Wir stellen vor: ein neues Konsolenerlebnis für AWS WAF

Sie können das aktualisierte Erlebnis jetzt verwenden, um überall in der Konsole auf AWS WAF Funktionen zuzugreifen. Weitere Informationen finden Sie unter Arbeiten mit der Konsole.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Bewährte Methoden für intelligente Bedrohungsabwehr in AWS WAF

Folgen Sie den bewährten Methoden in diesem Abschnitt, um die Funktionen zur intelligenten Bedrohungsabwehr am effizientesten und kostengünstigsten zu implementieren.

Implementieren Sie die SDKs JavaScript und die Integration mobiler Anwendungen — Implementieren Sie die Anwendungsintegration, um den vollen Funktionsumfang von ACFP, ATP oder Bot Control so effektiv wie möglich zu nutzen. Die verwalteten Regelgruppen verwenden die von den SDKs bereitgestellten Token, um legitimen Client-Verkehr auf Sitzungsebene von unerwünschtem Datenverkehr zu trennen. Die SDKs für die Anwendungsintegration stellen sicher, dass diese Token immer verfügbar sind. Details dazu finden Sie unter:
Verwenden Sie die Integrationen, um Herausforderungen in Ihrem Client zu implementieren und beispielsweise die Art und Weise anzupassen JavaScript, wie CAPTCHA-Rätsel Ihren Endbenutzern präsentiert werden. Details hierzu finden Sie unter Integrationen von Client-Anwendungen in AWS WAF.

Wenn Sie CAPTCHA-Rätsel mithilfe der JavaScript API anpassen und die CAPTCHA Regelaktion an einer beliebigen Stelle in Ihrem Schutzpaket (Web-ACL) verwenden, folgen Sie den Anweisungen für den Umgang mit der AWS WAF CAPTCHA-Antwort in Ihrem Client unter. Umgang mit einer CAPTCHA-Antwort von AWS WAF Diese Anleitung gilt für alle Regeln, die die CAPTCHA Aktion verwenden, einschließlich der Regeln in der verwalteten ACFP-Regelgruppe und der angestrebten Schutzstufe der verwalteten Regelgruppe Bot Control.
Beschränken Sie die Anfragen, die Sie an die Regelgruppen ACFP, ATP und Bot Control senden. Für die Nutzung der Regelgruppen mit intelligenten AWS verwalteten Regeln zur Abwehr von Bedrohungen fallen zusätzliche Gebühren an. Die ACFP-Regelgruppe überprüft Anfragen an die von Ihnen angegebenen Endpunkte für die Kontoregistrierung und Kontoerstellung. Die ATP-Regelgruppe überprüft Anfragen an den von Ihnen angegebenen Anmeldeendpunkt. Die Regelgruppe Bot Control überprüft jede Anfrage, die sie im Rahmen der Evaluierung des Protection Packs (Web-ACL) erreicht.

Ziehen Sie die folgenden Ansätze in Betracht, um die Verwendung dieser Regelgruppen zu reduzieren:
- Schließen Sie Anfragen von der Prüfung aus, wenn Sie in der Erklärung zur verwalteten Regelgruppe eine Erklärung zum Umfang angeben. Sie können dies mit jeder verschachtelten Anweisung tun. Weitere Informationen finden Sie unter Verwendung von Scope-Down-Aussagen in AWS WAF.
- Schließen Sie Anfragen von der Prüfung aus, indem Sie Regeln vor der Regelgruppe hinzufügen. Für Regeln, die Sie nicht in einer Scope-down-Anweisung verwenden können, und für komplexere Situationen, wie z. B. die Kennzeichnung gefolgt von der Zuordnung von Bezeichnungen, möchten Sie möglicherweise Regeln hinzufügen, die vor den Regelgruppen ausgeführt werden. Weitere Informationen finden Sie unter Verwendung von Scope-Down-Aussagen in AWS WAF und Verwenden von Regelanweisungen in AWS WAF.
- Führen Sie die Regelgruppen nach den kostengünstigeren Regeln aus. Wenn Sie andere AWS WAF Standardregeln haben, die Anfragen aus irgendeinem Grund blockieren, führen Sie sie vor diesen kostenpflichtigen Regelgruppen aus. Weitere Informationen zu Regeln und Regelverwaltung finden Sie unterVerwenden von Regelanweisungen in AWS WAF.
- Wenn Sie mehr als eine der Regelgruppen mit intelligenter Bedrohungsabwehr verwenden, führen Sie sie in der folgenden Reihenfolge aus, um die Kosten niedrig zu halten: Bot Control, ATP, ACFP.
Weitere Informationen finden Sie unter AWS WAF -Preise.

Sie können auch kostengünstigere Regeln (IP-Reputation, Geoblocking) vor Bot Control platzieren, sodass Anfragen, die durch günstigere Regeln blockiert wurden, nie zur kostenpflichtigen Prüfung gelangen. Weitere Hinweise zum Kostenmanagement finden Sie unter. Verwalten von Kosten
Beschränken Sie nicht die Anfragen, die Sie an die Anti-DDoS Regelgruppe senden. Diese Regelgruppe funktioniert am besten, wenn Sie sie so konfigurieren, dass sie den gesamten Webverkehr überwacht, den Sie nicht explizit durchlassen. Platzieren Sie sie in Ihrer Web-ACL, sodass sie erst nach den Regeln mit der Allow Regelaktion und vor allen anderen Regeln ausgewertet wird.
Verwenden Sie für den DDoS-Schutz (Distributed Denial of Service) entweder Anti-DDoS oder Shield Advanced zur automatischen DDoS-Abwehr auf Anwendungsebene. Die anderen Regelgruppen für intelligente Bedrohungsabwehr bieten keinen DDoS-Schutz. ACFP schützt vor betrügerischen Versuchen, auf der Anmeldeseite Ihrer Anwendung ein Konto zu erstellen. ATP schützt vor Kontoübernahmeversuchen auf Ihrer Anmeldeseite. Bot Control konzentriert sich auf die Durchsetzung menschenähnlicher Zugriffsmuster mithilfe von Tokens und dynamischer Ratenbegrenzung bei Clientsitzungen.

Anti-DDoS ermöglicht Ihnen die Überwachung und Kontrolle von DDoS-Angriffen und ermöglicht so eine schnelle Reaktion und Abwehr von Bedrohungen. Shield Advanced mit automatischer DDoS-Abwehr auf Anwendungsebene reagiert automatisch auf erkannte DDoS-Angriffe, indem es in Ihrem Namen benutzerdefinierte AWS WAF Abhilfemaßnahmen erstellt, bewertet und einsetzt.

Weitere Informationen zu Shield Advanced finden Sie AWS Shield Advanced -Übersicht unter undSchutz der Anwendungsschicht (Schicht 7) mit AWS Shield Advanced und AWS WAF.

Weitere Informationen zur Verhinderung von Distributed Denial of Service (DDoS) finden Sie unter DDoAnti-S-Regelgruppe und. Verhinderung von verteilter Diensteverweigerung (DDoS)
Aktivieren Sie die Anti-DDoS Regelgruppe und die gezielte Schutzstufe der Bot Control-Regelgruppe bei normalem Webverkehr. Diese Regelkategorien benötigen Zeit, um Basiswerte für normalen Datenverkehr festzulegen.

Aktivieren Sie die gezielte Schutzstufe der Bot-Control-Regelgruppe bei normalem Webverkehr — Einige Regeln der Zielschutzstufe benötigen Zeit, um Basiswerte für normale Datenverkehrsmuster festzulegen, bevor sie unregelmäßige oder bösartige Datenverkehrsmuster erkennen und darauf reagieren können. Zum Beispiel benötigen die TGT_ML_* Regeln bis zu 24 Stunden, um sich aufzuwärmen.

Fügen Sie diese Schutzmaßnahmen hinzu, wenn Sie nicht von einem Angriff betroffen sind, und geben Sie ihnen Zeit, ihre Grundlinien festzulegen, bevor Sie erwarten, dass sie angemessen reagieren. Wenn Sie diese Regeln während eines Angriffs hinzufügen, müssen Sie die Anti-DDoS Regelgruppe im Zählmodus aktivieren. Wenn der Angriff abgeklungen ist, dauert es in der Regel doppelt bis dreimal so lange wie normalerweise erforderlich, was auf die Verzerrung zurückzuführen ist, die durch den Angriffsverkehr entsteht. Weitere Informationen zu den Regeln und den dafür erforderlichen Aufwärmzeiten finden Sie unter. Liste der Regeln
Verwenden Sie für den Schutz vor Distributed-Denial-of-Service (DDoS) Shield Advanced die automatische DDoS-Abwehr auf Anwendungsebene. Die Regelgruppen zur intelligenten Bedrohungsabwehr bieten keinen DDoS-Schutz. ACFP schützt vor betrügerischen Versuchen, auf der Anmeldeseite Ihrer Anwendung ein Konto zu erstellen. ATP schützt vor Kontoübernahmeversuchen auf Ihrer Anmeldeseite. Bot Control konzentriert sich auf die Durchsetzung menschenähnlicher Zugriffsmuster mithilfe von Tokens und dynamischer Ratenbegrenzung bei Clientsitzungen.

Wenn Sie Shield Advanced mit aktivierter automatischer DDoS-Abwehr auf Anwendungsebene verwenden, reagiert Shield Advanced automatisch auf erkannte DDoS-Angriffe, indem es in Ihrem Namen benutzerdefinierte AWS WAF Abwehrmaßnahmen erstellt, bewertet und einsetzt. Weitere Informationen zu Shield Advanced finden Sie AWS Shield Advanced -Übersicht unter undSchutz der Anwendungsschicht (Schicht 7) mit AWS Shield Advanced und AWS WAF.
Verwenden Sie Produktionsdatenverkehrslasten, wenn Sie Baselines für die Anti-DDoS Regelgruppe festlegen. Es ist üblich, andere Regelgruppen mit künstlichem Testdatenverkehr zu testen. Wenn Sie jedoch Baselines für die Anti-DDoS Regelgruppe testen und festlegen, empfehlen wir, dass Sie Verkehrsflüsse verwenden, die den Belastungen in Ihrer Produktionsumgebung entsprechen. Die Festlegung von Anti-DDoS Baselines anhand des typischen Datenverkehrs ist der beste Weg, um sicherzustellen, dass Ihre Ressourcen geschützt sind, wenn die Regelgruppe in einer Produktionsumgebung aktiviert ist.
Feinabstimmung und Konfiguration der Token-Behandlung — Passen Sie die Token-Behandlung des Protection Packs (Web-ACL) an, um eine optimale Benutzererfahrung zu erzielen.
- Um die Betriebskosten zu senken und das Nutzererlebnis zu verbessern, sollten Sie die Immunitätszeiten Ihrer Tokenverwaltung so lange einstellen, wie es Ihre Sicherheitsanforderungen zulassen. Dadurch wird der Einsatz von CAPTCHA-Rätseln und stillen Herausforderungen auf ein Minimum reduziert. Weitere Informationen finden Sie unter Einstellen der Ablaufzeiten von Zeitstempeln und Token-Immunitätszeiten in AWS WAF.
- Um die gemeinsame Nutzung von Token zwischen geschützten Anwendungen zu ermöglichen, konfigurieren Sie eine Token-Domainliste für Ihr Schutzpaket (Web-ACL). Weitere Informationen finden Sie unter Angabe von Tokendomänen und Domänenlisten in AWS WAF.
Anfragen mit beliebigen Hostspezifikationen ablehnen — Konfigurieren Sie Ihre geschützten Ressourcen so, dass die Host Header in Webanfragen mit der Zielressource übereinstimmen müssen. Sie können einen Wert oder eine bestimmte Gruppe von Werten akzeptieren, z. B. myExampleHost.com undwww.myExampleHost.com, aber Sie können keine beliebigen Werte für den Host akzeptieren.
Für Application Load Balancer, die Ursprünge für CloudFront Distributionen sind, konfigurieren CloudFront und AWS WAF für die korrekte Token-Behandlung sorgen — Wenn Sie Ihr Protection Pack (Web-ACL) einem Application Load Balancer zuordnen und den Application Load Balancer als Ursprung für eine CloudFront Distribution bereitstellen, finden Sie weitere Informationen unter. Erforderliche Konfiguration für Application Load Balancers, die Origins sind CloudFront
Testen und Optimieren vor der Bereitstellung — Bevor Sie Änderungen an Ihrem Protection Pack (Web-ACL) vornehmen, sollten Sie die Test- und Optimierungsverfahren in diesem Handbuch befolgen, um sicherzustellen, dass Sie das erwartete Verhalten erhalten. Dies ist besonders wichtig für diese kostenpflichtigen Funktionen. Allgemeine Hinweise finden Sie unterTesten und Optimieren Ihrer AWS WAF Schutzmaßnahmen. Spezifische Informationen zu den kostenpflichtigen verwalteten Regelgruppen finden Sie unter Testen und Bereitstellen von ACFP Testen und Bereitstellen von ATP, undTesten und Bereitstellen von AWS WAF Bot Control.

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Ratenbegrenzung

Tokens zur intelligenten Abwehr von Bedrohungen