Limite de intervalo de solicitações com rótulos específicos - AWS WAF, AWS Firewall Manager, e AWS Shield Advanced

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Limite de intervalo de solicitações com rótulos específicos

Você pode combinar a limitação de intervalo com qualquer regra ou grupo de regras que adicione rótulos às solicitações para limitar o número de solicitações de várias categorias. Para fazer isso, você configura sua web ACL da seguinte forma:

  • Adicione as regras ou grupos de regras que adicionam rótulos e configure-os para que não bloqueiem ou permitam as solicitações que você deseja limitar. Se você usa grupos de regras gerenciadas, talvez seja necessário substituir algumas ações de regras de grupos de regras para Count alcançar esse comportamento.

  • Adicione uma regra baseada em taxa à sua ACL da web com uma configuração de número de prioridade maior do que as regras de rotulagem e os grupos de regras. AWS WAF avalia as regras em ordem numérica, começando pela mais baixa, para que sua regra baseada em taxas seja executada após as regras de rotulagem. Configure seu limite de intervalo nos rótulos usando uma combinação de correspondência de rótulos na instrução de redução de escopo e agregação de rótulos da regra.

O exemplo a seguir usa o grupo de regras AWS Managed Rules da lista de reputação de IP da Amazon. A regra do grupo de regras AWSManagedIPDDoSList detecta e rotula solicitações cujos IPs são conhecidos por estarem ativamente envolvidos em atividades de DDoS. A ação de regra é configurada para Count na definição do grupo de regras. Para obter mais informações sobre o grupo de regras, consulte Grupo de regras gerenciadas da lista de reputação de IPs da Amazon.

A lista JSON da web ACL a seguir usa o grupo de regras de reputação de IPs seguido por uma regra baseada em intervalos de correspondência de rótulos. A regra baseada em intervalos usa uma instrução de redução de escopo para filtrar as solicitações que foram marcadas pela regra do grupo de regras. A instrução de regra baseada em intervalos agrega e limita as solicitações filtradas por seus endereços IP. 

{
  "Name": "test-web-acl",
  "Id": ... 
  "ARN": ...
  "DefaultAction": {
    "Allow": {}
  },
  "Description": "",
  "Rules": [
    {
      "Name": "AWS-AWSManagedRulesAmazonIpReputationList",
      "Priority": 0,
      "Statement": {
        "ManagedRuleGroupStatement": {
          "VendorName": "AWS",
          "Name": "AWSManagedRulesAmazonIpReputationList"
        }
      },
      "OverrideAction": {
        "None": {}
      },
      "VisibilityConfig": {
        "SampledRequestsEnabled": true,
        "CloudWatchMetricsEnabled": true,
        "MetricName": "AWS-AWSManagedRulesAmazonIpReputationList"
      }
    },
    {
      "Name": "test-rbr",
      "Priority": 1,
      "Statement": {
        "RateBasedStatement": {
          "Limit": 100,
          "EvaluationWindowSec": 300,
          "AggregateKeyType": "IP",
          "ScopeDownStatement": {
            "LabelMatchStatement": {
              "Scope": "LABEL",
              "Key": "awswaf:managed:aws:amazon-ip-list:AWSManagedIPDDoSList"
            }
          }
        }
      },
      "Action": {
        "Block": {}
      },
      "VisibilityConfig": {
        "SampledRequestsEnabled": true,
        "CloudWatchMetricsEnabled": true,
        "MetricName": "test-rbr"
      }
    }
  ],
  "VisibilityConfig": {
    "SampledRequestsEnabled": true,
    "CloudWatchMetricsEnabled": true,
    "MetricName": "test-web-acl"
  },
  "Capacity": 28,
  "ManagedByFirewallManager": false,
  "LabelNamespace": "awswaf:0000000000:webacl:test-web-acl:"
}