Pernyataan aturan berdasarkan tarif - AWS WAF, AWS Firewall Manager, dan AWS Shield Advanced

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Pernyataan aturan berdasarkan tarif

Aturan berbasis laju melacak laju permintaan untuk setiap alamat IP asal, dan memicu tindakan aturan pada IP dengan laju yang melampaui batas. Anda menetapkan batas sebagai jumlah permintaan per rentang waktu 5 menit. Anda dapat menggunakan jenis aturan untuk menempatkan blok sementara pada permintaan dari alamat IP yang mengirim permintaan berlebihan. Secara default,AWS WAFagregat permintaan berdasarkan alamat IP dari asal permintaan web, tetapi Anda dapat mengkonfigurasi aturan untuk menggunakan alamat IP dari header HTTP, sepertiX-Forwarded-For, Sebagai gantinya.

AWS WAFmelacak dan mengelola permintaan web secara terpisah untuk setiap instance aturan berbasis tingkat yang Anda gunakan. Misalnya, jika Anda memberikan pengaturan aturan berbasis tingkat yang sama di dua ACL web, masing-masing dari dua pernyataan aturan mewakili instance terpisah dari aturan berbasis tingkat dan mendapatkan pelacakan dan pengelolaannya sendiri olehAWS WAF. Jika Anda menentukan aturan berbasis tingkat di dalam grup aturan, dan kemudian menggunakan grup aturan itu di beberapa tempat, setiap penggunaan membuat instance terpisah dari aturan berbasis tingkat yang mendapatkan pelacakan dan pengelolaannya sendiri olehAWS WAF.

Ketika tindakan aturan memicu,AWS WAFmenerapkan tindakan untuk permintaan tambahan dari alamat IP sampai tingkat permintaan turun di bawah batas. Ini bisa memakan waktu satu atau dua menit agar perubahan tindakan berlaku.

Anda dapat mengambil daftar alamat IP yang saat ini diblokir karena pembatasan tarif. Untuk informasi, lihat Daftar alamat IP yang diblokir oleh aturan berbasis tarif.

Peringatan berikut berlaku untukAWS WAFaturan berbasis tarif:

  • Tingkat minimum yang dapat Anda atur adalah 100.

  • AWS WAFmemeriksa tingkat permintaan setiap 30 detik, dan menghitung permintaan untuk lima menit sebelumnya setiap kali. Karena itu, dimungkinkan untuk alamat IP untuk mengirim permintaan dengan kecepatan yang terlalu tinggi selama 30 detik sebelumnyaAWS WAFmendeteksi dan memblokirnya.

  • AWS WAFdapat memblokir hingga 10.000 alamat IP. Jika lebih dari 10.000 alamat IP mengirim tingginya tingkat permintaan pada saat yang sama,AWS WAFHanya akan memblokir 10.000 dari mereka.

Anda dapat mempersempit ruang lingkup permintaan ituAWS WAFtrek dan jumlah. Untuk melakukan ini, Anda sarang lain, lingkup-down pernyataan dalam pernyataan tingkat berbasis. Kemudian,AWS WAFhanya menghitung permintaan yang cocok dengan pernyataan penurunan lingkup. Untuk informasi tentang pernyataan scope-down, lihatPernyataan lingkup-down.

Misalnya, berdasarkan permintaan terbaru yang telah Anda lihat dari penyerang di Amerika Serikat, Anda dapat membuat aturan berbasis laju dengan pernyataan yang lebih khusus:

  • DAN pernyataan aturan yang berisi berikut, tingkat kedua pernyataan bersarang:

    • Pernyataan kecocokan geo-match yang menentukan permintaan yang berasal dari Amerika Serikat.

    • Pernyataan kecocokan string yang mencari diUser-Agentheader untuk stringBadBot.

Katakanlah Anda juga menetapkan batas tarif 1.000. Untuk setiap alamat IP,AWS WAFmenghitung permintaan yang memenuhi kriteria untuk kedua pernyataan bersarang. Permintaan yang tidak memenuhi keduanya tidak dihitung. Jika jumlah alamat IP melebihi 1.000 permintaan dalam rentang waktu 5 menit, tindakan aturan akan memicu alamat IP tersebut.

Sebagai contoh lain, Anda mungkin ingin membatasi permintaan ke halaman login di situs web Anda. Untuk melakukan ini, Anda dapat membuat aturan berbasis tingkat dengan pernyataan pertandingan string bersarang berikut:

  • YangMemeriksa Komponen permintaanadalahURI path.

  • YangJenis matchadalahStarts with string.

  • YangString untuk mencocokkanadalah/login.

Dengan menambahkan aturan berbasis tarif ini ke ACL web, Anda dapat membatasi permintaan ke halaman login Anda tanpa memengaruhi seluruh situs Anda.

Tidak bersarang- Anda tidak dapat sarang jenis pernyataan ini di dalam pernyataan lain. Anda dapat memasukkannya langsung ke ACL web dan dalam grup aturan.

(Opsional) Pernyataan lingkup-down- Jenis aturan ini mengambil pernyataan yang lebih khusus untuk mempersempit ruang lingkup permintaan yang melacak pernyataan berbasis laju. Untuk informasi selengkapnya, lihat Pernyataan lingkup-down.

WCU- 2 ditambah WCU tambahan untuk pernyataan bersarang.

Pernyataan ini menggunakan pengaturan opsional berikut:

  • (Opsional) Konfigurasi IP yang diteruskan— Secara default,AWS WAFagregat pada alamat IP di asal permintaan web, tetapi Anda dapat mengonfigurasi aturan untuk menggunakan alamat IP yang diteruskan di header HTTP sepertiX-Forwarded-For.AWS WAFmenggunakan alamat IP pertama di header. Dengan konfigurasi ini, Anda juga menentukan perilaku mundur untuk diterapkan ke permintaan web dengan alamat IP yang salah dalam header yang ditentukan. Perilaku mundur menetapkan hasil yang cocok untuk permintaan, untuk mencocokkan atau tidak cocok. Untuk informasi selengkapnya, lihat Alamat IP yang diteruskan.

Di mana menemukan ini

  • Pembangun bangun bangun tidurdi ACL web Anda, di konsol - Di bawahAturan, untukJenis, PilihAturan berbasis tarif.

  • Pernyataan APIRateBasedStatement