Limitación de las tasas de las solicitudes con etiquetas específicas - AWS WAF, AWS Firewall Manager, y AWS Shield Advanced

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Limitación de las tasas de las solicitudes con etiquetas específicas

Para limitar el número de solicitudes de varias categorías, puedes combinar la limitación de velocidad con cualquier regla o grupo de reglas que agregue etiquetas a las solicitudes. Para ello, configura tu web de la ACL siguiente manera:

  • Agregue las reglas o los grupos de reglas que agregan etiquetas y configúrelos para que no bloqueen ni permitan las solicitudes cuya tasa desea limitar. Si usa grupos de reglas administrados, es posible que deba anular algunas acciones de reglas de los grupos de reglas para Count para lograr este comportamiento.

  • Añada una regla basada en tarifas a su web ACL con una configuración de número de prioridad superior a la de las reglas de etiquetado y los grupos de reglas. AWS WAF evalúa las reglas en orden numérico, empezando por el más bajo, de modo que la regla basada en tasas se ejecute después de las reglas de etiquetado. Configure el límite de tasas en las etiquetas mediante una combinación de concordancia de etiquetas en la instrucción de restricción de acceso y agregación de etiquetas de la regla.

En el siguiente ejemplo, se utiliza la lista de reputaciones IP de Amazon. AWS Grupo de reglas de Managed Rules. La regla del grupo de reglas AWSManagedIPDDoSList detecta y etiqueta las solicitudes de las que IPs se sabe que participan activamente en DDoS actividades. La acción de la regla está configurada para Count en la definición del grupo de reglas. Para obtener más información acerca de este grupo de reglas, consulte Grupo de reglas administrado con lista de reputación de IP de Amazon.

La siguiente ACL JSON lista web utiliza el grupo de reglas de reputación IP seguido de una regla basada en la tasa de coincidencia de etiquetas. La regla basada en tasas utiliza una instrucción de restricción de acceso para filtrar las solicitudes que han sido marcadas por la regla del grupo de reglas. La instrucción de regla basada en tasas agrega y limita las tasas de las solicitudes filtradas por sus direcciones IP. 

{
  "Name": "test-web-acl",
  "Id": ... 
  "ARN": ...
  "DefaultAction": {
    "Allow": {}
  },
  "Description": "",
  "Rules": [
    {
      "Name": "AWS-AWSManagedRulesAmazonIpReputationList",
      "Priority": 0,
      "Statement": {
        "ManagedRuleGroupStatement": {
          "VendorName": "AWS",
          "Name": "AWSManagedRulesAmazonIpReputationList"
        }
      },
      "OverrideAction": {
        "None": {}
      },
      "VisibilityConfig": {
        "SampledRequestsEnabled": true,
        "CloudWatchMetricsEnabled": true,
        "MetricName": "AWS-AWSManagedRulesAmazonIpReputationList"
      }
    },
    {
      "Name": "test-rbr",
      "Priority": 1,
      "Statement": {
        "RateBasedStatement": {
          "Limit": 100,
          "EvaluationWindowSec": 300,
          "AggregateKeyType": "IP",
          "ScopeDownStatement": {
            "LabelMatchStatement": {
              "Scope": "LABEL",
              "Key": "awswaf:managed:aws:amazon-ip-list:AWSManagedIPDDoSList"
            }
          }
        }
      },
      "Action": {
        "Block": {}
      },
      "VisibilityConfig": {
        "SampledRequestsEnabled": true,
        "CloudWatchMetricsEnabled": true,
        "MetricName": "test-rbr"
      }
    }
  ],
  "VisibilityConfig": {
    "SampledRequestsEnabled": true,
    "CloudWatchMetricsEnabled": true,
    "MetricName": "test-web-acl"
  },
  "Capacity": 28,
  "ManagedByFirewallManager": false,
  "LabelNamespace": "awswaf:0000000000:webacl:test-web-acl:"
}