Agregado de reglas basadas en tasas en AWS WAF - AWS WAF, AWS Firewall Manager, y AWS Shield Advanced

Agregado de reglas basadas en tasas en AWS WAF

En esta sección, se explican las opciones para agregar solicitudes.

De forma predeterminada, una regla basada en tasas agrega y limita las tasas de las solicitudes en función de la dirección IP de la solicitud. Puede configurar la regla para que utilice otras claves de agregación y combinaciones de claves. Por ejemplo, puede agregar en función de una dirección IP reenviada, el método HTTP o un argumento de consulta. También puede especificar combinaciones de claves de agregación, como la dirección IP y el método HTTP, o los valores de dos cookies diferentes.

nota

Todos los componentes de la solicitud que especifique en la clave de agregación deben estar presentes en una solicitud web para que la solicitud se evalúe o se limite su tasa según la regla.

Puede configurar la regla basada en tasas con las siguientes opciones de agregación.

  • Dirección IP de origen: agregue usando solo la dirección IP del origen de la solicitud web.

    Es posible que la dirección IP de origen no contenga la dirección del cliente de origen. Si una solicitud web pasa por uno o más proxies o equilibradores de carga, contendrá la dirección del último proxy.

  • Dirección IP en encabezado: agregue solo una dirección de cliente en un encabezado HTTP. También se denomina dirección IP reenviada.

    Con esta configuración, también se especifica un comportamiento alternativo para aplicarlo a una solicitud web con una dirección IP con un formato incorrecto en el encabezado. El comportamiento alternativo establece que el resultado de la solicitud coincide o no coincide. Si no hay coincidencia, la regla basada en tasas no cuenta ni limita la tasa de la solicitud. En caso de coincidencia, la regla basada en tasas agrupa la solicitud junto con otras solicitudes que tienen una dirección IP con formato incorrecto en el encabezado especificado.

    Tenga cuidado con esta opción porque que los proxies pueden gestionar los encabezados de forma incoherente y, además, pueden modificarse para evitar la inspección. Consulte Uso de direcciones IP reenviadas en AWS WAF para obtener más información y las prácticas recomendadas.

  • Contar todas: cuente y limite las tasas de todas las solicitudes que coincidan con la instrucción de restricción de acceso de la regla. Esta opción requiere una instrucción de restricción de acceso. Por lo general, se usa para limitar las tasas de un conjunto específico de solicitudes, como todas las solicitudes con una etiqueta específica o todas las solicitudes de un área geográfica específica.

  • Claves personalizadas: agréguelas mediante una o más claves de agregación personalizadas. Para combinar cualquiera de las opciones de direcciones IP con otras claves de agregación, defínalas aquí en las claves personalizadas.

    Las claves de agregación personalizadas son un subconjunto de las opciones de los componentes de solicitudes web que se describen en Componentes de la solicitud en AWS WAF.

    Las opciones principales son las siguientes. Excepto donde se indique lo contrario, puede usar una opción varias veces, por ejemplo, dos encabezados o tres espacios de nombres de etiquetas.

    • Espacio de nombres de etiquetas: utilice un espacio de nombres de etiquetas como una clave de agregación. Cada nombre de etiqueta totalmente cualificado que tenga el espacio de nombres de etiqueta especificado contribuye a la instancia de agregación. Si usa solo un espacio de nombres de etiquetas como clave personalizada, cada nombre de etiqueta define completamente una instancia de agregación.

      La regla basada en tasas usa solo las etiquetas que se han agregado a la solicitud mediante reglas que se han evaluado de antemano en la ACL web.

      Para obtener información acerca de los espacios de nombres y los nombres de las etiquetas, consulte Requisitos de sintaxis de etiquetas y nomenclatura en AWS WAF.

    • Encabezado: utilice un encabezado con nombre como clave de agregación. Cada valor distinto del encabezado contribuye a la instancia de agregación.

      El encabezado realiza una transformación de texto opcional. Consulte Uso de transformaciones de texto en AWS WAF.

    • Cookie: utilice una cookie con nombre como clave de agregación. Cada valor distinto de la cookie contribuye a la instancia de agregación.

      La cookie realiza una transformación de texto opcional. Consulte Uso de transformaciones de texto en AWS WAF.

    • Argumento de consulta: utilice un único argumento de consulta en la solicitud como clave de agregación. Cada valor distinto del argumento de consulta mencionado contribuye a la instancia de agregación.

      El argumento de consulta realiza una transformación de texto opcional. Consulte Uso de transformaciones de texto en AWS WAF.

    • Cadena de consulta: utilice toda la cadena de consulta de la solicitud como clave de agregación. Cada cadena de consulta distinta contribuye a la instancia de agregación. Puede usar este tipo de clave una vez.

      La cadena de consulta realiza una transformación de texto opcional. Consulte Uso de transformaciones de texto en AWS WAF.

    • Ruta de URI: use la ruta de URI de la solicitud como clave agregada. Cada ruta del URI diferente contribuye a la instancia de agregación. Puede usar este tipo de clave una vez.

      La ruta del URI realiza una transformación de texto opcional. Consulte Uso de transformaciones de texto en AWS WAF.

    • Método HTTP: use el método HTTP de la solicitud como clave de agregación. Cada método de HTTP diferenciado contribuye a la instancia de agregación. Puede usar este tipo de clave una vez.

    • Dirección IP: agregue usando la dirección IP del origen de la solicitud web en combinación con otras claves.

      Es posible que no contenga la dirección del cliente de origen. Si una solicitud web pasa por uno o más proxies o equilibradores de carga, contendrá la dirección del último proxy.

    • Dirección IP en el encabezado: agregue la dirección del cliente en un encabezado HTTP en combinación con otras claves. También se denomina dirección IP reenviada.

      Tenga cuidado con esta opción, ya que los proxies pueden gestionar los encabezados de forma incoherente y pueden modificarse para evitar la inspección. Consulte Uso de direcciones IP reenviadas en AWS WAF para obtener más información y las prácticas recomendadas.