AWS WAF — Règles basées sur les taux - AWS Meilleures pratiques en matière de DDoS résilience

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

AWS WAF — Règles basées sur les taux

AWS recommande vivement de se protéger contre les inondations de HTTP demandes en utilisant les règles basées sur le débit AWS WAF pour bloquer automatiquement les adresses IP des acteurs malveillants lorsque le nombre de demandes reçues dans une fenêtre glissante de 5 minutes dépasse un seuil que vous définissez. Les adresses IP des clients incriminées recevront une réponse interdite 403 (ou une réponse d'erreur de blocage configurée) et resteront bloquées jusqu'à ce que le taux de demandes tombe en dessous du seuil.

Il est recommandé de superposer des règles basées sur le taux afin de fournir une protection améliorée afin que vous puissiez :

  • Une règle générale basée sur les taux pour protéger votre demande contre HTTP les grandes inondations.

  • Une ou plusieurs règles basées sur les taux pour protéger des taux spécifiques URIs plus restrictifs que la règle basée sur les taux généraux.

Par exemple, vous pouvez choisir une règle basée sur un taux global (aucune déclaration de portée réduite) avec une limite de 500 demandes sur une période de 5 minutes, puis créer une ou plusieurs des règles basées sur les taux suivantes avec des limites inférieures à 500 (100 demandes sur une période de 5 minutes) à l'aide d'instructions de portée réduite :

  • Protégez vos pages Web à l'aide d'une instruction de portée réduite telle que if NOT uri_path contains '.' « » afin de mieux protéger les demandes de ressources sans extension de fichier. Cela protège également votre page d'accueil (/), qui est un URI chemin fréquemment ciblé.

  • Protégez les points de terminaison dynamiques avec une instruction de portée réduite telle que « » if method exactly matches 'post' (convert lowercase)

  • Protégez les demandes volumineuses qui atteignent votre base de données ou invoquez un mot de passe à usage unique (OTP) avec une portée descendante du type « » if uri_path starts_with '/login' OR uri_path starts_with '/signup' OR uri_path starts_with '/forgotpassword'

La base tarifaire en mode « Bloc » constitue la pierre angulaire de votre defense-in-depth WAF configuration pour vous protéger contre les inondations de demandes et constitue une condition préalable à l'approbation des demandes de protection des AWS Shield Advanced coûts. Nous examinerons d'autres defense-in-depth WAF configurations dans les sections suivantes.