AWS WAF — Aturan berbasis tarif - AWS Praktik Terbaik untuk DDoS Ketahanan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

AWS WAF — Aturan berbasis tarif

AWS sangat merekomendasikan perlindungan terhadap banjir HTTP permintaan dengan menggunakan aturan berbasis tarif AWS WAF untuk secara otomatis memblokir alamat IP aktor jahat ketika jumlah permintaan yang diterima dalam jendela geser 5 menit melebihi ambang batas yang Anda tentukan. Alamat IP klien yang menyinggung akan menerima respons terlarang 403 (atau respons kesalahan blok yang dikonfigurasi) dan tetap diblokir hingga tingkat permintaan turun di bawah ambang batas.

Disarankan untuk aturan berbasis tingkat lapisan untuk memberikan perlindungan yang ditingkatkan sehingga Anda memiliki:

  • Aturan berbasis tarif selimut untuk melindungi aplikasi Anda dari banjir besarHTTP.

  • Satu atau lebih aturan berbasis tarif untuk melindungi spesifik URIs pada tingkat yang lebih ketat daripada aturan berbasis tarif selimut.

Misalnya Anda dapat memilih aturan berbasis tarif selimut (tidak ada pernyataan cakupan turun) dengan batas 500 permintaan dalam periode 5 menit, dan kemudian membuat satu atau lebih aturan berbasis tarif berikut dengan batas lebih rendah dari 500 (serendah 100 permintaan dalam periode 5 menit) menggunakan pernyataan cakupan bawah:

  • Lindungi halaman web Anda dengan pernyataan cakupan ke bawah seperti "if NOT uri_path contains '.'" sehingga permintaan sumber daya tanpa ekstensi file dilindungi lebih lanjut. Ini juga melindungi homepage Anda (/) yang merupakan URI jalur yang sering ditargetkan.

  • Lindungi titik akhir dinamis dengan pernyataan cakupan ke bawah seperti "” if method exactly matches 'post' (convert lowercase)

  • Lindungi permintaan berat yang mencapai database Anda atau memanggil kata sandi satu kali (OTP) dengan cakupan ke bawah seperti "” if uri_path starts_with '/login' OR uri_path starts_with '/signup' OR uri_path starts_with '/forgotpassword'

Berbasis tarif dalam mode “Blok” adalah landasan defense-in-depth WAF konfigurasi Anda untuk melindungi dari banjir permintaan dan merupakan persyaratan agar permintaan perlindungan AWS Shield Advanced biaya disetujui. Kami akan memeriksa defense-in-depth WAF konfigurasi tambahan di bagian berikut.