Débit : limitez les demandes avec des étiquettes spécifiques - AWS WAF, AWS Firewall Manager, et AWS Shield Advanced

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Débit : limitez les demandes avec des étiquettes spécifiques

Pour limiter le nombre de demandes de différentes catégories, vous pouvez combiner la limitation de débit avec n'importe quelle règle ou groupe de règles qui ajoute des étiquettes aux demandes. Pour ce faire, configurez votre site Web ACL comme suit :

  • Ajoutez les règles ou les groupes de règles qui ajoutent des étiquettes, et configurez-les de manière à ce qu'ils ne bloquent pas ou n'autorisent pas les demandes pour lesquelles vous souhaitez limiter le débit. Si vous utilisez des groupes de règles gérés, vous devrez peut-être remplacer certaines actions des règles des groupes de règles pour Count pour obtenir ce comportement.

  • Ajoutez une règle basée sur le taux à votre site Web ACL avec un paramètre de numéro de priorité supérieur aux règles d'étiquetage et aux groupes de règles. AWS WAF évalue les règles par ordre numérique, en commençant par le plus bas, afin que votre règle basée sur les taux soit exécutée après les règles d'étiquetage. Configurez votre limite de débit sur les étiquettes en combinant la correspondance des étiquettes dans l'énoncé de portée réduite de la règle et l'agrégation d'étiquettes.

L'exemple suivant utilise la liste de réputation IP d'Amazon. AWS Groupe de règles gérées. La règle du groupe de règles AWSManagedIPDDoSList détecte et étiquette les demandes dont IPs on sait qu'elles participent activement à DDoS des activités. L'action de la règle est configurée pour Count dans la définition du groupe de règles. Pour plus d'informations sur le groupe de règles, consultezGroupe de règles géré par Amazon IP Reputation.

La ACL JSON liste Web suivante utilise le groupe de règles de réputation IP suivi d'une règle basée sur le taux de correspondance des étiquettes. La règle basée sur le taux utilise une instruction scope-down pour filtrer les demandes qui ont été marquées par la règle du groupe de règles. L'énoncé de règle basé sur le taux agrège et limite le débit des demandes filtrées en fonction de leur adresse IP. 

{
  "Name": "test-web-acl",
  "Id": ... 
  "ARN": ...
  "DefaultAction": {
    "Allow": {}
  },
  "Description": "",
  "Rules": [
    {
      "Name": "AWS-AWSManagedRulesAmazonIpReputationList",
      "Priority": 0,
      "Statement": {
        "ManagedRuleGroupStatement": {
          "VendorName": "AWS",
          "Name": "AWSManagedRulesAmazonIpReputationList"
        }
      },
      "OverrideAction": {
        "None": {}
      },
      "VisibilityConfig": {
        "SampledRequestsEnabled": true,
        "CloudWatchMetricsEnabled": true,
        "MetricName": "AWS-AWSManagedRulesAmazonIpReputationList"
      }
    },
    {
      "Name": "test-rbr",
      "Priority": 1,
      "Statement": {
        "RateBasedStatement": {
          "Limit": 100,
          "EvaluationWindowSec": 300,
          "AggregateKeyType": "IP",
          "ScopeDownStatement": {
            "LabelMatchStatement": {
              "Scope": "LABEL",
              "Key": "awswaf:managed:aws:amazon-ip-list:AWSManagedIPDDoSList"
            }
          }
        }
      },
      "Action": {
        "Block": {}
      },
      "VisibilityConfig": {
        "SampledRequestsEnabled": true,
        "CloudWatchMetricsEnabled": true,
        "MetricName": "test-rbr"
      }
    }
  ],
  "VisibilityConfig": {
    "SampledRequestsEnabled": true,
    "CloudWatchMetricsEnabled": true,
    "MetricName": "test-web-acl"
  },
  "Capacity": 28,
  "ManagedByFirewallManager": false,
  "LabelNamespace": "awswaf:0000000000:webacl:test-web-acl:"
}