Ratenbegrenzung der Anfragen mit bestimmten Labels - AWS WAFAWS Firewall Manager, und AWS Shield Advanced

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Ratenbegrenzung der Anfragen mit bestimmten Labels

Sie können die Ratenbegrenzung mit jeder Regel oder Regelgruppe kombinieren, die Anforderungen mit Labels versehen, um die Anzahl der Anfragen verschiedener Kategorien zu begrenzen. Dazu konfigurieren Sie Ihre Web-ACL wie folgt:

  • Fügen Sie die Regeln oder Regelgruppen hinzu, die Labels hinzufügen, und konfigurieren Sie sie so, dass sie die Anfragen, deren Rate begrenzt werden soll, nicht blockieren oder zulassen. Wenn Sie verwaltete Regelgruppen verwenden, müssen Sie möglicherweise einige Regelgruppenregelaktionen überschreiben, Count um dieses Verhalten zu erreichen.

  • Fügen Sie Ihrer Web-ACL eine ratenbasierte Regel mit einer Prioritätsnummer hinzu, die über den Labeling-Regeln und Regelgruppen liegt. AWS WAF wertet Regeln in numerischer Reihenfolge aus, beginnend mit der niedrigsten, sodass Ihre ratenbasierte Regel nach den Labeling-Regeln ausgeführt wird. Konfigurieren Sie Ihre Ratenbegrenzung für die Labels mithilfe einer Kombination aus dem Label-Abgleich in der Scopedown-Anweisung der Regel und der Label-Aggregation.

Im folgenden Beispiel wird die Regelgruppe AWS Managed Rules der Amazon IP-Reputationsliste verwendet. Die Regelgruppenregel AWSManagedIPDDoSList erkennt und kennzeichnet Anfragen, deren IP-Adressen bekanntermaßen aktiv an DDoS-Aktivitäten beteiligt sind. Die Aktion der Regel ist Count in der Regelgruppendefinition so konfiguriert. Weitere Informationen zur Regelgruppe finden Sie unterAmazon IP-Reputationsliste.

In der folgenden Web-ACL-JSON-Liste wird die IP-Reputationsregelgruppe verwendet, gefolgt von einer Regel, die auf der Rate des Labelabgleichs basiert. Die ratenbasierte Regel verwendet eine Scopedown-Anweisung, um nach Anfragen zu filtern, die durch die Regelgruppenregel gekennzeichnet wurden. Die ratenbasierte Regelanweisung aggregiert die gefilterten Anfragen anhand ihrer IP-Adressen und begrenzt die Rate. 

{
  "Name": "test-web-acl",
  "Id": ... 
  "ARN": ...
  "DefaultAction": {
    "Allow": {}
  },
  "Description": "",
  "Rules": [
    {
      "Name": "AWS-AWSManagedRulesAmazonIpReputationList",
      "Priority": 0,
      "Statement": {
        "ManagedRuleGroupStatement": {
          "VendorName": "AWS",
          "Name": "AWSManagedRulesAmazonIpReputationList"
        }
      },
      "OverrideAction": {
        "None": {}
      },
      "VisibilityConfig": {
        "SampledRequestsEnabled": true,
        "CloudWatchMetricsEnabled": true,
        "MetricName": "AWS-AWSManagedRulesAmazonIpReputationList"
      }
    },
    {
      "Name": "test-rbr",
      "Priority": 1,
      "Statement": {
        "RateBasedStatement": {
          "Limit": 100,
          "EvaluationWindowSec": 300,
          "AggregateKeyType": "IP",
          "ScopeDownStatement": {
            "LabelMatchStatement": {
              "Scope": "LABEL",
              "Key": "awswaf:managed:aws:amazon-ip-list:AWSManagedIPDDoSList"
            }
          }
        }
      },
      "Action": {
        "Block": {}
      },
      "VisibilityConfig": {
        "SampledRequestsEnabled": true,
        "CloudWatchMetricsEnabled": true,
        "MetricName": "test-rbr"
      }
    }
  ],
  "VisibilityConfig": {
    "SampledRequestsEnabled": true,
    "CloudWatchMetricsEnabled": true,
    "MetricName": "test-web-acl"
  },
  "Capacity": 28,
  "ManagedByFirewallManager": false,
  "LabelNamespace": "awswaf:0000000000:webacl:test-web-acl:"
}