Wir stellen vor: ein neues Konsolenerlebnis für AWS WAF
Sie können das aktualisierte Erlebnis jetzt verwenden, um überall in der Konsole auf AWS WAF Funktionen zuzugreifen. Weitere Details finden Sie unter Arbeiten mit der aktualisierten Konsolenerfahrung.
Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Ratenbegrenzung der Anfragen mit bestimmten Labels
Um die Anzahl der Anfragen verschiedener Kategorien zu begrenzen, können Sie die Ratenbegrenzung mit jeder Regel oder Regelgruppe kombinieren, die Anfragen Labels hinzufügt. Zu diesem Zweck konfigurieren Sie Ihr Schutzpaket (Web-ACL) wie folgt:
-
Fügen Sie die Regeln oder Regelgruppen hinzu, die Labels hinzufügen, und konfigurieren Sie sie so, dass sie die Anfragen, für die Sie eine Ratenbegrenzung festlegen möchten, nicht blockieren oder zulassen. Wenn Sie verwaltete Regelgruppen verwenden, müssen Sie möglicherweise einige Regelgruppenregelaktionen überschreiben, Count um dieses Verhalten zu erreichen.
-
Fügen Sie Ihrem Schutzpaket (Web-ACL) eine ratenbasierte Regel hinzu, deren Prioritätszahl höher ist als die der Labeling-Regeln und Regelgruppen. AWS WAF wertet Regeln in numerischer Reihenfolge aus, beginnend mit der niedrigsten Zahl, sodass Ihre ratenbasierte Regel nach den Kennzeichnungsregeln ausgeführt wird. Konfigurieren Sie Ihre Ratenbegrenzung für die Labels mithilfe einer Kombination aus dem Label-Abgleich in der Scopedown-Anweisung der Regel und der Label-Aggregation.
Im folgenden Beispiel wird die Regelgruppe AWS Managed Rules der Amazon IP-Reputationsliste verwendet. Die Regelgruppenregel AWSManagedIPDDoSList erkennt und kennzeichnet Anfragen, von IPs denen bekannt ist, dass sie aktiv an DDo S-Aktivitäten beteiligt sind. Die Aktion der Regel ist Count in der Regelgruppendefinition so konfiguriert. Weitere Informationen zur Regelgruppe finden Sie unterAmazon IP-Reputationsliste.
Die folgende JSON-Liste des Protection Packs (Web ACL) verwendet die IP-Reputationsregelgruppe, gefolgt von einer Regel, die auf der Rate des Labelabgleichs basiert. Die ratenbasierte Regel verwendet eine Scopedown-Anweisung, um nach Anfragen zu filtern, die durch die Regelgruppenregel gekennzeichnet wurden. Die ratenbasierte Regelanweisung aggregiert die gefilterten Anfragen anhand ihrer IP-Adressen und begrenzt die Rate.
{ "Name": "test-web-acl", "Id": ... "ARN": ... "DefaultAction": { "Allow": {} }, "Description": "", "Rules": [ { "Name": "AWS-AWSManagedRulesAmazonIpReputationList", "Priority": 0, "Statement": { "ManagedRuleGroupStatement": { "VendorName": "AWS", "Name": "AWSManagedRulesAmazonIpReputationList" } }, "OverrideAction": { "None": {} }, "VisibilityConfig": { "SampledRequestsEnabled": true, "CloudWatchMetricsEnabled": true, "MetricName": "AWS-AWSManagedRulesAmazonIpReputationList" } }, { "Name": "test-rbr", "Priority": 1, "Statement": { "RateBasedStatement": { "Limit": 100, "EvaluationWindowSec": 300, "AggregateKeyType": "IP", "ScopeDownStatement": { "LabelMatchStatement": { "Scope": "LABEL", "Key": "awswaf:managed:aws:amazon-ip-list:AWSManagedIPDDoSList" } } } }, "Action": { "Block": {} }, "VisibilityConfig": { "SampledRequestsEnabled": true, "CloudWatchMetricsEnabled": true, "MetricName": "test-rbr" } } ], "VisibilityConfig": { "SampledRequestsEnabled": true, "CloudWatchMetricsEnabled": true, "MetricName": "test-web-acl" }, "Capacity": 28, "ManagedByFirewallManager": false, "RetrofittedByFirewallManager": false, "LabelNamespace": "awswaf:0000000000:webacl:test-web-acl:" }
