將速率限制套用至請求 AWS WAF - AWS WAFAWS Firewall Manager、 和 AWS Shield Advanced

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

將速率限制套用至請求 AWS WAF

本節說明速率限制行為如何適用於以速率為基礎的規則。

該標準 AWS WAF 以費率為基準的規則對限制請求進行評分的用途與條件相同 AWS WAF 用於彙總規則的請求。如果您定義規則的向下範圍陳述式, AWS WAF 只會彙總、計數和速率限制要求,符合範圍向下陳述式。

導致以比率為基礎的規則將其規則作業設定套用至特定 Web 請求的比對條件如下:

  • Web 要求符合規則的範圍向下陳述式 (如果已定義)。

  • Web 要求屬於要求計數目前超過規則限制的彙總執行個體。

方法 AWS WAF 套用規則動作

當以費率為基礎的規則將費率限制套用至請求時,它會套用規則作業,而且,如果您已在作業規格中定義任何自訂處理或標籤,則規則會套用這些處理。此要求處理方式與比對規則將其動作設定套用至相符 Web 要求的方式相同。以速率為基礎的規則只會套用標籤或對其主動速率限制的請求執行其他動作。

您可以使用任何規則動作,但 Allow。 如需有關規則動作的一般資訊,請參閱使用規則動作於 AWS WAF

下列清單說明速率限制對每個動作的運作方式。

  • Block – AWS WAF 封鎖要求並套用您已定義的任何自訂封鎖行為。

  • Count – AWS WAF 計算要求、套用您已定義的任何自訂標頭或標籤,並繼續對要求進行 Web ACL 評估。

    此動作不會限制要求的頻率。它只是計算超過限制的請求。

  • CAPTCHA 或 Challenge – AWS WAF 像處理請求一樣 Block 或者像一個 Count,取決於請求令牌的狀態。

    此操作不會限制具有有效令牌的請求率。它限制了超過限制並且缺少有效令牌的請求的速率。

    • 如果請求沒有有效的未過期令牌,則操作會阻止請求並將CAPTCHA難題或瀏覽器挑戰發送回客戶端。

      如果最終用戶或客戶端瀏覽器響應成功,則客戶端會收到有效的令牌,並自動重新發送原始請求。如果彙總執行個體的速率限制仍然有效,這個具有有效、未過期權杖的新要求將會套用動作,如下一個 bullet 點所述。

    • 如果請求具有有效的未過期令牌,則 CAPTCHA 或 Challenge 操作驗證令牌,並對請求不採取任何操作,類似於 Count 動作。以速率為基礎的規則會將請求評估傳回 Web,ACL而不採取任何終止動作,而 Web 會ACL繼續評估要求。

    如需其他資訊,請參閱 使用 CAPTCHA 以及 Challenge in AWS WAF

如果您的速率限制只有 IP 地址或轉發的 IP 地址

當您將規則設定為僅限制轉寄 IP 位址的 IP 位址時,您可以擷取規則目前為速率限制的 IP 位址清單。如果您使用的是範圍向下陳述式,則速率限制的要求只是 IP 清單中符合範圍向下陳述式的要求。如需擷取 IP 位址清單的相關資訊,請參閱列出受速率規則限制的 IP 位址