Optionen und Schlüssel zur ratenbasierten Regelaggregation - AWS WAFAWS Firewall Manager, und AWS Shield Advanced

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Optionen und Schlüssel zur ratenbasierten Regelaggregation

Standardmäßig aggregiert und begrenzt eine ratenbasierte Regel Anfragen auf der Grundlage der Anfrage-IP-Adresse. Sie können die Regel so konfigurieren, dass sie verschiedene andere Aggregationsschlüssel und Tastenkombinationen verwendet. Sie können beispielsweise auf der Grundlage einer weitergeleiteten IP-Adresse, der HTTP-Methode oder eines Abfragearguments aggregieren. Sie können auch Aggregationsschlüsselkombinationen wie IP-Adresse und HTTP-Methode oder die Werte von zwei verschiedenen Cookies angeben.

Anmerkung

Alle Anforderungskomponenten, die Sie im Aggregationsschlüssel angeben, müssen in einer Webanforderung vorhanden sein, damit die Anforderung ausgewertet oder die Rate durch die Regel begrenzt wird.

Sie können Ihre ratenbasierte Regel mit den folgenden Aggregationsoptionen konfigurieren.

  • Quell-IP-Adresse — Aggregieren Sie, indem Sie nur die IP-Adresse verwenden, aus der die Webanfrage stammt.

    Die Quell-IP-Adresse enthält möglicherweise nicht die Adresse des ursprünglichen Clients. Wenn eine Webanfrage einen oder mehrere Proxys oder Load Balancer durchläuft, enthält diese die Adresse des letzten Proxys.

  • IP-Adresse im Header — Aggregiert, wobei nur eine Clientadresse in einem HTTP-Header verwendet wird. Dies wird auch als weitergeleitete IP-Adresse bezeichnet.

    Mit dieser Konfiguration geben Sie auch ein Fallback-Verhalten an, das auf eine Webanfrage mit einer falsch formatierten IP-Adresse im Header angewendet wird. Das Fallback-Verhalten legt das Übereinstimmungsergebnis für die Anforderung fest, auf Übereinstimmgung oder keine Übereinstimmung. Wenn keine Übereinstimmung vorliegt, zählt die ratenbasierte Regel die Anfrage nicht und begrenzt sie auch nicht auf die Rate. Bei Übereinstimmung gruppiert die ratenbasierte Regel die Anfrage zusammen mit anderen Anfragen, deren IP-Adresse im angegebenen Header falsch formatiert ist.

    Gehen Sie bei dieser Option vorsichtig vor, da Header von Proxys inkonsistent verarbeitet werden können und sie auch geändert werden können, um die Überprüfung zu umgehen. Weitere Informationen und bewährte Methoden finden Sie unter. Weitergeleitete IP-Adresse

  • Alle zählen — Zählt und begrenzt die Rate aller Anfragen, die dem Geltungsbereich der Regel entsprechen. Für diese Option ist eine Scope-down-Aussage erforderlich. Diese Option wird in der Regel verwendet, um die Rate einer bestimmten Gruppe von Anfragen zu begrenzen, z. B. für alle Anfragen mit einer bestimmten Bezeichnung oder für alle Anfragen aus einem bestimmten geografischen Gebiet.

  • Benutzerdefinierte Schlüssel — Aggregieren Sie mithilfe eines oder mehrerer benutzerdefinierter Aggregationsschlüssel. Um eine der IP-Adressoptionen mit anderen Aggregationsschlüsseln zu kombinieren, definieren Sie sie hier unter benutzerdefinierte Schlüssel.

    Benutzerdefinierte Aggregationsschlüssel sind eine Teilmenge der unter beschriebenen Optionen für Webanforderungskomponenten. Anforderungskomponentenoptionen

    Die wichtigsten Optionen sind die folgenden. Sofern nicht anders angegeben, können Sie eine Option mehrfach verwenden, z. B. zwei Header oder drei Label-Namespaces.

    • Label-Namespace — Verwenden Sie einen Label-Namespace als Aggregationsschlüssel. Jeder eindeutige vollqualifizierte Labelname, der den angegebenen Label-Namespace hat, trägt zur Aggregationsinstanz bei. Wenn Sie nur einen Label-Namespace als Ihren benutzerdefinierten Schlüssel verwenden, definiert jeder Labelname eine Aggregationsinstanz vollständig.

      Die ratenbasierte Regel verwendet nur Labels, die der Anforderung durch Regeln hinzugefügt wurden, die zuvor in der Web-ACL ausgewertet wurden.

      Hinweise zu Label-Namespaces und Namen finden Sie unter. AWS WAF Anforderungen an die Labelsyntax und die Benennung

    • Header — Verwenden Sie einen benannten Header als Aggregationsschlüssel. Jeder eindeutige Wert im Header trägt zur Aggregationsinstanz bei.

      Der Header benötigt eine optionale Texttransformation. Siehe Optionen für die Texttransformation.

    • Cookie — Verwenden Sie ein benanntes Cookie als Aggregationsschlüssel. Jeder eindeutige Wert im Cookie trägt zur Aggregationsinstanz bei.

      Das Cookie benötigt eine optionale Texttransformation. Siehe Optionen für die Texttransformation.

    • Abfrageargument — Verwenden Sie ein einzelnes Abfrageargument in der Anfrage als Aggregatschlüssel. Jeder eindeutige Wert für das benannte Abfrageargument trägt zur Aggregationsinstanz bei.

      Für das Abfrageargument ist eine optionale Texttransformation erforderlich. Siehe Optionen für die Texttransformation.

    • Abfragezeichenfolge — Verwenden Sie die gesamte Abfragezeichenfolge in der Anfrage als Aggregatschlüssel. Jede einzelne Abfragezeichenfolge trägt zur Aggregationsinstanz bei. Sie können diesen Schlüsseltyp einmal verwenden.

      Für die Abfragezeichenfolge ist eine optionale Texttransformation erforderlich. Siehe Optionen für die Texttransformation.

    • URI-Pfad — Verwenden Sie den URI-Pfad in der Anfrage als Aggregatschlüssel. Jeder eindeutige URI-Pfad trägt zur Aggregationsinstanz bei. Sie können diesen Schlüsseltyp einmal verwenden.

      Für den URI-Pfad ist eine optionale Texttransformation erforderlich. Siehe Optionen für die Texttransformation.

    • HTTP-Methode — Verwenden Sie die HTTP-Methode der Anfrage als Aggregatschlüssel. Jede einzelne HTTP-Methode trägt zur Aggregationsinstanz bei. Sie können diesen Schlüsseltyp einmal verwenden.

    • IP-Adresse — Aggregiert, indem die IP-Adresse aus dem Ursprung der Webanfrage in Kombination mit anderen Schlüsseln verwendet wird.

      Dies enthält möglicherweise nicht die Adresse des ursprünglichen Clients. Wenn eine Webanfrage einen oder mehrere Proxys oder Load Balancer durchläuft, enthält diese die Adresse des letzten Proxys.

    • IP-Adresse im Header — Aggregiert, indem die Client-Adresse in einem HTTP-Header in Kombination mit anderen Schlüsseln verwendet wird. Dies wird auch als weitergeleitete IP-Adresse bezeichnet.

      Gehen Sie bei dieser Option vorsichtig vor, da Header von Proxys inkonsistent behandelt werden können und sie so geändert werden können, dass sie die Überprüfung umgehen. Weitere Informationen und bewährte Methoden finden Sie unter. Weitergeleitete IP-Adresse