Regole di aggregazione basate sui tassi in AWS WAF - AWS WAFAWS Firewall Manager, e AWS Shield Advanced

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Regole di aggregazione basate sui tassi in AWS WAF

Questa sezione spiega le opzioni disponibili per l'aggregazione delle richieste.

Per impostazione predefinita, una regola basata sulla frequenza aggrega e limita la velocità delle richieste in base all'indirizzo IP della richiesta. È possibile configurare la regola per utilizzare diverse altre chiavi di aggregazione e combinazioni di tasti. Ad esempio, è possibile eseguire l'aggregazione in base a un indirizzo IP inoltrato, al HTTP metodo o a un argomento di query. Puoi anche specificare combinazioni di chiavi di aggregazione, come indirizzo IP e HTTP metodo, o i valori di due cookie diversi.

Nota

Tutti i componenti della richiesta specificati nella chiave di aggregazione devono essere presenti in una richiesta Web affinché la richiesta venga valutata o la frequenza sia limitata dalla regola.

Puoi configurare la tua regola basata sulla tariffa con le seguenti opzioni di aggregazione.

  • Indirizzo IP di origine: aggregazione utilizzando solo l'indirizzo IP dall'origine della richiesta Web.

    L'indirizzo IP di origine potrebbe non contenere l'indirizzo del client di origine. Se una richiesta web passa attraverso uno o più proxy o sistemi di bilanciamento del carico, questo conterrà l'indirizzo dell'ultimo proxy.

  • Indirizzo IP nell'intestazione: aggregazione utilizzando solo un indirizzo client in un'intestazione. HTTP Questo viene anche chiamato indirizzo IP inoltrato.

    Con questa configurazione, si specifica anche un comportamento di fallback da applicare a una richiesta Web con un indirizzo IP non valido nell'intestazione. Il comportamento di fallback imposta il risultato corrispondente per la richiesta, in modo che corrisponda o non corrisponda. In caso di mancata corrispondenza, la regola basata sulla tariffa non conta né limita la richiesta. Per la corrispondenza, la regola basata sulla frequenza raggruppa la richiesta insieme ad altre richieste con un indirizzo IP non valido nell'intestazione specificata.

    Prestate attenzione con questa opzione, poiché le intestazioni possono essere gestite in modo incoerente dai proxy e possono anche essere modificate per aggirare l'ispezione. Per ulteriori informazioni e procedure consigliate, consulta. Utilizzo degli indirizzi IP inoltrati in AWS WAF

  • Conta tutto: conta e valuta, limita tutte le richieste che corrispondono all'istruzione scope-down della regola. Questa opzione richiede un'istruzione scope-down. In genere viene utilizzato per limitare la velocità di un insieme specifico di richieste, ad esempio tutte le richieste con un'etichetta specifica o tutte le richieste provenienti da un'area geografica specifica.

  • Chiavi personalizzate: aggregazione utilizzando una o più chiavi di aggregazione personalizzate. Per combinare una delle opzioni di indirizzo IP con altre chiavi di aggregazione, definiscile qui sotto le chiavi personalizzate.

    Le chiavi di aggregazione personalizzate sono un sottoinsieme delle opzioni del componente di richiesta Web descritte in. Richiedi componenti in AWS WAF

    Le opzioni principali sono le seguenti. Salvo dove indicato, è possibile utilizzare un'opzione più volte, ad esempio due intestazioni o tre namespace di etichette.

    • Label namespace: utilizza uno spazio dei nomi di etichette come chiave di aggregazione. Ogni nome di etichetta completo e distinto che ha lo spazio dei nomi di etichetta specificato contribuisce all'istanza di aggregazione. Se utilizzi solo uno spazio dei nomi di etichette come chiave personalizzata, ogni nome di etichetta definisce completamente un'istanza di aggregazione.

      La regola basata sulla tariffa utilizza solo le etichette che sono state aggiunte alla richiesta da regole che vengono valutate in precedenza sul Web. ACL

      Per informazioni sugli spazi dei nomi e sui nomi delle etichette, vedere. Sintassi delle etichette e requisiti di denominazione in AWS WAF

    • Intestazione: utilizza un'intestazione denominata come chiave di aggregazione. Ogni valore distinto nell'intestazione contribuisce all'istanza di aggregazione.

      L'intestazione richiede una trasformazione del testo opzionale. Per informazioni, consulta Utilizzo delle trasformazioni di testo in AWS WAF.

    • Cookie: utilizza un cookie denominato come chiave di aggregazione. Ogni valore distinto nel cookie contribuisce all'istanza di aggregazione.

      Il cookie richiede una trasformazione del testo opzionale. Per informazioni, consulta Utilizzo delle trasformazioni di testo in AWS WAF.

    • Argomento della query: utilizza un singolo argomento di interrogazione nella richiesta come chiave aggregata. Ogni valore distinto per l'argomento di interrogazione denominato contribuisce all'istanza di aggregazione.

      L'argomento della query richiede una trasformazione del testo opzionale. Per informazioni, consulta Utilizzo delle trasformazioni di testo in AWS WAF.

    • Stringa di query: utilizza l'intera stringa di query nella richiesta come chiave aggregata. Ogni stringa di query distinta contribuisce all'istanza di aggregazione. È possibile utilizzare questo tipo di chiave una sola volta.

      La stringa di query richiede una trasformazione del testo opzionale. Per informazioni, consulta Utilizzo delle trasformazioni di testo in AWS WAF.

    • URIpercorso: utilizza il URI percorso nella richiesta come chiave aggregata. Ogni URI percorso distinto contribuisce all'istanza di aggregazione. È possibile utilizzare questo tipo di chiave una sola volta.

      URIpath richiede una trasformazione facoltativa del testo. Per informazioni, consulta Utilizzo delle trasformazioni di testo in AWS WAF.

    • HTTPmetodo — Usa il HTTP metodo della richiesta come chiave aggregata. Ogni HTTP metodo distinto contribuisce all'istanza di aggregazione. È possibile utilizzare questo tipo di chiave una sola volta.

    • Indirizzo IP: aggrega utilizzando l'indirizzo IP dall'origine della richiesta Web in combinazione con altre chiavi.

      Potrebbe non contenere l'indirizzo del client di origine. Se una richiesta web passa attraverso uno o più proxy o sistemi di bilanciamento del carico, questo conterrà l'indirizzo dell'ultimo proxy.

    • Indirizzo IP nell'intestazione: aggregazione utilizzando l'indirizzo del client in un'HTTPintestazione in combinazione con altre chiavi. Questo viene anche chiamato indirizzo IP inoltrato.

      Prestate attenzione con questa opzione, poiché le intestazioni possono essere gestite in modo incoerente dai proxy e possono essere modificate per aggirare l'ispezione. Per ulteriori informazioni e procedure consigliate, consulta. Utilizzo degli indirizzi IP inoltrati in AWS WAF