Agrégation des règles basées sur les taux dans AWS WAF - AWS WAF, AWS Firewall Manager, et AWS Shield Advanced

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Agrégation des règles basées sur les taux dans AWS WAF

Cette section explique les options qui s'offrent à vous pour agréger les demandes.

Par défaut, une règle basée sur le débit agrège et limite les demandes en fonction de l'adresse IP de la demande. Vous pouvez configurer la règle pour utiliser diverses autres clés d'agrégation et combinaisons de touches. Par exemple, vous pouvez agréger en fonction d'une adresse IP transférée, de la HTTP méthode ou d'un argument de requête. Vous pouvez également spécifier des combinaisons de clés d'agrégation, telles que l'adresse IP et la HTTP méthode, ou les valeurs de deux cookies différents.

Note

Tous les composants de demande que vous spécifiez dans la clé d'agrégation doivent être présents dans une requête Web pour que la demande soit évaluée ou que le taux soit limité par la règle.

Vous pouvez configurer votre règle basée sur le taux avec les options d'agrégation suivantes.

  • Adresse IP source : agrégée en utilisant uniquement l'adresse IP de l'origine de la requête Web.

    L'adresse IP source peut ne pas contenir l'adresse du client d'origine. Si une requête Web passe par un ou plusieurs proxys ou équilibreurs de charge, celle-ci contiendra l'adresse du dernier proxy.

  • Adresse IP dans l'en-tête — Agrégation en utilisant uniquement une adresse client dans un HTTP en-tête. C'est ce que l'on appelle également une adresse IP transférée.

    Avec cette configuration, vous spécifiez également un comportement de secours à appliquer à une requête Web dont l'en-tête contient une adresse IP mal formée. Le comportement de remplacement définit le résultat correspondant à la demande, qu'il corresponde ou non. En cas d'absence de correspondance, la règle basée sur le taux ne compte pas ou ne limite pas le taux de la demande. Pour la correspondance, la règle basée sur le taux regroupe la demande avec les autres demandes dont l'adresse IP est mal formée dans l'en-tête spécifié.

    Soyez prudent avec cette option, car les en-têtes peuvent être gérés de manière incohérente par les proxys et ils peuvent également être modifiés pour contourner l'inspection. Pour plus d'informations et pour connaître les meilleures pratiques, consultezUtilisation des adresses IP transférées dans AWS WAF.

  • Tout compter : comptez et limitez le débit de toutes les demandes qui correspondent à l'énoncé de portée réduite de la règle. Cette option nécessite une instruction scope-down. Ceci est généralement utilisé pour limiter le débit d'un ensemble spécifique de demandes, telles que toutes les demandes portant une étiquette spécifique ou toutes les demandes provenant d'une zone géographique spécifique.

  • Clés personnalisées : agrégation à l'aide d'une ou de plusieurs clés d'agrégation personnalisées. Pour combiner l'une des options d'adresse IP avec d'autres clés d'agrégation, définissez-les ici sous Clés personnalisées.

    Les clés d'agrégation personnalisées constituent un sous-ensemble des options des composants de demande Web décrites surDemandez des composants dans AWS WAF.

    Les principales options sont les suivantes. Sauf indication contraire, vous pouvez utiliser une option plusieurs fois, par exemple deux en-têtes ou trois espaces de noms d'étiquettes.

    • Espace de noms d'étiquettes : utilisez un espace de noms d'étiquettes comme clé d'agrégation. Chaque nom d'étiquette complet distinct qui possède l'espace de noms d'étiquette spécifié contribue à l'instance d'agrégation. Si vous utilisez un seul espace de noms d'étiquette comme clé personnalisée, chaque nom d'étiquette définit entièrement une instance d'agrégation.

      La règle basée sur le taux utilise uniquement les étiquettes qui ont été ajoutées à la demande par des règles préalablement évaluées sur le WebACL.

      Pour plus d'informations sur les espaces de noms et les noms d'étiquettes, consultezSyntaxe des étiquettes et exigences de dénomination dans AWS WAF.

    • En-tête : utilisez un en-tête nommé comme clé d'agrégation. Chaque valeur distincte de l'en-tête contribue à l'instance d'agrégation.

      L'en-tête nécessite une transformation de texte facultative. Consultez Utilisation de transformations de texte dans AWS WAF.

    • Cookie : utilisez un cookie nommé comme clé d'agrégation. Chaque valeur distincte du cookie contribue à l'instance d'agrégation.

      Le cookie effectue une transformation de texte facultative. Consultez Utilisation de transformations de texte dans AWS WAF.

    • Argument de requête : utilisez un seul argument de requête dans la demande comme clé d'agrégation. Chaque valeur distincte pour l'argument de requête nommé contribue à l'instance d'agrégation.

      L'argument Query accepte une transformation de texte facultative. Consultez Utilisation de transformations de texte dans AWS WAF.

    • Chaîne de requête : utilisez l'intégralité de la chaîne de requête de la demande comme clé agrégée. Chaque chaîne de requête distincte contribue à l'instance d'agrégation. Vous ne pouvez utiliser ce type de clé qu'une seule fois.

      La chaîne de requête accepte une transformation de texte facultative. Consultez Utilisation de transformations de texte dans AWS WAF.

    • URIchemin — Utilisez le URI chemin de la demande comme clé agrégée. Chaque URI chemin distinct contribue à l'instance d'agrégation. Vous ne pouvez utiliser ce type de clé qu'une seule fois.

      URIpath effectue une transformation de texte facultative. Consultez Utilisation de transformations de texte dans AWS WAF.

    • HTTPméthode — Utilisez la HTTP méthode de la demande comme clé d'agrégation. Chaque HTTP méthode distincte contribue à l'instance d'agrégation. Vous ne pouvez utiliser ce type de clé qu'une seule fois.

    • Adresse IP : agrégation à l'aide de l'adresse IP provenant de l'origine de la demande Web en combinaison avec d'autres clés.

      Il se peut qu'il ne contienne pas l'adresse du client d'origine. Si une requête Web passe par un ou plusieurs proxys ou équilibreurs de charge, celle-ci contiendra l'adresse du dernier proxy.

    • Adresse IP dans l'en-tête — Agrégez en utilisant l'adresse du client dans un HTTP en-tête en combinaison avec d'autres clés. C'est ce que l'on appelle également une adresse IP transférée.

      Soyez prudent avec cette option, car les en-têtes peuvent être gérés de manière incohérente par les proxys et ils peuvent être modifiés pour contourner l'inspection. Pour plus d'informations et pour connaître les meilleures pratiques, consultezUtilisation des adresses IP transférées dans AWS WAF.