Comportement limitant le débit des demandes de règles basées sur le taux - AWS WAF, AWS Firewall Manager, et AWS Shield Advanced

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Comportement limitant le débit des demandes de règles basées sur le taux

Les critères AWS WAF utilisés pour limiter le débit des demandes pour une règle basée sur le taux sont les mêmes que ceux AWS WAF utilisés pour agréger les demandes relatives à la règle. Si vous définissez une instruction de portée réduite pour la règle, AWS WAF seuls les agrégats, les dénombrements et les demandes de limite de débit correspondent à l'instruction de portée réduite.

Les critères de correspondance qui amènent une règle basée sur le taux à appliquer ses paramètres d'action de règle à une requête Web spécifique sont les suivants :

  • La requête Web correspond à l'instruction scope-down de la règle, si une telle instruction est définie.

  • La requête Web appartient à une instance d'agrégation dont le nombre de demandes est actuellement supérieur à la limite fixée par la règle.

Comment AWS WAF s'applique l'action de la règle

Lorsqu'une règle basée sur le taux applique une limitation de débit à une demande, elle applique l'action de la règle et, si vous avez défini un traitement ou un étiquetage personnalisé dans votre spécification d'action, la règle les applique. Cette gestion des demandes est identique à la manière dont une règle de correspondance applique ses paramètres d'action aux requêtes Web correspondantes. Une règle basée sur le taux applique uniquement des libellés ou exécute d'autres actions sur les demandes pour lesquelles elle limite activement le débit.

Vous pouvez utiliser n'importe quelle action de règle, à l'exception deAllow. Pour des informations générales sur les actions relatives aux règles, consultezAction de la règle.

La liste suivante décrit le fonctionnement de la limitation de débit pour chacune des actions.

  • Block— AWS WAF bloque la demande et applique tout comportement de blocage personnalisé que vous avez défini.

  • Count— AWS WAF compte la demande, applique les en-têtes ou étiquettes personnalisés que vous avez définis et poursuit l'évaluation ACL Web de la demande.

    Cette action ne limite pas le nombre de demandes. Il ne compte que les demandes qui dépassent la limite.

  • CAPTCHAor Challenge — AWS WAF gère la demande comme a Block ou comme aCount, selon l'état du jeton de la demande.

    Cette action ne limite pas le nombre de demandes contenant des jetons valides. Cela limite le taux de demandes dépassant la limite et pour lesquelles il manque également des jetons valides.

    • Si la demande ne contient pas de jeton valide et non expiré, l'action bloque la demande et renvoie le casse-tête CAPTCHA ou le défi du navigateur au client.

      Si l'utilisateur final ou le navigateur du client répond correctement, le client reçoit un jeton valide et renvoie automatiquement la demande initiale. Si la limitation du débit pour l'instance d'agrégation est toujours en vigueur, l'action sera appliquée à cette nouvelle demande contenant le jeton valide et non expiré, comme décrit dans le point suivant de la bullet.

    • Si la demande contient un jeton valide et non expiré, l'Challengeaction CAPTCHA ou vérifie le jeton et n'entreprend aucune action sur la demande, de la même manière que l'Countaction. La règle basée sur le taux renvoie l'évaluation de la demande à l'ACL Web sans prendre aucune mesure d'arrêt, et l'ACL Web poursuit son évaluation de la demande.

    Pour plus d’informations, consultez CAPTCHAet Challenge dans AWS WAF.

Si vous limitez le débit uniquement à l'adresse IP ou à l'adresse IP transférée

Lorsque vous configurez la règle pour limiter uniquement l'adresse IP pour l'adresse IP transférée, l'instance de règle peut limiter le débit jusqu'à 10 000 adresses IP. Si une instance de règle identifie plus de 10 000 adresses IP à limiter, elle limite uniquement les 10 000 plus grands expéditeurs.

Avec cette configuration, vous pouvez récupérer la liste des adresses IP pour lesquelles une règle basée sur le débit limite actuellement le débit. Si vous utilisez une instruction scope-down, les demandes dont le débit est limité sont uniquement celles de la liste d'adresses IP qui correspondent à l'instruction scope-down. Pour plus d'informations sur la récupération de la liste d'adresses IP, consultezRépertorier les adresses IP dont le débit est limité par des règles basées sur le débit.