速率限制帶有特定標籤的請求 - AWS WAFAWS Firewall Manager、 和 AWS Shield Advanced

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

速率限制帶有特定標籤的請求

若要限制各種類別的要求數目,您可以將速率限制與將標籤新增至要求的任何規則或規則群組結合使用。ACL為此,您可以按照以下方式配置 Web:

  • 新增新增標籤的規則或規則群組,並加以設定,使其不會封鎖或允許您要設定頻率限制的要求。如果您使用受管規則群組,您可能需要覆寫某些規則群組規則動作,才能 Count 實現這種行為。

  • ACL使用高於標籤規則和規則群組的優先順序編號設定,將以速率為基礎的規則新增至您的網站。 AWS WAF 以數字順序評估規則 (從最低值開始),因此您的速率型規則會在標籤規則之後執行。使用規則向下範圍陳述式和標籤彙總中的標籤比對組合來設定標籤的速率限制。

下列範例使用 Amazon IP 信譽清單 AWS 受管規則規則群組。規則群組規則會AWSManagedIPDDoSList偵測並標示已知IPs會主動參與DDoS活動的要求。規則的動作設定為 Count 在規則群組定義中。如需規則群組的詳細資訊,請參閱Amazon IP 信譽清單受管規則群組

下列網頁ACLJSON清單使用 IP 信譽評等規則群組,後面接著以標籤比對速率為基礎的規則。以速率為基礎的規則會使用範圍向下陳述式來篩選已由規則群組規則標記的要求。以速率為基礎的規則陳述式會彙總並依據其 IP 位址來限制已篩選的要求。

{ "Name": "test-web-acl", "Id": ... "ARN": ... "DefaultAction": { "Allow": {} }, "Description": "", "Rules": [ { "Name": "AWS-AWSManagedRulesAmazonIpReputationList", "Priority": 0, "Statement": { "ManagedRuleGroupStatement": { "VendorName": "AWS", "Name": "AWSManagedRulesAmazonIpReputationList" } }, "OverrideAction": { "None": {} }, "VisibilityConfig": { "SampledRequestsEnabled": true, "CloudWatchMetricsEnabled": true, "MetricName": "AWS-AWSManagedRulesAmazonIpReputationList" } }, { "Name": "test-rbr", "Priority": 1, "Statement": { "RateBasedStatement": { "Limit": 100, "EvaluationWindowSec": 300, "AggregateKeyType": "IP", "ScopeDownStatement": { "LabelMatchStatement": { "Scope": "LABEL", "Key": "awswaf:managed:aws:amazon-ip-list:AWSManagedIPDDoSList" } } } }, "Action": { "Block": {} }, "VisibilityConfig": { "SampledRequestsEnabled": true, "CloudWatchMetricsEnabled": true, "MetricName": "test-rbr" } } ], "VisibilityConfig": { "SampledRequestsEnabled": true, "CloudWatchMetricsEnabled": true, "MetricName": "test-web-acl" }, "Capacity": 28, "ManagedByFirewallManager": false, "LabelNamespace": "awswaf:0000000000:webacl:test-web-acl:" }