本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
若要限制各種類別的請求數量,您可以將速率限制與將標籤新增至請求的任何規則或規則群組結合。若要這麼做,您可以設定 Web ACL,如下所示:
-
新增新增標籤的規則或規則群組,並加以設定,使其不會封鎖或允許您想要評分限制的請求。如果您使用受管規則群組,您可能需要將一些規則群組規則動作覆寫為 Count,才能達成此行為。
-
將速率型規則新增至您的 Web ACL,其優先順序數字設定高於標籤規則和規則群組。 會以數字順序 AWS WAF 評估規則,從最低開始,因此您的速率型規則將在標籤規則之後執行。在規則的範圍縮減陳述式和標籤彙總中,使用標籤比對的組合來設定標籤的速率限制。
下列範例使用 Amazon IP 評價清單 AWS 受管規則規則群組。規則群組規則AWSManagedIPDDoSList
會偵測和標記已知 IPs正主動參與 DDoS 活動的請求。規則的動作在規則群組定義Count中設定為 。如需規則群組的詳細資訊,請參閱 Amazon IP 評價清單受管規則群組。
下列 Web ACL JSON 清單使用 IP 評價規則群組,後面接著標籤比對速率型規則。以速率為基礎的規則使用縮小範圍陳述式來篩選由規則群組規則標記的請求。以速率為基礎的規則陳述式會彙總並限制依其 IP 地址篩選的請求。
{
"Name": "test-web-acl",
"Id": ...
"ARN": ...
"DefaultAction": {
"Allow": {}
},
"Description": "",
"Rules": [
{
"Name": "AWS-AWSManagedRulesAmazonIpReputationList",
"Priority": 0,
"Statement": {
"ManagedRuleGroupStatement": {
"VendorName": "AWS",
"Name": "AWSManagedRulesAmazonIpReputationList"
}
},
"OverrideAction": {
"None": {}
},
"VisibilityConfig": {
"SampledRequestsEnabled": true,
"CloudWatchMetricsEnabled": true,
"MetricName": "AWS-AWSManagedRulesAmazonIpReputationList"
}
},
{
"Name": "test-rbr",
"Priority": 1,
"Statement": {
"RateBasedStatement": {
"Limit": 100,
"EvaluationWindowSec": 300,
"AggregateKeyType": "IP",
"ScopeDownStatement": {
"LabelMatchStatement": {
"Scope": "LABEL",
"Key": "awswaf:managed:aws:amazon-ip-list:AWSManagedIPDDoSList"
}
}
}
},
"Action": {
"Block": {}
},
"VisibilityConfig": {
"SampledRequestsEnabled": true,
"CloudWatchMetricsEnabled": true,
"MetricName": "test-rbr"
}
}
],
"VisibilityConfig": {
"SampledRequestsEnabled": true,
"CloudWatchMetricsEnabled": true,
"MetricName": "test-web-acl"
},
"Capacity": 28,
"ManagedByFirewallManager": false,
"RetrofittedByFirewallManager": false,
"LabelNamespace": "awswaf:0000000000:webacl:test-web-acl:"
}