AWS WAF – レートベースのルール

AWS では、5 分間のスライディングウィンドウで受信したHTTPリクエストの数が定義したしきい値を超えた場合に、不正なアクターの IP アドレスを自動的にブロック AWS WAF するために、レートベースのルールを使用してリクエストフラッドから保護することを強くお勧めします。問題のあるクライアント IP アドレスは、403 の禁止レスポンス (または設定されたブロックエラーレスポンス) を受け取り、リクエスト率がしきい値を下回るまでブロックされたままになります。

レートベースのルールをレイヤー化して保護を強化し、以下を行うことをお勧めします。

• 大規模なHTTPフラッドからアプリケーションを保護するための一括レートベースのルール。

• 一括レートベースのルールよりも制限の厳しいレートURIsで特定の を保護する 1 つ以上のレートベースのルール。

例えば、5 分間に 500 リクエストの制限がある一括レートベースのルール (スコープダウンステートメントなし) を選択し、スコープダウンステートメントを使用して、500 (5 分間に 100 リクエストまで) より低い制限の次のレートベースのルールを 1 つ以上作成できます。

• ファイル拡張子のないリソースのリクエストがさらに保護if NOT uri_path contains '.'されるように、「」のようなスコープダウンステートメントでウェブページを保護します。これにより、頻繁にターゲットにされるURIパスであるホームページ (/) も保護されます。

• 「」のようなスコープダウンステートメントで動的エンドポイントを保護するif method exactly matches 'post' (convert lowercase)

• データベースに到達する、または「」のようなスコープダウンでワンタイムパスワード (OTP) を呼び出す大量のリクエストを保護するif uri_path starts_with '/login' OR uri_path starts_with '/signup' OR uri_path starts_with '/forgotpassword'

「ブロック」モードのレートベースは、リクエストの defense-in-depth WAFフラッドから保護するための設定の基礎であり、コスト保護リクエストを承認するための要件 AWS Shield Advanced です。以下のセクションでは、追加の defense-in-depth WAF設定について説明します。