Bereiten Sie sich darauf vor, Ihre AWS WAF Schutzmaßnahmen zu testen - AWS WAF, AWS Firewall ManagerAWS Shield Advanced, und Direktor für AWS Shield Netzwerksicherheit

Wir stellen vor: ein neues Konsolenerlebnis für AWS WAF

Sie können das aktualisierte Erlebnis jetzt verwenden, um überall in der Konsole auf AWS WAF Funktionen zuzugreifen. Weitere Details finden Sie unter Arbeiten mit der aktualisierten Konsolenerfahrung.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Bereiten Sie sich darauf vor, Ihre AWS WAF Schutzmaßnahmen zu testen

In diesem Abschnitt wird beschrieben, wie Sie sich einrichten, um Ihre AWS WAF Schutzmaßnahmen zu testen und zu optimieren.

Anmerkung

Um den Anleitungen in diesem Abschnitt folgen zu können, müssen Sie allgemein wissen, wie AWS WAF Schutzmaßnahmen wie Schutzpakete oder Web ACLs, Regeln und Regelgruppen erstellt und verwaltet werden. Diese Informationen wurden in früheren Abschnitten dieses Handbuchs behandelt.

Um sich auf den Test vorzubereiten
  1. Aktivieren Sie die Protokollierung von Protection Pack oder Web-ACL, CloudWatch Amazon-Metriken und das Sampling von Webanfragen für das Protection Pack oder die Web-ACL

    Verwenden Sie Protokollierung, Metriken und Sampling, um die Interaktion der Protection Pack- oder Web-ACL-Regeln mit Ihrem Web-Traffic zu überwachen.

    • Protokollierung — Sie können so konfigurieren AWS WAF , dass die Webanfragen protokolliert werden, die ein Protection Pack oder eine Web-ACL auswertet. Sie können CloudWatch Protokolle an Logs, einen Amazon S3 S3-Bucket oder einen Amazon Data Firehose-Lieferstream senden. Sie können Felder unkenntlich machen und Filter anwenden. Weitere Informationen finden Sie unter Protokollierung AWS WAF des Protection Pack- oder Web-ACL-Datenverkehrs.

    • Amazon Security Lake — Sie können Security Lake so konfigurieren, dass es Protection Pack- oder Web-ACL-Daten sammelt. Security Lake sammelt Protokoll- und Ereignisdaten aus verschiedenen Quellen zur Normalisierung, Analyse und Verwaltung. Informationen zu dieser Option finden Sie unter Was ist Amazon Security Lake? und Sammeln von Daten von AWS Diensten im Amazon Security Lake-Benutzerhandbuch.

    • CloudWatch Amazon-Metriken — Geben Sie in Ihrer Protection Pack- oder Web-ACL-Konfiguration Metrikspezifikationen für alles an, was Sie überwachen möchten. Sie können Metriken über die CloudWatch Konsolen AWS WAF und anzeigen. Weitere Informationen finden Sie unter Überwachung mit Amazon CloudWatch.

    • Stichprobe von Webanfragen — Sie können sich ein Beispiel aller Webanfragen ansehen, die Ihr Protection Pack oder Ihre Web-ACL bewertet. Informationen zum Sampling von Webanforderungen finden Sie unter Anzeigen einer Stichprobe von Webanforderungen.

  2. Stellen Sie Ihren Schutz auf Modus Count

    Schalten Sie in Ihrer Protection Pack- oder Web-ACL-Konfiguration alles, was Sie testen möchten, in den Zählmodus um. Dadurch zeichnet der Testschutz Treffer mit Webanfragen auf, ohne die Art und Weise zu ändern, wie die Anfragen behandelt werden. Sie können die Treffer in Ihren Metriken, Protokollen und Stichprobenanfragen sehen, um die Übereinstimmungskriterien zu überprüfen und zu verstehen, welche Auswirkungen dies auf Ihren Web-Traffic haben könnte. Regeln, die übereinstimmenden Anfragen Labels hinzufügen, fügen unabhängig von der Regelaktion Labels hinzu.

    • Im Schutzpaket oder der Web-ACL definierte Regel — Bearbeiten Sie die Regeln im Protection Pack oder der Web-ACL und legen Sie ihre Aktionen auf festCount.

    • Regelgruppe — Bearbeiten Sie in Ihrer Protection Pack- oder Web-ACL-Konfiguration die Regelaussage für die Regelgruppe und öffnen Sie im Bereich Regeln die Dropdownliste Alle Regelaktionen außer Kraft setzen und wählen Sie aus Count. Wenn Sie das Protection Pack oder die Web-ACL in JSON verwalten, fügen Sie die Regeln zu den RuleActionOverrides Einstellungen in der Regelgruppen-Referenzerklärung hinzu, wobei der Wert auf ActionToUse Count gesetzt ist. Die folgende Beispielliste zeigt Überschreibungen für zwei Regeln in der Regelgruppe „AWSManagedRulesAnonymousIpList AWS Verwaltete Regeln“. 

        "ManagedRuleGroupStatement": {
    "VendorName": "AWS",
    "Name": "AWSManagedRulesAnonymousIpList",
      "RuleActionOverrides": [
        {
          "ActionToUse": {
            "Count": {}
          },
          "Name": "AnonymousIPList"
        },
        {
          "ActionToUse": {
            "Count": {}
          },
          "Name": "HostingProviderIPList"
        }
      ],
      "ExcludedRules": []
    }
  },

      Weitere Informationen über das Außerkraftsetzen von Regelaktionen finden Sie unter. Regelaktionen in einer Regelgruppe überschreiben

      Ändern Sie für Ihre eigene Regelgruppe nicht die Regelaktionen in der Regelgruppe selbst. Regelgruppenregeln mit Count Aktion generieren nicht die Metriken oder anderen Artefakte, die Sie für Ihre Tests benötigen. Darüber hinaus wirkt sich die Änderung einer Regelgruppe auf alle Schutzpakete oder Websites aus, ACLs die sie verwenden, während sich die Änderungen innerhalb des Schutzpakets oder der Web-ACL-Konfiguration nur auf das einzelne Schutzpaket oder die Web-ACL auswirken.

    • Protection Pack oder Web-ACL — Wenn Sie ein neues Protection Pack oder eine neue Web-ACL testen, legen Sie die Standardaktion für das Protection Pack oder die Web-ACL so fest, dass Anfragen zugelassen werden. Auf diese Weise können Sie die Web-ACL ausprobieren, ohne den Datenverkehr in irgendeiner Weise zu beeinträchtigen.

    Im Allgemeinen generiert der Zählmodus mehr Treffer als der Produktionsmodus. Das liegt daran, dass eine Regel, die Anfragen zählt, die Auswertung der Anfrage durch das Protection Pack oder die Web-ACL nicht beendet, sodass Regeln, die später im Protection Pack oder der Web-ACL ausgeführt werden, möglicherweise auch der Anfrage entsprechen. Wenn Sie Ihre Regelaktionen an ihre Produktionseinstellungen anpassen, beenden Regeln, die Anfragen zulassen oder blockieren, die Auswertung der Anfragen, denen sie entsprechen. Das hat zur Folge, dass übereinstimmende Anfragen in der Regel durch weniger Regeln im Schutzpaket oder der Web-ACL überprüft werden. Weitere Informationen zu den Auswirkungen von Regelaktionen auf die Gesamtbewertung einer Webanfrage finden Sie unterVerwenden von Regelaktionen in AWS WAF.

    Mit diesen Einstellungen wirken sich Ihre neuen Schutzmaßnahmen nicht auf den Web-Traffic aus, sondern generieren Übereinstimmungsinformationen in Metriken, Protection Pack- oder Web-ACL-Protokollen und Anforderungsbeispielen.

  3. Ordnen Sie das Schutzpaket oder die Web-ACL einer Ressource zu

    Wenn das Schutzpaket oder die Web-ACL der Ressource noch nicht zugeordnet ist, ordnen Sie es zu.

    Siehe Schutz einer Ressource zuordnen oder deren Verknüpfung aufheben AWS.

Sie sind jetzt bereit, Ihr Protection Pack oder Ihre Web-ACL zu überwachen und zu optimieren.