AWS WAF — Regras baseadas em tarifas - AWS Melhores práticas para DDoS resiliência

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

AWS WAF — Regras baseadas em tarifas

AWS recomenda fortemente a proteção contra inundações de HTTP solicitações usando as regras baseadas em taxas AWS WAF para bloquear automaticamente os endereços IP de agentes mal-intencionados quando o número de solicitações recebidas em uma janela deslizante de 5 minutos exceder um limite definido por você. Os endereços IP de clientes ofensivos receberão uma resposta 403 proibida (ou resposta de erro de bloco configurada) e permanecerão bloqueados até que as taxas de solicitação caiam abaixo do limite.

É recomendável colocar regras baseadas em taxas em camadas para fornecer proteção aprimorada para que você tenha:

  • Uma regra geral baseada em taxas para proteger seu aplicativo contra grandes inundações. HTTP

  • Uma ou mais regras baseadas em tarifas para proteger tarifas específicas e mais restritivas do que a regra geral baseada URIs em tarifas.

Por exemplo, você pode escolher uma regra geral baseada em taxa (sem declaração de escopo) com um limite de 500 solicitações em um período de 5 minutos e, em seguida, criar uma ou mais das seguintes regras baseadas em taxas com limites inferiores a 500 (tão baixos quanto 100 solicitações em um período de 5 minutos) usando instruções de escopo reduzido:

  • Proteja suas páginas da Web com uma declaração de escopo reduzido, como "if NOT uri_path contains '.'", para que as solicitações de recursos sem uma extensão de arquivo sejam ainda mais protegidas. Isso também protege sua página inicial (/), que é um URI caminho frequentemente direcionado.

  • Proteja endpoints dinâmicos com uma declaração de redução de escopo como "” if method exactly matches 'post' (convert lowercase)

  • Proteja solicitações pesadas que chegam ao seu banco de dados ou invoque uma senha de uso único (OTP) com um escopo reduzido como "” if uri_path starts_with '/login' OR uri_path starts_with '/signup' OR uri_path starts_with '/forgotpassword'

A base de tarifas no modo “Bloquear” é a base de sua defense-in-depth WAF configuração para se proteger contra inundações de solicitações e é um requisito para que as solicitações de proteção de AWS Shield Advanced custos sejam aprovadas. Examinaremos defense-in-depth WAF configurações adicionais nas seções a seguir.