Appliquer une limite de débit aux demandes en AWS WAF - AWS WAF, AWS Firewall Manager, et AWS Shield Advanced

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Appliquer une limite de débit aux demandes en AWS WAF

Cette section explique comment fonctionne le comportement de limitation de débit pour les règles basées sur le débit.

Les critères qui AWS WAF les utilisations pour limiter le débit des demandes pour une règle basée sur le taux sont les mêmes critères que AWS WAF utilise pour agréger les demandes relatives à la règle. Si vous définissez une déclaration de portée réduite pour la règle, AWS WAF uniquement les demandes d'agrégation, de dénombrement et de limite de débit qui correspondent à l'instruction scope-down.

Les critères de correspondance qui amènent une règle basée sur le taux à appliquer ses paramètres d'action de règle à une requête Web spécifique sont les suivants :

  • La requête Web correspond à l'instruction scope-down de la règle, si une telle instruction est définie.

  • La requête Web appartient à une instance d'agrégation dont le nombre de demandes est actuellement supérieur à la limite fixée par la règle.

Comment ? AWS WAF applique l'action de la règle

Lorsqu'une règle basée sur le taux applique une limitation de débit à une demande, elle applique l'action de la règle et, si vous avez défini un traitement ou un étiquetage personnalisé dans votre spécification d'action, la règle les applique. Cette gestion des demandes est identique à la manière dont une règle de correspondance applique ses paramètres d'action aux requêtes Web correspondantes. Une règle basée sur le taux applique uniquement des libellés ou exécute d'autres actions sur les demandes pour lesquelles elle limite activement le débit.

Vous pouvez utiliser n'importe quelle action de règle sauf Allow. Pour des informations générales sur les actions relatives aux règles, consultezUtilisation des actions liées aux règles dans AWS WAF.

La liste suivante décrit le fonctionnement de la limitation de débit pour chacune des actions.

  • Block – AWS WAF bloque la demande et applique tout comportement de blocage personnalisé que vous avez défini.

  • Count – AWS WAF compte la demande, applique les en-têtes ou étiquettes personnalisés que vous avez définis et poursuit l'ACLévaluation Web de la demande.

    Cette action ne limite pas le nombre de demandes. Il ne compte que les demandes qui dépassent la limite.

  • CAPTCHA or Challenge – AWS WAF gère la demande soit comme Block ou comme Count, en fonction de l'état du jeton de la demande.

    Cette action ne limite pas le nombre de demandes contenant des jetons valides. Cela limite le taux de demandes dépassant la limite et pour lesquelles il manque également des jetons valides.

    • Si la demande ne contient pas de jeton valide et non expiré, l'action bloque la demande et renvoie le CAPTCHA puzzle ou le défi du navigateur au client.

      Si l'utilisateur final ou le navigateur du client répond correctement, le client reçoit un jeton valide et renvoie automatiquement la demande initiale. Si la limitation du débit pour l'instance d'agrégation est toujours en vigueur, l'action sera appliquée à cette nouvelle demande contenant le jeton valide et non expiré, comme décrit dans le point suivant de la bullet.

    • Si la demande contient un jeton valide et non expiré, CAPTCHA or Challenge action vérifie le jeton et n'exécute aucune action sur la demande, de la même manière que Count action. La règle basée sur le taux renvoie l'évaluation de la demande au Web ACL sans prendre aucune mesure d'arrêt, et le Web ACL poursuit son évaluation de la demande.

    Pour plus d’informations, consultez Utilisation CAPTCHA and Challenge dans AWS WAF.

Si vous limitez le débit uniquement à l'adresse IP ou à l'adresse IP transférée

Lorsque vous configurez la règle pour limiter uniquement le débit de l'adresse IP pour l'adresse IP transférée, vous pouvez récupérer la liste des adresses IP pour lesquelles la règle limite actuellement le débit. Si vous utilisez une instruction scope-down, les demandes dont le débit est limité sont uniquement celles de la liste d'adresses IP qui correspondent à l'instruction scope-down. Pour plus d'informations sur la récupération de la liste d'adresses IP, consultezRépertorier les adresses IP dont le débit est limité par des règles basées sur le débit.