Aplicación de límites de tasas a las solicitudes en AWS WAF
En esta sección, se explica cómo funciona el comportamiento limitante de las tasas en las reglas basadas en tasas.
Los criterios que AWS WAF utiliza para las solicitudes de una regla basada en tasas son los mismos que AWS WAF utiliza para agregar las solicitudes de la regla. Si especifica una instrucción de restricción de acceso para la regla, AWS WAF solo agrega, cuenta y limita las tasas de las solicitudes que coinciden con la instrucción de restricción de acceso.
Los criterios de coincidencia que hacen que una regla basada en tasas aplique su configuración de acción de regla a una solicitud web específica son los siguientes:
-
La solicitud web coincide con la instrucción de restricción de acceso de la regla, si se ha definido alguna.
-
La solicitud web pertenece a una instancia de agregación cuyo recuento de solicitudes supera actualmente el límite de la regla.
Cómo AWS WAF aplica la acción de la regla
Cuando una regla basada en tasas aplica un límite de tasas a una solicitud, aplica la acción de la regla y, si ha definido alguna gestión o etiquetado personalizados en la especificación de la acción, la regla los aplica. Esta gestión de solicitudes es la misma que la forma en que una regla de coincidencia aplica su configuración de acciones a las solicitudes web coincidentes. Una regla basada en tasas solo aplica etiquetas o realiza otras acciones a las solicitudes cuya tasa está limitando activamente.
Puede utilizar cualquier acción de regla excepto Allow. Para obtener información general sobre las acciones de las reglas, consulte Utilización de acciones de reglas en AWS WAF.
La siguiente lista describe cómo funciona la limitación de tasas para cada una de las acciones.
-
Block: AWS WAF bloquea la solicitud y aplica cualquier comportamiento de bloqueo personalizado que haya definido.
-
Count: AWS WAF cuenta la solicitud, aplica los encabezados o etiquetas personalizados que haya definido y continúa con la evaluación de la ACL web de la solicitud.
Esta acción no limita la tasa de solicitudes. Solo cuenta las solicitudes que superan el límite.
-
CAPTCHA o Challenge: AWS WAF gestiona la solicitud como Block o como Count, según el estado del token de la solicitud.
Esta acción no limita la tasa de solicitudes que tiene tókenes válidos. Limita la tasa de solicitudes que superan el límite y que, además, carecen de tókenes válidos.
-
Si la solicitud no tiene un token válido y vigente, la acción bloquea la solicitud y envía al cliente el rompecabezas de CAPTCHA o el desafío del navegador.
Si el navegador del usuario final o del cliente responde correctamente, el cliente recibe un token válido y reenvía automáticamente la solicitud original. Si el límite de velocidad para la instancia de agregación sigue en vigor, a esta nueva solicitud con el token válido y vigente se le aplicará la acción que se describe en el siguiente punto.
-
Si la solicitud tiene un token válido y vigente, la acción CAPTCHA o Challenge verifica el token y no realiza ninguna acción a la solicitud, similar a la acción Count. La regla basada en tasas devuelve la evaluación de la solicitud a la ACL web sin tomar ninguna medida de finalización y la ACL web continúa con la evaluación de la solicitud.
Para obtener información adicional, consulte Uso de CAPTCHA y Challenge en AWS WAF.
-
Si limita la tasa solo a la dirección IP o la dirección IP reenviada
Al configurar la regla para limitar la tasa únicamente a la dirección IP reenviada, podrá recuperar la lista de direcciones IP que la regla está limitando actualmente. Si está utilizando una instrucción de restricción de acceso, las solicitudes que tienen una tasa limitada son solo las de la lista de direcciones IP que coinciden con la instrucción de restricción de acceso. Para obtener información sobre cómo recuperar la lista de direcciones IP, consulte Lista de direcciones IP cuyas tasas están limitada por reglas basadas en tasas.
