1. Was ist AWS WAF?
AWS WAF ist eine Firewall für Webanwendungen, die Webanwendungen gegen Angriffe schützt, indem sie Ihnen ermöglicht, über durch Sie definierte Bedingungen Regeln für das Zulassen, Blockieren oder Überwachen (Zählen) von Webanforderungen zu konfigurieren. Zu diesen Bedingungen gehören IP-Adressen, HTTP-Header, HTTP-Hauptteil, URI-Zeichenfolgen, SQL-Injektion und standortübergreifende Skripterstellung.
2. Wie blockiert oder erlaubt AWS WAF Datenverkehr?
Wenn der zugrundeliegende Service Anforderungen für Ihre Websites erhält, leitet er diese an AWS WAF weiter, wo sie anhand Ihrer Regeln geprüft werden. Erfüllt eine Anforderung eine in Ihren Regeln definierte Bedingung, weist AWS WAF den zugrundeliegenden Service an, diese entweder zu blockieren oder zuzulassen, je nachdem, welche Aktion Sie definieren.
3. Wie schützt AWS WAF meine Website oder -anwendung?
AWS WAF ist eng in Amazon CloudFront und den Application Load Balancer (ALB) integriert. Dies sind Services, die von AWS-Kunden häufig zur Bereitstellung von Inhalten für ihre Websites und Anwendungen verwendet werden. Wenn Sie AWS WAF unter Amazon CloudFront verwenden, werden Ihre Regeln an allen AWS Edge-Standorten weltweit ausgeführt, die sich in der Nähe Ihrer Endbenutzer befinden. Das bedeutet, dass Sicherheit nicht auf Kosten der Leistung geht. Blockierte Anforderungen werden abgefangen, bevor sie Ihre Webserver erreichen. Wenn Sie AWS WAF mit dem Application Load Balancer verwenden, werden Ihre Regeln in der Region ausgeführt und können verwendet werden, um Internet-basierte und auch interne Load Balancer zu schützen.
4. Kann ich AWS WAF für den Schutz nicht in AWS gehosteter Websites verwenden?
Ja. AWS WAF ist in Amazon CloudFront integriert, und Amazon CloudFront unterstützt auch benutzerdefinierte Ursprünge außerhalb von AWS.
5. Welche Art von Angriffen wird von AWS WAF gestoppt?
AWS WAF schützt Ihre Website gegen verbreitete Angriffstechniken wie SQL-Injektion und siteübergreifendes Scripting (XSS). Außerdem können Sie Regeln erstellen, die Angriffe bestimmter User-Agents, bösartige Bots und Content Scraper blockieren. Beispiele finden Sie im AWS WAF-Entwicklerhandbuch.
6. Kann ich für die Überwachung von Sicherheit, Betrieb und Compliance einen Verlauf aller AWS WAF-API-Aufrufe abrufen, die für mein Konto erfolgt sind?
Ja. Zum Abrufen eines Verlaufs aller AWS WAF-API-Aufrufe, die für Ihr Konto erfolgt sind, aktivieren Sie AWS CloudTrail in der AWS-Managementkonsole von CloudTrail. Weitere Informationen finden Sie auf der AWS CloudTrail-Startseite oder im AWS WAF Developer Guide.
7. Wird IPv6 von AWS WAF unterstützt?
Ja, da IPv6 unterstützt wird, kann AWS WAF HTTP/S-Anfragen von IPv6- und IPv4-Adressen prüfen.
8. Wird IPv6 von der IPSet-Übereinstimmungsbedingung für eine AWS WAF-Regel unterstützt?
Ja, Sie können neue IPv6-Übereinstimmungsbedingungen für neue und vorhandene WebACLs einrichten, siehe Dokumentation.
9. Kann ich davon ausgehen, dass IPv6-Adressen, falls zutreffend, in den Versuchsanfragen von AWS WAF angezeigt werden?
Ja. Falls zutreffend, wird die IPv6-Adresse in den Versuchsanfragen angezeigt.
10. Kann ich IPv6 mit allen AWS WAF-Funktionen verwenden?
Ja. Sie werden alle vorhandenen Funktionen für Datenverkehr über IPv6 und IPv4 verwenden können, ohne dabei Veränderungen der Leistung, Skalierbarkeit oder Verfügbarkeit des Service wahrzunehmen.
11. Welche Services werden von AWS WAF unterstützt?
AWS WAF kann unter Amazon CloudFront, dem Application Load Balancer (ALB) und Amazon API Gateway eingesetzt werden. Als Teil von Amazon CloudFront kann es Teil Ihres Content Distribution Network (CDN) sein und Ihre Ressourcen und Inhalte an Edge-Standorten schützen. AWS Server Migration Service (SMS) kann es Ihre Ursprungs-Webserver schützen, die hinter den ALBs betrieben werden. Als Teil von Amazon API Gateway kann es Ihre REST APIs sichern und schützen.
12. In welchen Regionen ist AWS WAF unter ALB verfügbar?
AWS WAF unter ALB ist in den folgenden AWS-Regionen verfügbar.
13. Ist AWS WAF HIPAA-fähig?
Ja, AWS hat sein HIPAA-Compliance-Programm auf AWS WAF als HIPAA-fähigen Service ausgeweitet. Wenn Sie eine aktive Geschäftspartnervereinbarung (Business Associate Agreement (BAA)) mit AWS haben, können Sie AWS WAF zum Schützen Ihrer Webanwendungen vor häufig auftretenden Angriffen aus dem Web schützen. Weitere Informationen finden Sie unter HIPAA-Compliance.
14. Wie werden die Preise für AWS WAF berechnet? Fallen vorab Kosten an?
Die Preise von AWS WAF basieren auf der Anzahl der von Ihnen erstellten Web-Zugriffskontrolllisten (Web-ACLs), der Anzahl der von Ihnen pro Web-ACL hinzugefügten Regeln und der Anzahl der erhaltenen Webanfragen. Es müssen keine Vorauszahlungen geleistet werden. Die Gebühren für AWS WAF sind nicht in den Preisen für Amazon CloudFront, den Preisen für Application Load Balancer (ALB) und/oder den Preisen für Amazon API Gateway enthalten.
15. Was sind ratenbasierte Regeln von AWS WAF?
Ratenbasierte Regeln sind ein neuer, in AWS WAF konfigurierbarer Regeltyp. Sie können mit dieser Funktion die Anzahl der pro Client-IP zulässigen Webanforderungen für einen nachfolgenden, kontinuierlich aktualisierten 5-Minuten-Zeitraum festlegen. Wenn eine IP-Adresse das konfigurierte Limit überschreitet, werden neue Anforderungen blockiert, bis die Anforderungsrate unter den konfigurierten Schwellenwert sinkt.
16. Worin liegt der Unterschied zwischen einer ratenbasierten Regel und einer regulären AWS WAF-Regel?
Ratenbasierte Regeln ähneln regulären Regeln, ermöglichen zusätzlich aber das Konfigurieren eines ratenbasierten Schwellenwerts. Wenn beispielsweise der Schwellenwert der ratenbasierten Regel auf 2 000 festgelegt ist, blockiert die Regel sämtliche IPs mit mehr als 2 000 Anforderungen in den vergangenen 5 Minuten. Eine tarifbasierte Regel kann auch jede andere AWS WAF-Bedingung enthalten, die für eine reguläre Regel verfügbar ist.
17. Was kostet eine ratenbasierte Regel?
Eine ratenbasierte Regel kostet genauso viel wie eine reguläre AWS WAF-Regel, nämlich monatlich pro Regel 1 USD/WebACL.
18. In welchen Fällen wird die ratenbasierte Regel angewendet?
Hier ein paar Anwendungsfälle, die Kunden mit ratenbasierten Regeln bedienen können:
- Ich möchte IP-Adressen auf die Sperrliste setzen oder zählen, wenn diese den konfigurierten Schwellenwert überschreiten (konfigurierbar in Webanforderungen pro nachfolgendem 5-Minuten-Zeitraum).
- Ich möchte wissen, welche IP-Adressen derzeit auf der Sperrliste stehen, weil sie den konfigurierten Schwellenwert überschritten haben.
- Ich möchte, dass in der Sperrliste aufgeführte IP-Adressen automatisch daraus entfernt werden, sobald sie unter den konfigurierten Schwellenwert sinken.
- Ich möchte verhindern, dass bestimmte IP-Bereiche mit hohem Datenverkehrsaufkommen durch meine ratenbasierten Regeln der Sperrliste hinzugefügt werden.
19. Sind die vorhandenen Abgleichsbedingungen mit ratenbasierten Regeln kompatibel?
Ja. Ratenbasierte Regeln sind mit den vorhandenen AWS WAF-Abgleichsbedingungen kompatibel. Sie können Ihre Übereinstimmungskriterien weiter verfeinern und ratenbasierte Migrationen zu bestimmten URLs Ihrer Website oder den Datenverkehr von bestimmten Referenzen (oder Benutzeragenten) einschränken bzw. weitere benutzerdefinierte Übereinstimmungskriterien hinzufügen.
20. Kann ich mit der ratenbasierten Regel DDoS-Angriffe auf der Webschicht vermeiden?
Ja. Dieser neue Regeltyp dient zum Schutz vor Anwendungsfällen wie DDoS-Angriffen auf der Webschicht, Brute-Force-Anmeldeversuchen und bösartigen Bots.
21. Welche Sichtbarkeitsfunktionen bieten ratenbasierte Regeln?
Ratenbasierte Regeln unterstützten alle derzeit für die regulären AWS WAF-Regeln verfügbaren Sichtbarkeitsfunktionen. Zudem bieten sie einen transparenten Einblick in die durch eine ratenbasierte Regel blockierten IP-Adressen.
22. Kann ich mit einer ratenbasierten Regel den Zugriff auf bestimmte Bereiche meiner Webseite begrenzen?
Ja. Hier ist ein Beispiel. Angenommen, Sie möchten Anforderungen an die Anmeldeseite Ihrer Website begrenzen. In diesem Fall fügen Sie einer ratenbasierten Regel die folgende Abgleichsbedingung für Zeichenfolgen hinzu:
- Der zu filternde Teil der Anforderung ist "URI".
- Der Abgleichstyp ist "Beginnt mit".
- Der zu suchende Wert ist "/login" (bzw. die Zeichenfolge, die im URI-Abschnitt der Webanforderung die Anmeldeseite identifiziert).
Zudem geben Sie ein Ratenlimit von beispielsweise 15 000 Anforderungen pro 5 Minuten an. Indem Sie die ratenbasierte Regel einer Web-ACL hinzufügen, werden die Anforderungen an Ihre Anmeldeseite pro IP-Adresse begrenzt, während Ihre restliche Website davon unberührt bleibt
23. Kann ich bestimmte IP-Bereiche mit hohem Datenverkehrsaufkommen davon ausschließen, dass sie durch meine ratenbasierten Regeln der Sperrliste hinzugefügt werden?
Ja. In diesem Fall fügen Sie der ratenbasierten Regel eine IP-Positivlisten-Bedingung hinzu.
24. Wie genau ist Ihre GeoIP-Datenbank?
Die Genauigkeit zwischen IP-Adresse und Länderlisten-Datenbank ist regionsabhängig unterschiedlich. Gemäß letzten Tests beträgt unsere Gesamtgenauigkeit für die Zuordnung von IP-Adresse zum Land 99,8 %.
1. Was sind verwaltete Regeln in AWS WAF?
Verwaltete Regeln in AWS WAF stellen eine einfache Möglichkeit dar, vorkonfigurierte Regeln bereitzustellen, um Anwendungen vor gängigen Bedrohungen wie OWASP, Bots oder sogenannten "Common Vulnerabilities and Exposures" (CVE) zu schützen. Alle verwalteten Regeln werden automatisch von Sicherheitsverkäufern auf dem AWS Marketplace aktualisiert.
2. Wie abonniere ich verwaltete Regeln?
Sie abonnieren verwaltete Regeln, die von einem Sicherheitsverkäufer auf dem Marketplace zur Verfügung gestellt werden, entweder aus der AWS WAF-Konsole oder aus dem AWS Marketplace. Alle abonnierten verwalteten Regeln können Sie einer AWS WAF-Web-ACL hinzufügen.
3. Kann ich verwaltete Regeln zusammen mit vorhandenen AWS WAF-Regeln verwenden?
Ja, Sie können verwaltete Regeln zusammen mit benutzerdefinierten AWS WAF-Regeln verwenden. Sie können verwaltete Regeln einer vorhandenen AWS WAF-Web-ACL hinzufügen, der Sie möglicherweise bereits eigene Regeln hinzugefügt haben.
4. Verfügt eine verwaltete Regel über mehrere AWS WAF-Regeln?
Ja, eine verwaltete Regel kann über mehrere AWS WAF-Regeln verfügen. Die Anzahl der Regeln hängt vom Sicherheitsverkäufer und seinem Marketplace-Produkt ab.
5. Werden verwaltete Regeln beim Grenzwert für die Anzahl der AWS WAF-Regeln berücksichtigt?
Die Anzahl der Regeln in einer verwalteten Regel wird hinsichtlich des AWS WAF-Limits nicht berücksichtigt. Jede der Web-ACL hinzugefügte verwaltete Regel zählt jedoch als eine Regel.
6. Wie deaktiviere ich verwaltete Regeln?
Sie können verwaltete Regeln jederzeit einer Web-ACL hinzufügen oder aus ihr entfernen. Verwaltete Regeln werden deaktiviert, wenn Sie sie aus Web-ACLs entfernen.
7. Wie überprüfe ich verwaltete Regeln?
AWS WAF ermöglicht Ihnen die Konfiguration einer "count"-Aktion für verwaltete Regeln. Dabei wird die Anzahl der Webanforderungen erfasst, die von den Regeln in der verwalteten Regel zugeordnet werden. Sie können anhand der gezählten Webanforderungen abschätzen, wie viele Ihrer Webanforderungen blockiert werden, wenn Sie die verwaltete Regel aktivieren.
Kostenlos bei AWS einsteigen
Kostenloses Konto erstellenSie erhalten 12 Monate lang Zugriff auf das kostenlose Nutzungskontingent von AWS sowie AWS Support-Funktionen der Stufe "Basic" mit Kundenservice rund um die Uhr, Support-Foren und vielen weiteren Vorteilen.
1. Kann ich benutzerdefinierte Fehlerseiten konfigurieren?
Ja. Sie können CloudFront so konfigurieren, dass beim Blockieren von Anforderungen eine benutzerdefinierte Fehlerseite angezeigt wird. Weitere Informationen finden Sie im CloudFront-Entwicklerhandbuch.
2. Wie lange braucht es, bis AWS WAF meine Regeln übernimmt?
Nach dem ersten Einrichten, Hinzufügen oder Ändern von Regeln sind diese normalerweise nach etwa einer Minute weltweit übernommen.
3. Wie kann ich feststellen, ob meine Regeln funktionieren?
Mit AWS WAF gibt es zwei Möglichkeiten festzustellen, wie Ihre Website geschützt ist: In CloudWatch gibt es Metriken im 1-Minuten-Intervall und in der AWS WAF-API und der Management-Konsole sind Stichproben von Webanforderungen verfügbar. Aus diesen können Sie ersehen, welche Anforderungen blockiert, zugelassen oder gezählt wurden und welche Regel für eine bestimmte Anforderung zur Anwendung kam (etwa, dass diese Webanforderung aufgrund einer IP-Adressen-Bedingung blockiert war usw.). Weitere Informationen finden Sie im AWS WAF-Entwicklerhandbuch.
4. Wie kann ich meine Regeln testen?
Mit AWS WAF können Sie eine "count"-Aktion für Regeln konfigurieren, die die Anzahl der Webanforderungen zählt, die die Bedingungen Ihrer Regel erfüllen. Sie können anhand der gezählten Webanforderungen abschätzen, wie viele Ihrer Webanforderungen bei aktivierter Regel blockiert oder zugelassen werden.
5. Wie lange werden Echtzeit-Metriken und Webanforderungen-Stichproben gespeichert?
Echtzeit-Metriken werden in Amazon CloudWatch gespeichert. Mit Amazon CloudWatch können Sie einstellen, nach welcher Zeitspanne Ereignisse ablaufen. Webanforderungen-Stichproben werden bis zu drei Stunden gespeichert.
6. Kann AWS WAF HTTPS-Datenverkehr prüfen?
Ja. AWS WAF unterstützt den Schutz von Anwendungen und kann sowohl über HTTP als auch über HTTPS übertragene Webanforderungen prüfen.