AWS WAF — Reglas basadas en tarifas - AWS Mejores prácticas para la DDoS resiliencia

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

AWS WAF — Reglas basadas en tarifas

AWS recomienda encarecidamente protegerse contra la HTTP avalancha de solicitudes mediante el uso de reglas basadas en tarifas AWS WAF para bloquear automáticamente las direcciones IP de los delincuentes cuando el número de solicitudes recibidas en un período deslizante de 5 minutos supere el umbral que usted defina. Las direcciones IP de los clientes infractoras recibirán una respuesta prohibida de 403 puntos (o una respuesta de error de bloqueo configurada) y permanecerán bloqueadas hasta que el porcentaje de solicitudes caiga por debajo del umbral.

Se recomienda establecer capas de reglas basadas en tasas para ofrecer una protección mejorada, de forma que pueda:

  • Una regla general basada en tarifas para proteger su aplicación de grandes HTTP inundaciones.

  • Una o más reglas basadas en tarifas para proteger a personas específicas URIs a tarifas más restrictivas que la regla general basada en tarifas.

Por ejemplo, puede elegir una regla general basada en una tarifa (sin una declaración de alcance) con un límite de 500 solicitudes en un período de 5 minutos y, a continuación, crear una o más de las siguientes reglas basadas en tarifas con límites inferiores a 500 (tan solo 100 solicitudes en un período de 5 minutos) utilizando declaraciones de alcance reducido:

  • Proteja sus páginas web con una declaración de alcance reducido, como «if NOT uri_path contains '.'», para proteger aún más las solicitudes de recursos sin una extensión de archivo. Esto también protege tu página de inicio (/), que es una ruta a la que se dirige con frecuencia. URI

  • Proteja los puntos finales dinámicos con una declaración de alcance reducido, como "» if method exactly matches 'post' (convert lowercase)

  • Proteja las solicitudes pesadas que llegan a su base de datos o invoque una contraseña de un solo uso (OTP) con un alcance reducido como "» if uri_path starts_with '/login' OR uri_path starts_with '/signup' OR uri_path starts_with '/forgotpassword'

Las tarifas basadas en el modo «Bloquear» son la piedra angular de la defense-in-depth WAF configuración para protegerse contra la avalancha de solicitudes y son un requisito para poder aprobar las solicitudes de protección de AWS Shield Advanced costes. Examinaremos las defense-in-depth WAF configuraciones adicionales en las siguientes secciones.