Anwendung der Ratenbegrenzung auf Anfragen in AWS WAF - AWS WAF, AWS Firewall Manager, und AWS Shield Advanced

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Anwendung der Ratenbegrenzung auf Anfragen in AWS WAF

In diesem Abschnitt wird erklärt, wie das Verhalten bei ratenbasierten Regeln funktioniert.

Die Kriterien, die AWS WAF verwendet für Ratenbegrenzungsanfragen für eine ratenbasierte Regel dieselben Kriterien AWS WAF verwendet, um Anfragen für die Regel zu aggregieren. Wenn Sie eine Scope-Down-Aussage für die Regel definieren, AWS WAF aggregiert, zählt und begrenzt nur Anfragen, die der Scope-Down-Aussage entsprechen.

Die Übereinstimmungskriterien, die dazu führen, dass eine ratenbasierte Regel ihre Regelaktionseinstellungen auf eine bestimmte Webanforderung anwendet, lauten wie folgt:

  • Die Webanforderung entspricht der Scope-Down-Anweisung der Regel, sofern eine definiert ist.

  • Die Webanforderung gehört zu einer Aggregationsinstanz, deren Anzahl der Anfragen derzeit den Grenzwert der Regel überschreitet.

Wie AWS WAF wendet die Regelaktion an

Wenn eine ratenbasierte Regel eine Ratenbegrenzung auf eine Anfrage anwendet, wendet sie die Regelaktion an, und wenn Sie in Ihrer Aktionsspezifikation eine benutzerdefinierte Handhabung oder Kennzeichnung definiert haben, wendet die Regel diese an. Diese Bearbeitung von Anfragen entspricht der Art und Weise, wie eine Vergleichsregel ihre Aktionseinstellungen auf passende Webanfragen anwendet. Eine ratenbasierte Regel wendet nur Labels an oder führt andere Aktionen auf Anfragen aus, für die sie aktiv die Rate begrenzt.

Sie können jede beliebige Regelaktion verwenden, außer Allow. Allgemeine Informationen zu Regelaktionen finden Sie unterVerwenden von Regelaktionen in AWS WAF.

In der folgenden Liste wird beschrieben, wie die Ratenbegrenzung für die einzelnen Aktionen funktioniert.

  • Block – AWS WAF blockiert die Anfrage und wendet jedes benutzerdefinierte Blockierungsverhalten an, das Sie definiert haben.

  • Count – AWS WAF zählt die Anfrage, wendet alle benutzerdefinierten Header oder Labels an, die Sie definiert haben, und setzt die ACL Web-Evaluierung der Anfrage fort.

    Durch diese Aktion wird die Anzahl der Anfragen nicht begrenzt. Es werden nur die Anfragen gezählt, die das Limit überschreiten.

  • CAPTCHA or Challenge – AWS WAF behandelt die Anfrage entweder wie ein Block oder wie ein Count, abhängig vom Status des Tokens der Anfrage.

    Durch diese Aktion wird die Anzahl der Anfragen mit gültigen Tokens nicht begrenzt. Sie begrenzt die Anzahl der Anfragen, die das Limit überschreiten und denen auch gültige Token fehlen.

    • Wenn die Anfrage kein gültiges, noch nicht abgelaufenes Token hat, blockiert die Aktion die Anfrage und sendet das CAPTCHA Rätsel oder die Browser-Herausforderung zurück an den Client.

      Wenn der Endbenutzer oder der Client-Browser erfolgreich reagiert, erhält der Client ein gültiges Token und sendet die ursprüngliche Anfrage automatisch erneut. Wenn die Ratenbegrenzung für die Aggregationsinstanz weiterhin gültig ist, wird auf diese neue Anfrage mit dem gültigen, nicht abgelaufenen Token die Aktion angewendet, wie im nächsten Aufzählungspunkt beschrieben.

    • Wenn die Anfrage ein gültiges, noch nicht abgelaufenes Token hat, CAPTCHA or Challenge Aktion verifiziert das Token und ergreift keine Aktion auf die Anfrage, ähnlich wie Count Aktion. Die ratenbasierte Regel gibt die Auswertung der Anfrage zurück an das Internet, ACL ohne dass eine abschließende Maßnahme ergriffen wird, und das Web ACL setzt die Auswertung der Anfrage fort.

    Weitere Informationen finden Sie unter Die Verwendung von CAPTCHA and Challenge in AWS WAF.

Wenn Sie nur die IP-Adresse oder die weitergeleitete IP-Adresse als Ratenbegrenzung verwenden

Wenn Sie die Regel so konfigurieren, dass nur die IP-Adresse für weitergeleitete IP-Adressen begrenzt wird, können Sie die Liste der IP-Adressen abrufen, für die die Regel derzeit eine Ratenbegrenzung vorsieht. Wenn Sie eine Scope-Down-Anweisung verwenden, sind nur die Anfragen in der IP-Liste, die der Scope-Down-Anweisung entsprechen, die ratenlimitiert sind. Hinweise zum Abrufen der IP-Adressliste finden Sie unter. Auflisten von IP-Adressen, deren Rate durch ratenbasierte Regeln begrenzt wird