本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
速率限制具有特定標籤的請求
若要限制各種類別的請求數量,您可以將速率限制與將標籤新增至請求的任何規則或規則群組結合。若要這樣做,您可以設定您的 WebACL,如下所示:
-
新增新增標籤的規則或規則群組,並加以設定,使其不會封鎖或允許您想要評分限制的請求。如果您使用受管規則群組,您可能需要覆寫某些規則群組規則動作以 Count 來達成此行為。
-
將以速率為基礎的規則新增至您的 Web,ACL其優先順序數字設定高於標籤規則和規則群組。 會以數字順序 AWS WAF 評估規則,從最低開始,因此您的以速率為基礎的規則將在標籤規則之後執行。在規則的範圍縮減陳述式和標籤彙總中,使用標籤比對的組合來設定標籤的速率限制。
下列範例使用 Amazon IP 評價清單 AWS 受管規則規則群組。規則群組規則AWSManagedIPDDoSList會偵測和標記IPs已知正在主動參與DDoS活動的請求。規則的動作已設定為 Count 在規則群組定義中。如需規則群組的詳細資訊,請參閱 Amazon IP 評價清單受管規則群組。
下列 Web ACLJSON清單使用 IP 評價規則群組,後面接著標籤比對速率型規則。以速率為基礎的規則使用範圍縮減陳述式來篩選由規則群組規則標記的請求。以速率為基礎的規則陳述式會彙總並限制依其 IP 地址篩選的請求。
{ "Name": "test-web-acl", "Id": ... "ARN": ... "DefaultAction": { "Allow": {} }, "Description": "", "Rules": [ { "Name": "AWS-AWSManagedRulesAmazonIpReputationList", "Priority": 0, "Statement": { "ManagedRuleGroupStatement": { "VendorName": "AWS", "Name": "AWSManagedRulesAmazonIpReputationList" } }, "OverrideAction": { "None": {} }, "VisibilityConfig": { "SampledRequestsEnabled": true, "CloudWatchMetricsEnabled": true, "MetricName": "AWS-AWSManagedRulesAmazonIpReputationList" } }, { "Name": "test-rbr", "Priority": 1, "Statement": { "RateBasedStatement": { "Limit": 100, "EvaluationWindowSec": 300, "AggregateKeyType": "IP", "ScopeDownStatement": { "LabelMatchStatement": { "Scope": "LABEL", "Key": "awswaf:managed:aws:amazon-ip-list:AWSManagedIPDDoSList" } } } }, "Action": { "Block": {} }, "VisibilityConfig": { "SampledRequestsEnabled": true, "CloudWatchMetricsEnabled": true, "MetricName": "test-rbr" } } ], "VisibilityConfig": { "SampledRequestsEnabled": true, "CloudWatchMetricsEnabled": true, "MetricName": "test-web-acl" }, "Capacity": 28, "ManagedByFirewallManager": false, "RetrofittedByFirewallManager": false, "LabelNamespace": "awswaf:0000000000:webacl:test-web-acl:" }
