Aggregieren von ratenbasierten Regeln in AWS WAF - AWS WAFAWS Firewall Manager, und AWS Shield Advanced

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Aggregieren von ratenbasierten Regeln in AWS WAF

In diesem Abschnitt werden Ihre Optionen für die Aggregation von Anfragen erläutert.

Standardmäßig aggregiert und begrenzt eine ratenbasierte Regel Anfragen auf der Grundlage der IP-Adresse der Anfrage. Sie können die Regel so konfigurieren, dass sie verschiedene andere Aggregationsschlüssel und Tastenkombinationen verwendet. Sie können beispielsweise auf der Grundlage einer weitergeleiteten IP-Adresse, der HTTP Methode oder eines Abfragearguments aggregieren. Sie können auch Aggregationsschlüsselkombinationen wie IP-Adresse und HTTP Methode oder die Werte von zwei verschiedenen Cookies angeben.

Anmerkung

Alle Anforderungskomponenten, die Sie im Aggregationsschlüssel angeben, müssen in einer Webanforderung vorhanden sein, damit die Anforderung ausgewertet oder die Rate durch die Regel begrenzt wird.

Sie können Ihre ratenbasierte Regel mit den folgenden Aggregationsoptionen konfigurieren.

  • Quell-IP-Adresse — Aggregieren Sie, indem Sie nur die IP-Adresse verwenden, aus der die Webanfrage stammt.

    Die Quell-IP-Adresse enthält möglicherweise nicht die Adresse des ursprünglichen Clients. Wenn eine Webanfrage einen oder mehrere Proxys oder Load Balancer durchläuft, enthält diese die Adresse des letzten Proxys.

  • IP-Adresse im Header — Aggregiert, indem nur eine Client-Adresse in einem Header verwendet wird. HTTP Dies wird auch als weitergeleitete IP-Adresse bezeichnet.

    Mit dieser Konfiguration geben Sie auch ein Fallback-Verhalten an, das auf eine Webanfrage mit einer falsch formatierten IP-Adresse im Header angewendet wird. Das Fallback-Verhalten legt das Übereinstimmungsergebnis für die Anforderung fest, auf Übereinstimmgung oder keine Übereinstimmung. Wenn keine Übereinstimmung vorliegt, zählt die ratenbasierte Regel die Anfrage nicht und begrenzt sie auch nicht auf die Rate. Bei Übereinstimmung gruppiert die ratenbasierte Regel die Anfrage zusammen mit anderen Anfragen, deren IP-Adresse im angegebenen Header falsch formatiert ist.

    Gehen Sie bei dieser Option vorsichtig vor, da Header von Proxys inkonsistent verarbeitet werden können und sie auch geändert werden können, um die Überprüfung zu umgehen. Weitere Informationen und bewährte Methoden finden Sie unter. Verwendung weitergeleiteter IP-Adressen in AWS WAF

  • Alle zählen — Zählt und begrenzt die Rate aller Anfragen, die dem Geltungsbereich der Regel entsprechen. Für diese Option ist eine Scope-down-Aussage erforderlich. Diese Option wird in der Regel verwendet, um die Rate einer bestimmten Gruppe von Anfragen zu begrenzen, z. B. für alle Anfragen mit einer bestimmten Bezeichnung oder für alle Anfragen aus einem bestimmten geografischen Gebiet.

  • Benutzerdefinierte Schlüssel — Aggregieren Sie mithilfe eines oder mehrerer benutzerdefinierter Aggregationsschlüssel. Um eine der IP-Adressoptionen mit anderen Aggregationsschlüsseln zu kombinieren, definieren Sie sie hier unter benutzerdefinierte Schlüssel.

    Benutzerdefinierte Aggregationsschlüssel sind eine Teilmenge der unter beschriebenen Optionen für Webanforderungskomponenten. Komponenten anfordern in AWS WAF

    Die wichtigsten Optionen sind die folgenden. Sofern nicht anders angegeben, können Sie eine Option mehrfach verwenden, z. B. zwei Header oder drei Label-Namespaces.

    • Label-Namespace — Verwenden Sie einen Label-Namespace als Aggregationsschlüssel. Jeder eindeutige vollqualifizierte Labelname, der den angegebenen Label-Namespace hat, trägt zur Aggregationsinstanz bei. Wenn Sie nur einen Label-Namespace als Ihren benutzerdefinierten Schlüssel verwenden, definiert jeder Labelname eine Aggregationsinstanz vollständig.

      Die ratenbasierte Regel verwendet nur Labels, die der Anfrage durch Regeln hinzugefügt wurden, die zuvor im Internet ausgewertet wurden. ACL

      Informationen zu Label-Namespaces und Namen finden Sie unter. Anforderungen an Labelsyntax und Benennung in AWS WAF

    • Header — Verwenden Sie einen benannten Header als Aggregationsschlüssel. Jeder eindeutige Wert im Header trägt zur Aggregationsinstanz bei.

      Der Header benötigt eine optionale Texttransformation. Siehe Verwenden von Texttransformationen in AWS WAF.

    • Cookie — Verwenden Sie ein benanntes Cookie als Aggregationsschlüssel. Jeder eindeutige Wert im Cookie trägt zur Aggregationsinstanz bei.

      Das Cookie benötigt eine optionale Texttransformation. Siehe Verwenden von Texttransformationen in AWS WAF.

    • Abfrageargument — Verwenden Sie ein einzelnes Abfrageargument in der Anfrage als Aggregatschlüssel. Jeder eindeutige Wert für das benannte Abfrageargument trägt zur Aggregationsinstanz bei.

      Für das Abfrageargument ist eine optionale Texttransformation erforderlich. Siehe Verwenden von Texttransformationen in AWS WAF.

    • Abfragezeichenfolge — Verwenden Sie die gesamte Abfragezeichenfolge in der Anfrage als Aggregatschlüssel. Jede einzelne Abfragezeichenfolge trägt zur Aggregationsinstanz bei. Sie können diesen Schlüsseltyp einmal verwenden.

      Für die Abfragezeichenfolge ist eine optionale Texttransformation erforderlich. Siehe Verwenden von Texttransformationen in AWS WAF.

    • URIPfad — Verwenden Sie den URI Pfad in der Anfrage als Aggregatschlüssel. Jeder einzelne URI Pfad trägt zur Aggregationsinstanz bei. Sie können diesen Schlüsseltyp einmal verwenden.

      URIpath benötigt eine optionale Texttransformation. Siehe Verwenden von Texttransformationen in AWS WAF.

    • HTTPMethode — Verwenden Sie die HTTP Methode der Anfrage als Aggregatschlüssel. Jede einzelne HTTP Methode trägt zur Aggregationsinstanz bei. Sie können diesen Schlüsseltyp einmal verwenden.

    • IP-Adresse — Aggregiert, indem die IP-Adresse aus dem Ursprung der Webanfrage in Kombination mit anderen Schlüsseln verwendet wird.

      Dies enthält möglicherweise nicht die Adresse des ursprünglichen Clients. Wenn eine Webanfrage einen oder mehrere Proxys oder Load Balancer durchläuft, enthält diese die Adresse des letzten Proxys.

    • IP-Adresse im Header — Aggregiert, indem die Client-Adresse in einem HTTP Header in Kombination mit anderen Schlüsseln verwendet wird. Dies wird auch als weitergeleitete IP-Adresse bezeichnet.

      Gehen Sie bei dieser Option vorsichtig vor, da Header von Proxys inkonsistent behandelt werden können und sie so geändert werden können, dass sie die Überprüfung umgehen. Weitere Informationen und bewährte Methoden finden Sie unter. Verwendung weitergeleiteter IP-Adressen in AWS WAF