einschließlich solcher, die Content Delivery Networks (CDNs) oder Reverse-Proxys verwenden.
**Anmerkung**
ASN Matching ergänzt die standardmäßigen Authentifizierungs- und Autorisierungskontrollen, ersetzt sie jedoch nicht. Wir empfehlen Ihnen, Authentifizierungs- und Autorisierungsmechanismen wie IAM zu implementieren, um die Identität aller Anfragen in Ihren Anwendungen zu überprüfen.
## So funktioniert die ASN-Match-Anweisung
AWS WAF bestimmt die ASN einer Anfrage anhand ihrer IP-Adresse. AWS WAF Verwendet standardmäßig die IP-Adresse des Ursprungs der Webanfrage. Sie können so konfigurieren AWS WAF , dass eine IP-Adresse aus einem alternativen Anforderungsheader verwendet wird`X-Forwarded-For`, indem Sie beispielsweise die Konfiguration für weitergeleitete IP-Adressen in den Einstellungen für die Regelanweisung aktivieren.
Die ASN Match-Anweisung vergleicht die ASN der Anfrage mit der in der Regel ASNs angegebenen Liste. Wenn die ASN mit einer in der Liste übereinstimmt, wird die Anweisung als wahr ausgewertet und die zugehörige Regelaktion wird angewendet.
### Behandlung nicht zugeordnet ASNs
Wenn AWS WAF keine ASN für eine gültige IP-Adresse ermittelt werden kann, wird ASN 0 zugewiesen. Sie können ASN 0 in Ihre Regel aufnehmen, um diese Fälle explizit zu behandeln.
### Fallback-Verhalten für ungültige IP-Adressen
*Wenn Sie die ASN-Match-Anweisung so konfigurieren, dass weitergeleitete IP-Adressen verwendet werden, können Sie für Anfragen mit ungültigen oder fehlenden IP-Adressen im angegebenen Header das Fallback-Verhalten „*Match“ oder „No match*“ angeben.*
## Eigenschaften der Regelanweisung
**Verschachtelung** – Sie können diesen Anweisungstyp verschachteln.
**WCUs**— 1 ECU
Diese Anweisung verwendet die folgenden Einstellungen:
+ **ASN-Liste** — Eine Reihe von ASN-Nummern, die im Hinblick auf eine ASN-Übereinstimmung verglichen werden sollen. Gültige Werte liegen im Bereich von 0 bis 4294967295. Sie können für jede Regel bis zu 100 ASNs angeben.
+ **(Optional) Konfiguration für weitergeleitete IP-Adressen** — AWS WAF Verwendet standardmäßig die IP-Adresse im Ursprung der Webanfrage, um die ASN zu ermitteln. Alternativ können Sie die Regel so konfigurieren, dass `X-Forwarded-For` stattdessen eine weitergeleitete IP in einem HTTP-Header verwendet wird. Sie geben an, ob die erste, letzte oder eine beliebige Adresse im Header verwendet werden soll. Mit dieser Konfiguration geben Sie auch ein Fallback-Verhalten an, das auf eine Webanfrage mit einer falsch formatierten IP-Adresse im Header angewendet wird. Das Fallback-Verhalten legt das Übereinstimmungsergebnis für die Anforderung fest, auf Übereinstimmgung oder keine Übereinstimmung. Weitere Informationen finden Sie unter [Weitergeleitete IP-Adressen verwenden](https://docs.aws.amazon.com/waf/latest/developerguide/waf-rule-statement-forwarded-ip-address.html).
## Wo finde ich diese Regelaussage
+ **Rule Builder** auf der Konsole — Wählen Sie für die **Option Anfrage die Option** **Stammt von ASN in aus**.
+ **API** – [AsnMatchStatement](https://docs.aws.amazon.com/waf/latest/APIReference/API_AsnMatchStatement.html)
## Beispiele
In diesem Beispiel werden Anfragen blockiert, die von zwei bestimmten, aus einem `X-Forwarded-For` Header ASNs abgeleiteten Anfragen stammen. Wenn die IP-Adresse im Header falsch formatiert ist, gilt das konfigurierte Fallback-Verhalten. `NO_MATCH`
```
{
"Action": {
"Block": {}
},
"Name": "AsnMatchStatementRule",
"Priority": 1,
"Statement": {
"AsnMatchStatement": {
"AsnList": [64496, 64500]
},
"ForwardedIPConfig": {
"FallbackBehavior": "NO_MATCH",
"HeaderName": "X-Forwarded-For"
}
},
"VisibilityConfig": {
"CloudWatchMetricsEnabled": true,
"MetricName": "AsnMatchRuleMetrics",
"SampledRequestsEnabled": true
}
},
"VisibilityConfig": {
"CloudWatchMetricsEnabled": true,
"MetricName": "WebAclMetrics",
"SampledRequestsEnabled": true
}
}
```
# Regelanweisung für Bezeichnungsübereinstimmung
In diesem Abschnitt wird erklärt, was eine Label Match-Anweisung ist und wie sie funktioniert.
Die Bezeichnungs-Übereinstimmungsanweisung gleicht die Bezeichnungen, die sich in der Webanforderung befinden, mit einer Zeichenfolgenspezifikation ab. Bei den Bezeichnungen, die für eine Regel zur Überprüfung zur Verfügung stehen, handelt es sich um Bezeichnungen, die der Webanforderung bereits durch andere Regeln in derselben Evaluierung des Protection Packs (Web-ACL) hinzugefügt wurden.
Labels bleiben außerhalb der Evaluierung des Protection Packs (Web-ACL) nicht erhalten, aber Sie können in der Konsole auf Label-Metriken zugreifen CloudWatch und in der Konsole Zusammenfassungen der Labelinformationen für jedes Schutzpaket (Web-ACL) einsehen. AWS WAF Weitere Informationen erhalten Sie unter [Kennzeichnen Sie Metriken und Dimensionen](waf-metrics.md#waf-metrics-label) und [Überwachung und Optimierung Ihrer AWS WAF Schutzmaßnahmen](web-acl-testing-activities.md). Sie können Labels auch in den Protokollen sehen. Weitere Informationen finden Sie unter [Protokollfelder für den Traffic des Protection Packs (Web-ACL)](logging-fields.md).
**Anmerkung**
Eine Anweisung zur Zuordnung von Bezeichnungen kann nur Labels von Regeln anzeigen, die zu einem früheren Zeitpunkt im Protection Pack (Web-ACL) ausgewertet wurden. Informationen darüber, wie die Regeln und Regelgruppen in einem Protection Pack (Web-ACL) AWS WAF ausgewertet werden, finden Sie unter[Regelpriorität festlegen](web-acl-processing-order.md).
Weitere Informationen zum Hinzufügen und Abgleichen von Labels finden Sie unter[Etikettierung von Webanfragen in AWS WAF](waf-labels.md).
## Merkmale der Regelanweisung
**Verschachtelung** – Sie können diesen Anweisungstyp verschachteln.
**WCUs**— 1 ECU
Diese Anweisung verwendet die folgenden Einstellungen:
+ **Übereinstimmungsumfang** – Setzen Sie das auf **Label** (Bezeichnung), um einen Abgleich mit dem Bezeichnungsnamen und optional den vorhergehenden Namespaces und dem vorhergehenden Präfix durchzuführen. Stellen Sie das auf **Namespace**, um einen Abgleich mit einigen oder allen Namespace-Spezifikationen und optional dem vorhergehenden Präfix durchzuführen.
+ **Schlüssel** – Die Zeichenfolge, mit der Sie einen Abgleich durchführen möchten. Wenn Sie einen Namespace-Übereinstimmungsumfang angeben, sollten Sie nur Namespaces und optional das Präfix mit einem abschließenden Doppelpunkt angeben. Wenn Sie einen Bezeichnungs-Übereinstimmungsbereich angeben, muss dieser den Namen der Bezeichnung enthalten und kann optional vorhergehende Namespaces und das vorhergehende Präfix enthalten.
Weitere Informationen zu diesen Einstellungen finden Sie unter [AWS WAF Regeln, die den Bezeichnungen entsprechen](waf-rule-label-match.md) und [AWS WAF Beispiele für Label-Matches](waf-rule-label-match-examples.md).
## Wo finde ich diese Regelerklärung
+ **Rule Builder** in der Konsole – Wählen Sie für **Request option** (Anforderungsoption) die Option **Has label** (Hat Bezeichnung) aus.
+ **API** – [LabelMatchStatement](https://docs.aws.amazon.com/waf/latest/APIReference/API_LabelMatchStatement.html)
# Regex-Übereinstimmungsregel-Anweisung
In diesem Abschnitt wird erklärt, was eine Regex-Match-Anweisung ist und wie sie funktioniert.
Eine Regex-Match-Anweisung weist AWS WAF an, eine Anforderungskomponente einem einzelnen regulären Ausdruck (Regex) zuzuordnen. Eine Webanforderung stimmt mit der Anweisung überein, wenn die Anforderungskomponente mit dem angegebenen regulären Ausdruck übereinstimmt.
Dieser Anweisungstyp ist eine gute Alternative zu [Regex-Mustersatz Übereinstimmungsregelanweisung](waf-rule-statement-type-regex-pattern-set-match.md) für Situationen, in denen Sie Ihre Übereinstimmungskriterien mit mathematischer Logik kombinieren möchten. Wenn Sie beispielsweise möchten, dass eine Anforderungskomponente einen Abgleich mit einigen regulären Ausdrücken vornimmt, aber andere ausschließt, können Sie die Regex-Übereinstimmungsanweisungen mit [AND-Regelanweisung](waf-rule-statement-type-and.md) und [NOT-Regelanweisung](waf-rule-statement-type-not.md) kombinieren.
AWS WAF unterstützt mit einigen Ausnahmen die von der PCRE-Bibliothek verwendete Mustersyntax. `libpcre` Die Bibliothek ist unter [PCRE - Perl Compatible Regular Expressions](http://www.pcre.org/) (Perl-kompatible reguläre Ausdrücke) dokumentiert. Hinweise zur AWS WAF Unterstützung finden Sie unter[Unterstützte Syntax für reguläre Ausdrücke in AWS WAF](waf-regex-pattern-support.md).
## Merkmale der Regelaussage
**Verschachtelung** – Sie können diesen Anweisungstyp verschachteln.
**WCUs**— 3 WCUs, als Basiskosten. Wenn Sie die Anforderungskomponente **Alle Abfrageparameter** verwenden, fügen Sie 10 hinzu WCUs. Wenn Sie den **JSON-Hauptteil** der Anforderungskomponente verwenden, verdoppeln Sie die Grundkosten WCUs. Fügen Sie für jede **Texttransformation**, die Sie anwenden, 10 hinzu WCUs.
Dieser Anweisungstyp arbeitet mit einer Webanforderungskomponente und erfordert die folgenden Einstellungen für Anforderungskomponenten:
+ **Anforderungskomponente** — Der Teil der Webanforderung, der überprüft werden soll, z. B. eine Abfragezeichenfolge oder der Hauptteil.
**Warnung**
Wenn Sie die Anforderungskomponenten **Body**, **JSON-Text**, **Header** oder **Cookies untersuchen, sollten** Sie sich über die Einschränkungen informieren, mit denen der Inhalt überprüft AWS WAF werden kann. [Übergroße Webanforderungskomponenten in AWS WAF](waf-oversize-request-components.md)
Informationen über Webanforderungskomponenten finden Sie unter [Anpassen der Einstellungen für Regelanweisungen in AWS WAF](waf-rule-statement-fields.md).
+ **Optionale Texttransformationen** — Transformationen, die Sie an der Anforderungskomponente durchführen AWS WAF möchten, bevor Sie sie überprüfen. Sie könnten beispielsweise in Kleinschreibung umwandeln oder Leerzeichen normalisieren. Wenn Sie mehr als eine Transformation angeben, werden diese in der angegebenen Reihenfolge AWS WAF verarbeitet. Weitere Informationen finden Sie unter [Verwenden von Texttransformationen in AWS WAF](waf-rule-statement-transformation.md).
## Wo finde ich diese Regelaussage
+ **Rule Builder** in der Konsole – Wählen Sie für**Match type** (Übereinstimmungstyp) die Option **Matches regular expression** (Stimmt mit regulärem Ausdruck überein) aus.
+ **API** – [RegexMatchStatement](https://docs.aws.amazon.com/waf/latest/APIReference/API_RegexMatchStatement.html)
# Regex-Mustersatz Übereinstimmungsregelanweisung
In diesem Abschnitt wird erklärt, was eine Regex Pattern Set Match-Anweisung ist und wie sie funktioniert.
Die Regex-Mustersatzübereinstimmung überprüft den Teil der Webanforderung, den Sie für die regulären Ausdrucksmuster angeben, die Sie in einem Regex-Mustersatz angegeben haben.
AWS WAF unterstützt mit einigen Ausnahmen die von der PCRE-Bibliothek `libpcre` verwendete Mustersyntax. Die Bibliothek ist unter [PCRE - Perl Compatible Regular Expressions](http://www.pcre.org/) (Perl-kompatible reguläre Ausdrücke) dokumentiert. Hinweise zur AWS WAF Unterstützung finden Sie unter[Unterstützte Syntax für reguläre Ausdrücke in AWS WAF](waf-regex-pattern-support.md).
**Anmerkung**
Jeder RegEx-Mustersatz bezieht sich auf einen RegEx-Mustersatz, den Sie unabhängig von Ihren Regeln erstellen und pflegen. Sie können einen einzelnen Regex-Mustersatz in mehreren Regeln verwenden. Wenn Sie den Satz aktualisieren, auf den verwiesen AWS WAF wird, werden automatisch alle Regeln aktualisiert, die darauf verweisen.
Informationen zum Erstellen und Verwalten eines Regex-Mustersatzes finden Sie unter [Erstellen und Verwalten eines Regex-Musters in AWS WAF](waf-regex-pattern-set-managing.md).
Eine Regex-Patternset-Match-Anweisung weist AWS WAF an, innerhalb der von Ihnen ausgewählten Anforderungskomponente nach einem der Muster im Satz zu suchen. Eine Webanforderung stimmt mit der Regelanweisung für den Mustersatz überein, wenn die Anforderungskomponente mit einem der Muster im Satz übereinstimmt.
Wenn Sie Ihre Regex-Musterabgleiche mit Logik kombinieren möchten, um beispielsweise einen Abgleich mit einigen regulären Ausdrücken vorzunehmen, aber andere auszuschließen, können Sie [Regex-Übereinstimmungsregel-Anweisung](waf-rule-statement-type-regex-match.md) verwenden.
## Eigenschaften der Regelanweisung
**Verschachtelung** – Sie können diesen Anweisungstyp verschachteln.
**WCUs**— 25 WCUs, als Grundkosten. Wenn Sie die Anforderungskomponente **Alle Abfrageparameter** verwenden, fügen Sie 10 hinzu WCUs. Wenn Sie den **JSON-Hauptteil** der Anforderungskomponente verwenden, verdoppeln Sie die Grundkosten WCUs. Fügen Sie für jede **Texttransformation**, die Sie anwenden, 10 hinzu WCUs.
Dieser Anweisungstyp arbeitet mit einer Webanforderungskomponente und erfordert die folgenden Einstellungen für Anforderungskomponenten:
+ **Anforderungskomponente** — Der Teil der Webanforderung, der überprüft werden soll, z. B. eine Abfragezeichenfolge oder der Hauptteil.
**Warnung**
Wenn Sie die Anforderungskomponenten **Body**, **JSON-Text**, **Header** oder **Cookies untersuchen, sollten** Sie sich über die Einschränkungen informieren, mit denen der Inhalt überprüft AWS WAF werden kann. [Übergroße Webanforderungskomponenten in AWS WAF](waf-oversize-request-components.md)
Informationen über Webanforderungskomponenten finden Sie unter [Anpassen der Einstellungen für Regelanweisungen in AWS WAF](waf-rule-statement-fields.md).
+ **Optionale Texttransformationen** — Transformationen, die Sie an der Anforderungskomponente durchführen AWS WAF möchten, bevor Sie sie überprüfen. Sie könnten beispielsweise in Kleinschreibung umwandeln oder Leerzeichen normalisieren. Wenn Sie mehr als eine Transformation angeben, werden diese in der angegebenen Reihenfolge AWS WAF verarbeitet. Weitere Informationen finden Sie unter [Verwenden von Texttransformationen in AWS WAF](waf-rule-statement-transformation.md).
Diese Anweisung erfordert die folgenden Einstellungen:
+ Regex-Mustersatz-Spezifikation – Wählen Sie aus der Liste den Regex-Mustersatz, den Sie verwenden möchten, oder erstellen Sie einen neuen.
## Wo finde ich diese Regelaussage
+ **Rule Builder** in der Konsole – Wählen Sie für **Match type** (Übereinstimmungstyp) die Option **String Match Condition** (Zeichenfolgen-Übereinstimmungsbedingungen) > **Matches pattern from regular expression set** (Muster aus dem Satz mit regulärem Ausdruck stimmt überein) aus.
+ **API** – [RegexPatternSetReferenceStatement](https://docs.aws.amazon.com/waf/latest/APIReference/API_RegexPatternSetReferenceStatement.html)
# Größenbeschränkungsanweisung
In diesem Abschnitt wird erklärt, was eine Größenbeschränkungsanweisung ist und wie sie funktioniert.
Eine Größenbeschränkungsanweisung vergleicht die Anzahl der Byte, die für eine Webanforderungskomponente AWS WAF empfangen werden, mit einer Zahl, die Sie angeben, und stimmt entsprechend Ihren Vergleichskriterien überein.
Das Vergleichskriterium ist ein Operator wie größer als (>) oder kleiner als (<). Sie können beispielsweise Anfragen mit einer Abfragezeichenfolge mit einer Größe von mehr als 100 Byte abgleichen.
Wenn Sie den URI-Pfad überprüfen, zählt jeder Eintrag `/` im Pfad als ein Zeichen. Der URI-Pfad `/logo.jpg` ist beispielsweise neun Zeichen lang.
**Anmerkung**
Diese Anweisung überprüft nur die Größe der Webanforderungskomponente. Sie überprüft nicht den Inhalt der Komponente.
## Eigenschaften der Regelaussage
**Verschachtelung** – Sie können diesen Anweisungstyp verschachteln.
**WCUs**— 1 WCU als Basiskosten. Wenn Sie die Anforderungskomponente **Alle Abfrageparameter** verwenden, fügen Sie 10 WCUs hinzu. Wenn Sie den **JSON-Hauptteil** der Anforderungskomponente verwenden, verdoppeln Sie die Grundkosten WCUs. Fügen Sie für jede **Texttransformation**, die Sie anwenden, 10 hinzu WCUs.
Dieser Anweisungstyp arbeitet mit einer Webanforderungskomponente und erfordert die folgenden Einstellungen für Anforderungskomponenten:
+ **Anforderungskomponente** — Der Teil der Webanforderung, der überprüft werden soll, z. B. eine Abfragezeichenfolge oder der Hauptteil. Informationen über Webanforderungskomponenten finden Sie unter [Anpassen der Einstellungen für Regelanweisungen in AWS WAF](waf-rule-statement-fields.md).
Eine Größenbeschränkungsanweisung überprüft nur die Größe der Komponente, nachdem alle Transformationen angewendet wurden. Sie überprüft nicht den Inhalt der Komponente.
+ **Optionale Texttransformationen** — Transformationen, die Sie AWS WAF an der Anforderungskomponente durchführen möchten, bevor Sie deren Größe überprüfen. Sie könnten beispielsweise Leerraum komprimieren oder HTML-Entitäten dekodieren. Wenn Sie mehr als eine Transformation angeben, AWS WAF werden diese in der angegebenen Reihenfolge verarbeitet. Weitere Informationen finden Sie unter [Verwenden von Texttransformationen in AWS WAF](waf-rule-statement-transformation.md).
Zusätzlich erfordert diese Anweisung die folgenden Einstellungen:
+ **Größenabgleichsbedingung** – Dies gibt den numerischen Vergleichsoperator an, der verwendet werden soll, um die angegebene Größe mit der von Ihnen gewählten Anforderungskomponente zu vergleichen. Wählen Sie den Operator aus der Liste aus.
+ **Größe** — Die Größeneinstellung in Byte, die für den Vergleich verwendet werden soll.
## Wo finde ich diese Regelaussage
+ **Rule Builder** in der Konsole – Wählen Sie für **Match type** (Übereinstimmungstyp) unter **Size Match Condition** (Größen-Übereinstimmungsbedingung) die Bedingung aus, die Sie verwenden möchten.
+ **API** – [SizeConstraintStatement](https://docs.aws.amazon.com/waf/latest/APIReference/API_SizeConstraintStatement.html)
# SQL-Injection-Angriff-Regelanweisung
In diesem Abschnitt wird erklärt, was eine SQL-Injection-Regelanweisung ist und wie sie funktioniert.
Eine SQL-Injection-Regelanweisung sucht nach bösartigem SQL-Code. Angreifer fügen bösartigen SQL-Code in Webanfragen ein, um beispielsweise Ihre Datenbank zu ändern oder Daten daraus zu extrahieren.
## Eigenschaften von Regelanweisungen
**Verschachtelung** – Sie können diesen Anweisungstyp verschachteln.
**WCUs**— Die Grundkosten hängen von der Einstellung der Sensitivitätsstufe für die Regelaussage ab: Low Kosten 20 und High Kosten 30.
Wenn Sie die Anforderungskomponente **Alle Abfrageparameter** verwenden, fügen Sie 10 hinzu WCUs. Wenn Sie den **JSON-Hauptteil** der Anforderungskomponente verwenden, verdoppeln Sie die Grundkosten WCUs. Fügen Sie für jede **Texttransformation**, die Sie anwenden, 10 hinzu WCUs.
Dieser Anweisungstyp arbeitet mit einer Webanforderungskomponente und erfordert die folgenden Einstellungen für Anforderungskomponenten:
+ **Anforderungskomponente** — Der Teil der Webanforderung, der überprüft werden soll, z. B. eine Abfragezeichenfolge oder der Hauptteil.
**Warnung**
Wenn Sie die Anforderungskomponenten **Body**, **JSON-Text**, **Header** oder **Cookies untersuchen, sollten** Sie sich über die Einschränkungen informieren, mit denen der Inhalt überprüft AWS WAF werden kann. [Übergroße Webanforderungskomponenten in AWS WAF](waf-oversize-request-components.md)
Informationen über Webanforderungskomponenten finden Sie unter [Anpassen der Einstellungen für Regelanweisungen in AWS WAF](waf-rule-statement-fields.md).
+ **Optionale Texttransformationen** — Transformationen, die Sie an der Anforderungskomponente durchführen AWS WAF möchten, bevor Sie sie überprüfen. Sie könnten beispielsweise in Kleinschreibung umwandeln oder Leerzeichen normalisieren. Wenn Sie mehr als eine Transformation angeben, werden diese in der angegebenen Reihenfolge AWS WAF verarbeitet. Weitere Informationen finden Sie unter [Verwenden von Texttransformationen in AWS WAF](waf-rule-statement-transformation.md).
Darüber hinaus erfordert diese Anweisung die folgende Einstellung:
+ **Sensitivitätsstufe** — Mit dieser Einstellung wird die Sensitivität der SQL-Injection-Übereinstimmungskriterien eingestellt. Die Optionen sind LOW und HIGH. Die Standardeinstellung lautet LOW.
Diese HIGH Einstellung erkennt mehr SQL-Injection-Angriffe und ist die empfohlene Einstellung. Aufgrund der höheren Empfindlichkeit generiert diese Einstellung mehr Fehlalarme, insbesondere wenn Ihre Webanfragen in der Regel ungewöhnliche Zeichenfolgen enthalten. Beim Testen und Optimieren Ihres Schutzpakets (Web-ACL) müssen Sie möglicherweise mehr tun, um Fehlalarme zu vermeiden. Weitere Informationen finden Sie unter [Testen und Optimieren Ihrer AWS WAF Schutzmaßnahmen](web-acl-testing.md).
Die niedrigere Einstellung sorgt für eine weniger strenge SQL-Injection-Erkennung, was auch zu weniger Fehlalarmen führt. LOWkann eine bessere Wahl für Ressourcen sein, die über andere Schutzmaßnahmen gegen SQL-Injection-Angriffe verfügen oder die eine geringe Toleranz gegenüber Fehlalarmen aufweisen.
## Wo finde ich diese Regelaussage
+ **Rule Builder** in der Konsole – Wählen Sie für **Match type** (Übereinstimmungstyp) die Option **Attack match conditions** (Bedingungen für Angriffsabgleich) > **Contains SQL injection attacks** (Enthält SQL-Injection-Angriffe) aus.
+ **API** – [SqliMatchStatement](https://docs.aws.amazon.com/waf/latest/APIReference/API_SqliMatchStatement.html)
# Zeichenfolgen-Übereinstimmungsanweisung
In diesem Abschnitt wird erklärt, was eine String-Match-Anweisung ist und wie sie funktioniert.
Eine String-Match-Anweisung gibt an, AWS WAF nach welcher Zeichenfolge Sie in einer Anfrage suchen möchten, wo in der Anfrage gesucht werden soll und wie. Beispielsweise können Sie nach einer bestimmten Zeichenfolge am Anfang einer beliebigen Suchzeichenfolge in der Anforderung oder als genaue Übereinstimmung mit dem `User-agent`-Header der Anforderung suchen. Normalerweise besteht die Zeichenfolge aus druckbaren ASCII-Zeichen, aber Sie können jedes beliebige Zeichen von hexadezimal 0x00 bis 0xFF (dezimal 0 bis 255) verwenden.
## Eigenschaften der Regelaussage
**Verschachtelung** – Sie können diesen Anweisungstyp verschachteln.
**WCUs**— Die Grundkosten hängen von der Art des Spiels ab, das Sie verwenden.
+ **Stimmt genau mit Zeichenfolge überein** – 2
+ **Beginnt mit Zeichenfolge** – 2
+ **Endet mit Zeichenfolge** – 2
+ **Enthält Zeichenfolge** – 10
+ **Enthält das Wort** — 10
Wenn Sie die Anforderungskomponente **Alle Abfrageparameter** verwenden, fügen Sie 10 hinzu WCUs. Wenn Sie den **JSON-Hauptteil** der Anforderungskomponente verwenden, verdoppeln Sie die Grundkosten WCUs. Fügen Sie für jede **Texttransformation**, die Sie anwenden, 10 hinzu WCUs.
Dieser Anweisungstyp arbeitet mit einer Webanforderungskomponente und erfordert die folgenden Einstellungen für Anforderungskomponenten:
+ **Anforderungskomponente** — Der Teil der Webanforderung, der überprüft werden soll, z. B. eine Abfragezeichenfolge oder der Hauptteil.
**Warnung**
Wenn Sie die Anforderungskomponenten **Body**, **JSON-Text**, **Header** oder **Cookies untersuchen, sollten** Sie sich über die Einschränkungen informieren, mit denen der Inhalt überprüft AWS WAF werden kann. [Übergroße Webanforderungskomponenten in AWS WAF](waf-oversize-request-components.md)
Informationen über Webanforderungskomponenten finden Sie unter [Anpassen der Einstellungen für Regelanweisungen in AWS WAF](waf-rule-statement-fields.md).
+ **Optionale Texttransformationen** — Transformationen, die Sie an der Anforderungskomponente durchführen AWS WAF möchten, bevor Sie sie überprüfen. Sie könnten beispielsweise in Kleinschreibung umwandeln oder Leerzeichen normalisieren. Wenn Sie mehr als eine Transformation angeben, werden diese in der angegebenen Reihenfolge AWS WAF verarbeitet. Weitere Informationen finden Sie unter [Verwenden von Texttransformationen in AWS WAF](waf-rule-statement-transformation.md).
Zusätzlich erfordert diese Anweisung die folgenden Einstellungen:
+ **Übereinstimmende Zeichenfolge** — Dies ist die Zeichenfolge, die Sie AWS WAF mit der angegebenen Anforderungskomponente vergleichen möchten. Normalerweise besteht die Zeichenfolge aus druckbaren ASCII-Zeichen, aber Sie können jedes beliebige Zeichen von hexadezimal 0x00 bis 0xFF (dezimal 0 bis 255) verwenden.
+ **Bedingung für übereinstimmende Zeichenfolge** — Dies gibt den Suchtyp an, den Sie ausführen AWS WAF möchten.
+ **Exactly matches string** (Entspricht Zeichenfolge genau) – Die Zeichenfolge und der Wert der Steuerungskomponente sind identisch.
+ **Starts with string** (Beginnt mit Zeichenfolge) – Die Zeichenfolge wird am Anfang der Anforderungskomponente angezeigt.
+ **Ends with string** (Endet mit Zeichenfolge) – Die Zeichenfolge wird am Ende der Anforderungskomponente angezeigt.
+ **Contains string** (Enthält Zeichenfolge) – Die Zeichenfolge wird an beliebiger Stelle in der Anforderungskomponente angezeigt.
+ **Contains word** (Enthält Wort) – Die von Ihnen angegebene Zeichenfolge muss in der Anforderungskomponente angezeigt werden.
Bei dieser Option darf die von Ihnen angegebene Zeichenfolge nur alphanumerische Zeichen oder Unterstriche (A-Z, a-z, 0-9 oder \$1) enthalten.
Eine der folgenden Bedingungen muss erfüllt sein, damit die Anforderung übereinstimmt:
+ Die Zeichenfolge entspricht exakt dem Wert der Anforderungskomponente, z. B. dem Wert eines Headers.
+ Die Zeichenfolge steht am Anfang der Anforderungskomponente und wird von einem anderen Zeichen als einem alphanumerischen Zeichen oder Unterstrich (\$1) gefolgt, z. B. `BadBot;`.
+ Die Zeichenfolge befindet sich am Ende der Anforderungskomponente und wird von einem anderen Zeichen als einem alphanumerischen Zeichen oder Unterstrich (\$1), z. B. `;BadBot`, eingeleitet.
+ Die Zeichenfolge befindet sich in der Mitte der Anforderungskomponente und wird von anderen Zeichen als alphanumerischen Zeichen oder Unterstrichen (\$1) eingeleitet und gefolgt, z. B. `-BadBot;`.
## Wo finde ich diese Regelaussage
+ **Rule Builder** in der Konsole – Wählen Sie für **Match type** (Übereinstimmungstyp) die Option **String Match Condition** (Zeichenfolgen-Übereinstimmungsbedingungen) aus. Geben Sie dann die Zeichenfolgen ein, mit denen Sie einen Vergleich vornehmen möchten.
+ **API** – [ByteMatchStatement](https://docs.aws.amazon.com/waf/latest/APIReference/API_ByteMatchStatement.html)
# Cross-Site-Scripting-Angriffsregel-Anweisung
In diesem Abschnitt wird erklärt, was eine XSS-Angriffsanweisung (Cross-Site Scripting) ist und wie sie funktioniert.
Eine XSS-Angriffsanweisung untersucht eine Webanforderungskomponente auf schädliche Skripts. Bei einem XSS-Angriff nutzt der Angreifer Sicherheitslücken auf einer harmlosen Website, um bösartige Client-Site-Skripts in andere legitime Webbrowser einzuschleusen.
## Merkmale der Regelaussage
**Verschachtelung** – Sie können diesen Anweisungstyp verschachteln.
**WCUs**— 40 WCUs, als Grundkosten. Wenn Sie die Anforderungskomponente **Alle Abfrageparameter** verwenden, fügen Sie 10 hinzu WCUs. Wenn Sie den **JSON-Hauptteil** der Anforderungskomponente verwenden, verdoppeln Sie die Grundkosten WCUs. Fügen Sie für jede **Texttransformation**, die Sie anwenden, 10 hinzu WCUs.
Dieser Anweisungstyp arbeitet mit einer Webanforderungskomponente und erfordert die folgenden Einstellungen für Anforderungskomponenten:
+ **Anforderungskomponente** — Der Teil der Webanforderung, der überprüft werden soll, z. B. eine Abfragezeichenfolge oder der Hauptteil.
**Warnung**
Wenn Sie die Anforderungskomponenten **Body**, **JSON-Text**, **Header** oder **Cookies untersuchen, sollten** Sie sich über die Einschränkungen informieren, mit denen der Inhalt überprüft AWS WAF werden kann. [Übergroße Webanforderungskomponenten in AWS WAF](waf-oversize-request-components.md)
Informationen über Webanforderungskomponenten finden Sie unter [Anpassen der Einstellungen für Regelanweisungen in AWS WAF](waf-rule-statement-fields.md).
+ **Optionale Texttransformationen** — Transformationen, die Sie an der Anforderungskomponente durchführen AWS WAF möchten, bevor Sie sie überprüfen. Sie könnten beispielsweise in Kleinschreibung umwandeln oder Leerzeichen normalisieren. Wenn Sie mehr als eine Transformation angeben, werden diese in der angegebenen Reihenfolge AWS WAF verarbeitet. Weitere Informationen finden Sie unter [Verwenden von Texttransformationen in AWS WAF](waf-rule-statement-transformation.md).
## Wo finde ich diese Regelaussage
+ **Rule Builder** in der Konsole – Wählen Sie für **Match type** (Übereinstimmungstyp) die Option **Attack match conditions** (Bedingungen für Angriffsabgleich) > **Contains XSS injection attacks** (Enthält XSS-Injection-Angriffe) aus.
+ **API** – [XssMatchStatement](https://docs.aws.amazon.com/waf/latest/APIReference/API_XssMatchStatement.html)