Nilai membatasi permintaan dengan label tertentu - AWS WAF, AWS Firewall Manager, dan AWS Shield Advanced

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Nilai membatasi permintaan dengan label tertentu

Untuk membatasi jumlah permintaan dari berbagai kategori, Anda dapat menggabungkan pembatasan tarif dengan aturan atau grup aturan apa pun yang menambahkan label ke permintaan. Untuk melakukan ini, Anda mengonfigurasi web Anda ACL sebagai berikut:

  • Tambahkan aturan atau grup aturan yang menambahkan label, dan konfigurasikan agar tidak memblokir atau mengizinkan permintaan yang ingin Anda beri batas nilai. Jika Anda menggunakan grup aturan terkelola, Anda mungkin perlu mengganti beberapa tindakan aturan grup aturan Count untuk mencapai perilaku ini.

  • Tambahkan aturan berbasis tarif ke web Anda ACL dengan pengaturan nomor prioritas yang lebih tinggi dari aturan pelabelan dan grup aturan. AWS WAF mengevaluasi aturan dalam urutan numerik, mulai dari yang terendah, sehingga aturan berbasis tarif Anda akan berjalan setelah aturan pelabelan. Konfigurasikan batasan tarif Anda pada label menggunakan kombinasi pencocokan label dalam pernyataan cakupan bawah aturan dan agregasi label.

Contoh berikut menggunakan daftar reputasi IP Amazon AWS Kelompok aturan Aturan Terkelola. Aturan grup aturan AWSManagedIPDDoSList mendeteksi dan memberi label permintaan IPs yang diketahui aktif terlibat dalam DDoS aktivitas. Tindakan aturan dikonfigurasi untuk Count dalam definisi kelompok aturan. Untuk informasi selengkapnya tentang grup aturan, lihatGrup aturan terkelola daftar reputasi IP Amazon.

ACLJSONDaftar web berikut menggunakan grup aturan reputasi IP diikuti oleh aturan berbasis tingkat pencocokan label. Aturan berbasis laju menggunakan pernyataan scope-down untuk memfilter permintaan yang telah ditandai oleh aturan grup aturan. Pernyataan aturan berbasis tingkat agregat dan nilai membatasi permintaan yang difilter oleh alamat IP mereka. 

{
  "Name": "test-web-acl",
  "Id": ... 
  "ARN": ...
  "DefaultAction": {
    "Allow": {}
  },
  "Description": "",
  "Rules": [
    {
      "Name": "AWS-AWSManagedRulesAmazonIpReputationList",
      "Priority": 0,
      "Statement": {
        "ManagedRuleGroupStatement": {
          "VendorName": "AWS",
          "Name": "AWSManagedRulesAmazonIpReputationList"
        }
      },
      "OverrideAction": {
        "None": {}
      },
      "VisibilityConfig": {
        "SampledRequestsEnabled": true,
        "CloudWatchMetricsEnabled": true,
        "MetricName": "AWS-AWSManagedRulesAmazonIpReputationList"
      }
    },
    {
      "Name": "test-rbr",
      "Priority": 1,
      "Statement": {
        "RateBasedStatement": {
          "Limit": 100,
          "EvaluationWindowSec": 300,
          "AggregateKeyType": "IP",
          "ScopeDownStatement": {
            "LabelMatchStatement": {
              "Scope": "LABEL",
              "Key": "awswaf:managed:aws:amazon-ip-list:AWSManagedIPDDoSList"
            }
          }
        }
      },
      "Action": {
        "Block": {}
      },
      "VisibilityConfig": {
        "SampledRequestsEnabled": true,
        "CloudWatchMetricsEnabled": true,
        "MetricName": "test-rbr"
      }
    }
  ],
  "VisibilityConfig": {
    "SampledRequestsEnabled": true,
    "CloudWatchMetricsEnabled": true,
    "MetricName": "test-web-acl"
  },
  "Capacity": 28,
  "ManagedByFirewallManager": false,
  "LabelNamespace": "awswaf:0000000000:webacl:test-web-acl:"
}