速率限制帶有特定標籤的請求 - AWS WAF、AWS Firewall Manager 與 AWS Shield Advanced

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

速率限制帶有特定標籤的請求

您可以將速率限制與將標籤新增至要求的任何規則或規則群組結合使用,以限制不同類別的要求數目。若要執行這項操作,請依照下列方式設定 Web ACL:

  • 新增新增標籤的規則或規則群組,並加以設定,使其不會封鎖或允許您要設定頻率限制的要求。如果您使用受管規則群組,您可能需要覆寫某些規則群組規則動作Count才能達成此行為。

  • 使用高於標籤規則和規則群組的優先順序編號設定,將以速率為基礎的規則新增至 Web ACL。 AWS WAF以數字順序評估規則 (從最低值開始),因此您的速率型規則會在標籤規則之後執行。使用規則向下範圍陳述式和標籤彙總中的標籤比對組合來設定標籤的速率限制。

下列範例使用 Amazon IP 信譽清單AWS受管規則規則群組。規則群組規則會AWSManagedIPDDoSList偵測並標記其 IP 已知會積極參與 DDoS 活動的要求。規則的動作在規則群組定義Count中設定為。如需規則群組的詳細資訊,請參閱Amazon IP 信譽清單受管規則群組

下列 Web ACL JSON 清單使用 IP 信譽規則群組,後面接著以標籤比對速率為基礎的規則。以速率為基礎的規則會使用範圍向下陳述式來篩選已由規則群組規則標記的要求。以速率為基礎的規則陳述式會彙總並依據其 IP 位址來限制已篩選的要求。

{ "Name": "test-web-acl", "Id": ... "ARN": ... "DefaultAction": { "Allow": {} }, "Description": "", "Rules": [ { "Name": "AWS-AWSManagedRulesAmazonIpReputationList", "Priority": 0, "Statement": { "ManagedRuleGroupStatement": { "VendorName": "AWS", "Name": "AWSManagedRulesAmazonIpReputationList" } }, "OverrideAction": { "None": {} }, "VisibilityConfig": { "SampledRequestsEnabled": true, "CloudWatchMetricsEnabled": true, "MetricName": "AWS-AWSManagedRulesAmazonIpReputationList" } }, { "Name": "test-rbr", "Priority": 1, "Statement": { "RateBasedStatement": { "Limit": 100, "AggregateKeyType": "IP", "ScopeDownStatement": { "LabelMatchStatement": { "Scope": "LABEL", "Key": "awswaf:managed:aws:amazon-ip-list:AWSManagedIPDDoSList" } } } }, "Action": { "Block": {} }, "VisibilityConfig": { "SampledRequestsEnabled": true, "CloudWatchMetricsEnabled": true, "MetricName": "test-rbr" } } ], "VisibilityConfig": { "SampledRequestsEnabled": true, "CloudWatchMetricsEnabled": true, "MetricName": "test-web-acl" }, "Capacity": 28, "ManagedByFirewallManager": false, "LabelNamespace": "awswaf:0000000000:webacl:test-web-acl:" }