

**Wir stellen vor: ein neues Konsolenerlebnis für AWS WAF**

Sie können das aktualisierte Erlebnis jetzt verwenden, um überall in der Konsole auf AWS WAF Funktionen zuzugreifen. Weitere Informationen finden Sie unter [Arbeiten mit der Konsole](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html). 

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Auswahl und Konfiguration von Bot Control für Ihren Anwendungsfall
<a name="waf-bot-control-use-cases"></a>

Bot Control schützt vor einer Reihe automatisierter Bedrohungen. Die richtige Konfiguration hängt davon ab, was Sie schützen und welchen Bedrohungen Sie ausgesetzt sind. Verwenden Sie dieses Thema, um die richtige Schutzstufe auszuwählen und Bot Control für gängige Anwendungsszenarien zu konfigurieren.

## Bot Control an Ihre Anwendung anpassen
<a name="waf-bot-control-use-cases-scenarios"></a>

Bot-Bedrohungen lassen sich im Allgemeinen in drei Kategorien einteilen:
+ **Betrugsbedrohungen** — Credential-Stuffing, gefälschte Konten und automatisierter Einkauf.
+ **Inhaltsbedrohungen** — Auslesen von Preisdaten, Produktkatalogen und veröffentlichten Inhalten.
+ **Verfügbarkeitsbedrohungen** — Bot-Datenverkehrsvolumen, das die Leistung beeinträchtigt oder die Infrastrukturkosten erhöht.

Für die meisten dieser Bedrohungen empfehlen wir die gezielte Schutzstufe mit den SDKs für die Client-Anwendungsintegration. In den folgenden Szenarien wird beschrieben, wie Bot Control für jedes Szenario konfiguriert wird.

**Schutz der Anmelde- und Kontoseiten**  
Bei Angriffen mit Credential-Stuffing und Account-Takeover werden automatisierte Tools verwendet, um gestohlene Zugangsdaten anhand Ihrer Anmeldeendpunkte zu testen. Beim Betrug bei der Kontoerstellung werden Bots verwendet, um in großem Umfang gefälschte Konten zu erstellen. Integrieren Sie das Anwendungsintegrations-SDK auf Ihrer gesamten Website und kombinieren Sie Bot Control mit den von AWS WAF Fraud Control verwalteten Regelgruppen, um die Anmeldung und Kontoerstellung zu schützen.

**Schutz von Produktkatalogen und Preisdaten**  
Wenn Ihre Anwendung Produktinformationen, Preise, Lagerbestände oder andere Wettbewerbsdaten anzeigt, können Bots diese Inhalte durchsuchen, um Informationen von Mitbewerbern zu gewinnen, Vergleichsseiten zu erstellen oder Ihre Preisgestaltung zu unterbieten. Diese Scraper ahmen häufig echte Browser nach und wechseln zwischen privaten IP-Adressen, um nicht entdeckt zu werden. Wenden Sie Bot Control auf Ihre Produkt- und Katalogseiten an, nicht nur auf den Checkout. Auf diese Weise kann Bot Control die Verhaltensmuster des automatisierten Scrapings erkennen, selbst wenn der Bot ein normaler Browser zu sein scheint.

**Schutz veröffentlichter Inhalte**  
Herausgeber von Inhalten, Nachrichtenseiten und Medienplattformen sind mit Bots konfrontiert, die Artikel, Bilder und andere Originalinhalte kopieren. Dieser Inhaltsdiebstahl kann Ihre Platzierungen in den Suchergebnissen verwässern, die Werbeeinnahmen verringern und Ihre Wettbewerbsposition untergraben. Wenden Sie Bot Control auf Ihre Inhaltsseiten an. Verwenden Sie das Bot Control-Dashboard, um zu überwachen, welche Bots auf Ihre Inhalte zugreifen, und entscheiden Sie, wie mit den einzelnen Kategorien umgegangen werden soll. Weitere Informationen finden Sie unter [AWS WAF Komponenten von Bot Control](waf-bot-control-components.md).

**Reduzierung der Infrastrukturkosten durch unerwünschte Crawler**  
Scraper, Crawler und automatisierte Tools können ein hohes Datenverkehrsvolumen erzeugen und so Ihre Rechen- und Datenübertragungskosten erhöhen, ohne dass dadurch ein geschäftlicher Nutzen entsteht. Bot Control identifiziert selbsterklärende Bots nach Kategorien, z. B. Scraper, HTTP-Bibliotheken und Crawling-Frameworks. Anschließend können Sie jede Kategorie mithilfe von Labels unabhängig blockieren oder ihre Rate einschränken. Beim Evasive-Scraping erkennt der gezielte Schutz Bots, die ihre Identität verschleiern, einschließlich solcher, die private Proxys und Headless-Browser verwenden.

**Schutz wertvoller Transaktionen**  
Checkout-Abläufe, Käufe mit begrenztem Inventar und Ticketverkäufe sind Ziele automatisierter Einkaufs-Bots, die mit legitimen Kunden konkurrieren. Bot Control erkennt automatisierte Browser wie Selenium und Puppeteer und wendet eine Ratenbegrenzung auf Sitzungsebene an, um zu verhindern, dass ein einzelner Kunde Inventar monopolisiert. Integrieren Sie die SDKs auf Ihren Transaktionsseiten, um die höchste Erkennungsgenauigkeit zu erzielen.

**Verwaltung von KI-Crawlern und Training von Datenscrappern**  
KI-Bots sammeln Inhalte aus Ihrer Anwendung, um Modelle oder Oberflächendaten in KI-Anwendungen zu trainieren. Bot Control kategorisiert bekannte KI-Bots. Schreiben Sie benutzerdefinierte Regeln, um bestimmte KI-Bots zuzulassen, die Sie zulassen möchten, z. B. verifizierte Suchmaschinen-Crawler, und andere zu blockieren oder ihre Rate zu begrenzen. Bei KI-Agenten, die Frameworks zur Browser-Automatisierung verwenden, um mit Ihrer Anwendung zu interagieren, erkennt Bot Control diese automatisierten Sitzungen und fordert sie heraus. Mit der Web-Bot-Authentifizierung (WBA) können legitime KI-Agenten ihre Identität kryptografisch nachweisen. Dies gibt Ihnen ein zuverlässiges Signal, um autorisierte Agenten von nicht autorisierten zu unterscheiden. Weitere Informationen zu WBA finden Sie unter[Web-Bot-Authentifizierung für KI-Agenten](waf-bot-control.md#waf-bot-ai-agents).

**Schutz mobiler Anwendungen**  
Mobile Anwendungen sind ähnlichen Bot-Bedrohungen ausgesetzt wie Webanwendungen, ihr Datenverkehr weist jedoch unterschiedliche Merkmale auf. Mobile Clients verwenden Benutzeragenten, die keine Browser sind. HTTP-Anfragen von systemeigenen Frameworks für mobile Anwendungen sind von der `SignalNonBrowserUserAgent` Bot-Kontrollregel ausgenommen, nicht standardmäßige HTTP-Bibliotheken und In-App-Browser jedoch nicht. Integrieren Sie das AWS WAF Mobile SDK in Ihre iOS- oder Android-Anwendung, um die clientseitigen Token bereitzustellen, die der gezielte Schutz für eine genaue Erkennung verwendet.

## Wählen Sie zwischen allgemeinem und zielgerichtetem Schutz
<a name="waf-bot-control-choosing-level"></a>

Bot Control bietet zwei Schutzstufen. Die folgende Anleitung hilft Ihnen bei der Auswahl der richtigen Stufe für Ihre Anwendung.

**Gemeinsames Schutzniveau**  
Der allgemeine Schutz erkennt Bots, die sich anhand ihrer User-Agent-Zeichenketten, IP-Adressen und anderer Anforderungsmerkmale identifizieren. Es überprüft, ob Bots, die behaupten, von bekannten Organisationen (wie Suchmaschinen) zu stammen, tatsächlich von diesen Organisationen stammen. Der allgemeine Schutz gibt Ihnen einen Überblick darüber, wer Ihre Anwendung besucht, und ermöglicht es Ihnen, jede Bot-Kategorie unabhängig voneinander zu steuern. Die SDKs sind nicht erforderlich und die Kosten pro Anfrage sind niedriger. Common Protection ist ein guter Ausgangspunkt, wenn Sie in erster Linie bekannten Bot-Traffic verwalten müssen, z. B. das Blockieren unerwünschter Scraper, während Sie Suchmaschinen-Crawler zulassen müssen.

**Gezielte Schutzstufe**  
Die gezielte Schutzstufe erkennt alles, was die allgemeine Schutzstufe erkennt, und fügt die Erkennung von Bots hinzu, die sich nicht selbst identifizieren. Es verwendet Browserabfragen, TLS-Fingerprinting, Verhaltensheuristik und maschinelles Lernen, um automatisierte Clients von Menschen zu unterscheiden. Das maschinelle Lernen analysiert die Verkehrsmuster Ihrer spezifischen Website, einschließlich Zeitstempel, Browsereigenschaften und Navigationsverhalten. Es aktualisiert seine Erkennung, wenn sich Ihr Traffic und die Bot-Taktiken ändern. Gezielter Schutz wird für Anwendungen empfohlen, die mit Credential-Stuffing, fortgeschrittenem Scraping, automatisiertem Einkauf oder anderen Bot-Aktivitäten konfrontiert sind, bei denen der Angreifer aktiv versucht, der Entdeckung zu entgehen.

Für die meisten produktiven Webanwendungen empfehlen wir einen gezielten Schutz. Hinweise zur Konfiguration von zielgerichtetem Schutz für bestimmte Szenarien finden Sie unter[Bot Control an Ihre Anwendung anpassen](#waf-bot-control-use-cases-scenarios). Hinweise zur Kostenkontrolle bei hohem Verkehrsaufkommen finden Sie unter[Verwalten von Kosten](#waf-bot-control-cost-strategies).


|  | Allgemein | Targeted | 
| --- | --- | --- | 
| Erkennt selbstidentifizierende Bots | Ja | Ja | 
| Überprüft legitime Bots (Suchmaschinen, Überwachungsdienste) | Ja | Ja | 
| Erkennt Bots, die ihre Identität verbergen | Nein | Ja | 
| Maschinelles Lernen, das an Ihren Traffic angepasst ist | Nein | Ja | 
| Session-level Ratenbegrenzung | Nein | Ja | 
| Erkennt Tools zur Browser-Automatisierung | Ja (selbstidentifizierend) | Ja (einschließlich Ausweichmanöver) | 
| SDKs für die Integration von Client-Anwendungen | Nicht erforderlich | Dringend empfohlen | 

**Überprüfen Sie die Version Ihrer Regelgruppe**  
Die von Bot Control verwaltete Regelgruppe wird im Laufe der Zeit mit neuen Erkennungsfunktionen aktualisiert. Prüfen Sie, welche Version Sie derzeit verwenden und ob eine neuere statische Version verfügbar ist. Neuere Versionen enthalten zusätzliche Erkennungen, die Ihren Schutz vor neuen Bot-Bedrohungen erhöhen können. Sie können die verfügbaren Versionen und ihre Änderungen in der [AWS Changelog für verwaltete Regeln](aws-managed-rule-groups-changelog.md) überprüfen.

## So funktioniert die Bot Control-Erkennung
<a name="waf-bot-control-how-it-protects"></a>

Bot Control kennzeichnet jede Anfrage, die es bewertet, mit einer detaillierten Klassifizierung: Bot-Name, Kategorie, Organisation und Bestätigungsstatus. Sie schreiben Regeln, die auf diese Labels passen, um zu entscheiden, welche Maßnahmen für jeden Bot-Typ ergriffen werden sollen. Auf diese Weise haben Sie die volle Kontrolle und müssen nicht nur eine einzige Entscheidung treffen, ob Sie den gesamten Bot-Traffic zulassen oder blockieren müssen.

Auf der angestrebten Schutzebene kombiniert Bot Control mehrere Erkennungstechniken. Dazu gehören Signaturabgleich, Browserabfrage, TLS-Fingerprinting, Verhaltensheuristik und maschinelles Lernen, das auf die Verkehrsmuster Ihrer Website abgestimmt ist. Ein Bot, der sich einer Technik entzieht, kann von einer anderen abgefangen werden. Das maschinelle Lernen erkennt auch koordinierte Bot-Aktivitäten: Muster, bei denen mehrere Kunden auf eine Weise zusammenarbeiten, die bei der Analyse einzelner Anfragen nicht berücksichtigt werden würde. Eine ausführliche Beschreibung aller Bot Control-Komponenten finden Sie unter[AWS WAF Komponenten von Bot Control](waf-bot-control-components.md). Eine exemplarische Vorgehensweise zur Funktionsweise der Challenge CAPTCHA Interaktionen zwischen dem Client und finden Sie AWS WAF unter[CAPTCHAund Challenge in AWS WAF](waf-captcha-and-challenge.md).

## Verwalten von Kosten
<a name="waf-bot-control-cost-strategies"></a>

Ihre Kosten für die Verwendung der verwalteten Regelgruppe von Bot Control steigen mit der Anzahl der Webanfragen, die AWS WAF anhand dieser Regelgruppe ausgewertet werden. Bei den meisten Anwendungen sind die Kosten von Bot Control durch den Schutz gerechtfertigt, den es bietet. Das Blockieren von Bot-Traffic reduziert Ihre Rechen-, Bandbreiten- und Datenübertragungskosten, oft um mehr als die Kosten für die Inspektion selbst. Wenn Sie die Kosten weiter optimieren müssen, können Ihnen die folgenden Strategien weiterhelfen.

**Schließen Sie statische Vermögenswerte aus**  
Die einfachste Kostenoptimierung besteht darin, Anfragen für statische Dateitypen wie`.css`, `.png``.jpg`, und `.svg` von der Bot Control-Inspektion auszuschließen. Bots, die auf Ihre Anwendungsdaten und Funktionen abzielen, treffen auf dynamische Endpunkte, nicht auf Ihre Stylesheets oder Bilder. Dies reduziert die Anzahl der überprüften Anfragen, ohne die Effektivität der Erkennung zu beeinträchtigen. Ein Beispiel finden Sie unter [Beispiel für Bot Control: Verwendung von Bot Control nur für dynamische Inhalte](waf-bot-control-example-scope-down-dynamic-content.md).

**Ordnen Sie Regeln für mehr Effizienz**  
Platzieren Sie kostengünstigere Regeln vor der von Bot Control verwalteten Regelgruppe in Ihrem Schutzpaket (Web-ACL). Regeln wie IP-Reputationslisten, geografische Einschränkungen und ratenbasierte Regeln können eindeutig unerwünschten Datenverkehr blockieren, bevor er die kostenpflichtige Bot Control-Inspektion erreicht. Anfragen, die aufgrund früherer Regeln blockiert wurden, werden niemals von Bot Control bewertet, sodass für Sie keine zusätzliche Gebühr pro Anfrage anfällt.

**Greifen Sie gegebenenfalls auf bestimmte Endpunkte zu**  
Bei einigen Anwendungen möchten Sie Bot Control möglicherweise nur auf bestimmte Teile Ihrer Site anwenden. Wenn Ihre Anwendung beispielsweise über einen Bereich mit öffentlichen Informationen verfügt, der keine sensiblen Daten oder wertvollen Inhalte enthält, können Sie ihn von der Prüfung ausschließen. Achten Sie darauf, Seiten mit schützenswerten Inhalten wie Produktkatalogen, Preisdaten oder veröffentlichten Artikeln nicht auszuschließen. Ein Beispiel finden Sie unter [Beispiel für Bot Control: Bot Control nur für die Anmeldeseite verwenden](waf-bot-control-example-scope-down-login.md).

## Integration der SDKs zur Integration von Client-Anwendungen
<a name="waf-bot-control-sdk-guidance"></a>

Verwenden Sie die SDKs JavaScript und Mobile SDKs, um die Effektivität des gezielten Schutzes zu maximieren. Die SDKs bieten Browser-Fingerprinting, Challenge-Token-Management und verhaltensorientierte Telemetrie, die gezielte Regeln zur Erkennung auf Sitzungsebene verwenden. Eine Sitzung wird hier durch das Client-Token identifiziert, das das SDK abruft und das für einen bestimmten Browser oder ein bestimmtes Gerät steht. Ohne die SDKs hat der gezielte Schutz viel weniger Kontext und kann fortgeschrittene Bots nicht zuverlässig von legitimen Benutzern unterscheiden.

**Integrieren Sie das SDK von Anfang an**  
Wenn Sie gezielten Schutz bereitstellen, integrieren Sie die SDKs gleichzeitig. Dies gilt unabhängig davon, ob Sie Bot Control in einer Produktionsumgebung einsetzen oder Bot Control in einer Testumgebung testen. Wenn Sie zielgerichteten Schutz ohne die SDKs bewerten, erhalten Sie kein genaues Bild von dessen Erkennungsmöglichkeiten, da viele der gezielten Regeln von den clientseitigen Signalen abhängen, die nur die SDKs liefern.

**Eine breite Integration wird empfohlen**  
Für eine optimale Erkennung sollten Sie das JavaScript SDK auf allen Seiten integrieren, die dynamische Inhalte bereitstellen, nicht nur beim Anmelden oder Auschecken. Bot Control erstellt Verhaltensprofile anhand der Art und Weise, wie Kunden in Ihrer Anwendung navigieren, einschließlich des Zeitpunkts von Anfragen, Seitensequenzen und Interaktionsmustern. Wenn das SDK nur auf einer einzigen Seite vorhanden ist, verfügt Bot Control nur über einen begrenzten Verhaltenskontext, um einen echten Benutzer von einem Bot zu unterscheiden, der gelernt hat, das Laden einer Seite nachzuahmen. Durch eine umfassendere Integration erhält Bot Control ein umfassenderes Bild von jeder Clientsitzung, was die Erkennung von fortgeschrittenen Bots wie Proxy-Botnetzen für Privatanwender verbessert. Integrieren Sie das SDK mindestens auf Ihren kritischsten Seiten, betrachten Sie dies jedoch als Ausgangspunkt und nicht als Endzustand.

**Mobile Anwendungen**  
Verwenden Sie für iOS- und Android-Anwendungen das AWS WAF Mobile SDK. Das Mobile SDK kümmert sich um den Erwerb und die Verlängerung von Token innerhalb Ihrer App. Weitere Informationen zu den SDKs finden Sie unter [Integrationen von Client-Anwendungen in AWS WAF](waf-application-integration.md).

## Allgemeine Konfigurationsanpassungen
<a name="waf-bot-control-common-adjustments"></a>

Die meisten Bot Control-Implementierungen erfordern einige Konfigurationsanpassungen, um den spezifischen Merkmalen Ihres Anwendungsdatenverkehrs gerecht zu werden. Im Folgenden sind die häufigsten Anpassungen aufgeführt.

**Ermöglicht Tools zur Überwachung und Überprüfung des Systemzustands**  
Interne Überwachungstools, Verfügbarkeitsüberprüfungen und Integritätsprüfungen für den Load Balancer generieren automatisierten Datenverkehr, den Bot Control möglicherweise als Bot-Aktivität identifiziert. Schließen Sie diese Anfragen von der Bot-Control-Inspektion aus, indem Sie eine Scopedown-Aussage verwenden, die mit dem Quell-IP-Adressbereich übereinstimmt, oder einen benutzerdefinierten Header, den Ihre Überwachungstools enthalten.

**Ausgenommen In-App-Browser und nicht standardmäßige HTTP-Bibliotheken**  
Wenn Benutzer über In-App-Browser auf Ihre Website zugreifen, z. B. über Links, die in Social-Media-Apps geöffnet werden, oder wenn Ihre mobile App eine nicht standardmäßige HTTP-Bibliothek verwendet, können diese Clients die Regel auslösen. `SignalNonBrowserUserAgent` Standardmäßige native mobile Frameworks sind von dieser Regel ausgenommen, andere Benutzeragenten, die keine Browser sind, jedoch nicht. Konfigurieren Sie für diese Clients eine User-Agent-Ausnahme in der Regelgruppe Bot Control. Ein Beispiel finden Sie unter [Beispiel für Bot Control: Eine Ausnahme für einen blockierten Benutzeragenten erstellen](waf-bot-control-example-user-agent-exception.md).

**Verifizierte Bot-Crawler verwalten**  
Bot Control erlaubt standardmäßig verifizierte Bots. Wenn du auch verifizierte Crawler mit einer Ratenbegrenzung versehen möchtest, um beispielsweise die Belastung durch aggressives, aber legitimes Suchmaschinen-Crawling zu reduzieren, verwende die Bot-Labels, um benutzerdefinierte ratenbasierte Regeln zu schreiben, die die Anfragerate für bestimmte verifizierte Bot-Kategorien begrenzen. Ein Beispiel finden Sie unter [Beispiel für Bot-Kontrolle: Verifizierte Bots explizit zulassen](waf-bot-control-example-allow-verified-bots.md).

**Bot-Signale an Ihren Ursprung weiterleiten**  
Sie können Bot Control-Klassifizierungsetiketten als benutzerdefinierte Anforderungsheader an Ihre Anwendung weitergeben. Ihr Absender kann die Labels dann verwenden, um mutmaßlichen Scrapern vereinfachte Inhalte bereitzustellen, Bot-Aktivitäten in Ihren eigenen Analysen zu protokollieren oder eine Anfrage-ID in Blockseiten für Falschmeldungen aufzunehmen. Verwende die Funktion für AWS WAF benutzerdefinierte Anforderungsheader, um Header einzufügen, die auf übereinstimmenden Bezeichnungen basieren. Weitere Informationen zu dynamischen Labelwerten in Headern finden Sie unter. [Maßgeschneiderte Webanfragen und Antworten in AWS WAF](waf-custom-request-response.md)

**Auslösen der Step-Up-Authentifizierung**  
Anstatt verdächtigen Datenverkehr sofort zu blockieren, können Sie Bot Control-Signale an Ihre Anwendung weiterleiten und sie verwenden, um eine zusätzliche Überprüfung auszulösen. Wenn Bot Control beispielsweise eine Sitzung als verdächtig kennzeichnet, kann Ihre Anwendung eine Multi-Faktor-Authentifizierung erfordern oder einen zusätzlichen Bestätigungsschritt durchführen, bevor eine vertrauliche Aktion ausgeführt wird. Step-up Die Authentifizierung reduziert die Auswirkungen von Fehlalarmen und schützt gleichzeitig vor automatisierten Bedrohungen. Verwenden Sie benutzerdefinierte Anforderungsheader, um die entsprechenden Bot Control-Labels an Ihren Absender weiterzuleiten.

**Testen vor der Durchsetzung**  
Stellen Sie Bot Control immer zuerst im Zählmodus bereit. Im Zählmodus kennzeichnet Bot Control alle Anfragen, blockiert jedoch keinen Datenverkehr. Überprüfen Sie die Labels in Ihren AWS WAF Logs, um zu verstehen, was Bot Control in Ihrem Traffic entdeckt, stellen Sie sicher, dass legitimer Traffic nicht falsch gekennzeichnet ist, und wechseln Sie dann in den Blockmodus, sobald Sie sich der Genauigkeit der Erkennung sicher sind. Eine ausführliche Anleitung zum Testen und Bereitstellen finden Sie unter[Testen und Bereitstellen von AWS WAF Bot Control](waf-bot-control-deploying.md).

**Bereitstellung hinter einem CDN oder Reverse-Proxy**  
Wenn sich Ihre Anwendung hinter einem CDN eines Drittanbieters befindet, wird standardmäßig AWS WAF die IP-Adresse des CDN als Client verwendet. Die von Bot Control verwaltete Regelgruppe erkennt Traffic von Amazon CloudFront, Cloudflare und Fastly automatisch und verwendet stattdessen die ursprüngliche Client-IP aus dem Standard-Client-IP-Header des CDN. Sowohl die allgemeine Schutzstufe als auch die gezielte Schutzstufe verwenden diese Erkennung, einschließlich der Ratenbegrenzung auf Sitzungsebene und der Regeln zur gezielten Bot-Erkennung, die von der genauen Kundenidentität abhängen. Für diese CDNs benötigen Sie keine zusätzliche Konfiguration für weitergeleitete IP-Adressen in der Regelgruppe Bot Control. Für andere Regelanweisungen in Ihrem Schutzpaket (Web-ACL), die IP-Adressen verwenden, wie z. B. Ihre benutzerdefinierten Regeln für IP-Set-Abgleich, Geo-Match, ASN-Match und ratenbasierte Regeln, konfigurieren Sie sie mit einer Konfiguration für weitergeleitete IP-Adressen, wenn Sie möchten, dass sie die Upstream-Client-IP auswerten. Hinweise zu weitergeleiteten IP-Adressen finden Sie unter. [Verwendung weitergeleiteter IP-Adressen in AWS WAF](waf-rule-statement-forwarded-ip-address.md) Wenn sich Ihre Anwendung hinter einem anderen Reverse-Proxy oder einem CDN befindet, das Bot Control nicht automatisch erkennt, konfigurieren Sie Ihren Reverse-Proxy so, dass er die Client-IP in einem Header weiterleitet, z. B. `X-Forwarded-For` und verwenden Sie eine weitergeleitete IP-Konfiguration für die Regelanweisungen, die IP-Adressen auswerten.