对中的请求应用速率限制 AWS WAF - AWS WAF, AWS Firewall Manager,以及 AWS Shield Advanced

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

对中的请求应用速率限制 AWS WAF

本节说明速率限制行为如何适用于基于速率的规则。

该标准是 AWS WAF 用于对基于速率的规则的请求进行速率限制的标准与以下标准相同 AWS WAF 用于汇总对规则的请求。如果您为规则定义了范围缩小语句, AWS WAF 仅聚合 scope-down 语句匹配的请求、计数请求和速率限制请求。

要使基于速率的规则将其规则操作设置应用于特定 Web 请求,匹配条件如下:

  • Web 请求与规则的范围缩小语句(如果已定义)相匹配。

  • Web 请求属于一个聚合实例,其请求数当前已超过规则的限制。

操作方法 AWS WAF 应用规则操作

当基于速率的规则对请求应用速率限制时,它会应用规则操作,如果您在操作规范中定义了任何自定义处理或标签,则该规则将应用这些操作。这种请求处理方式与匹配规则将其操作设置应用于匹配的 Web 请求的方式相同。基于速率的规则仅对主动限制速率的请求应用标签或执行其他操作。

你可以使用任何规则操作,但以下情况除外 Allow。 有关规则操作的一般信息,请参见在中使用规则操作 AWS WAF

以下列表描述了每个操作的速率限制是如何起作用的。

  • Block – AWS WAF 阻止请求并应用您定义的任何自定义屏蔽行为。

  • Count – AWS WAF 对请求进行计数,应用您定义的所有自定义标题或标签,然后继续对请求ACL进行网络评估。

    此操作不会限制请求的速率。它只计算超过限制的请求。

  • CAPTCHA 或者 Challenge – AWS WAF 处理请求要么像 Block 或者像 Count,具体取决于请求令牌的状态。

    此操作不会限制具有有效令牌的请求的速率。它限制了超过限制且缺少有效令牌的请求速率。

    • 如果请求没有有效的未过期令牌,则该操作会阻止该请求并将CAPTCHA拼图或浏览器质询发送回客户端。

      如果最终用户或客户端浏览器成功响应,则客户端会收到有效的令牌并自动重新发送原始请求。如果聚合实例的速率限制仍然有效,则这个带有有效的未过期令牌的新请求将按照下一个要点中所述的操作进行应用。

    • 如果请求具有有效的、未过期的令牌,CAPTCHA 或者 Challenge action 会验证令牌并且不对请求采取任何操作,类似于 Count 行动。基于速率的规则在ACL不采取任何终止操作的情况下将请求评估返回到 Web,然后 Web ACL 继续对请求进行评估。

    有关更多信息,请参阅 使用 CAPTCHA 以及 Challenge in AWS WAF

如果您仅对 IP 地址或转发 IP 地址进行速率限制

将规则配置为仅对转发的 IP 地址的 IP 地址进行速率限制时,可以检索该规则当前限制速率的 IP 地址列表。如果您使用的是 scope-down 语句,则受速率限制的请求只是 IP 列表中与 scope-down 语句匹配的请求。有关检索 IP 地址列表的信息,请参阅 列出基于速率的规则实施速率限制的 IP 地址