Limite de intervalo de solicitações com rótulos específicos - Administrador de segurança da rede do AWS WAF, AWS Firewall Manager, AWS Shield Advanced e AWS Shield

Apresentação de uma nova experiência de console para o AWS WAF

Agora você pode usar a experiência atualizada para acessar a funcionalidade do AWS WAF em qualquer lugar no console. Consulte mais detalhes em Trabalhar com a experiência atualizada do console.

Limite de intervalo de solicitações com rótulos específicos

Para limitar o número de solicitações de várias categorias, você pode combinar a limitação de intervalo com qualquer regra ou grupo de regras que adicione rótulos às solicitações. Para fazer isso, você configura o pacote de proteção (ACL da Web) da seguinte forma:

  • Adicione as regras ou grupos de regras que adicionam rótulos e configure-os para que não bloqueiem ou permitam as solicitações que você deseja limitar. Se você usa grupos de regras gerenciadas, talvez seja necessário substituir algumas ações de regras de grupos de regras para Count alcançar esse comportamento.

  • Adicione uma regra baseada em intervalos ao pacote de proteção (ACL da Web) com uma configuração de número de prioridade mais alta do que as regras de rotulagem e os grupos de regras. O AWS WAF avalia as regras em ordem numérica, começando pela mais baixa, para que sua regra baseada em taxas seja executada após as regras de rotulagem. Configure seu limite de intervalo nos rótulos usando uma combinação de correspondência de rótulos na instrução de redução de escopo e agregação de rótulos da regra.

O exemplo a seguir usa o grupo de regras das regras gerenciadas da AWS da lista de reputação de IPs da Amazon. A regra do grupo de regras AWSManagedIPDDoSList detecta e rotula solicitações cujos IPs são conhecidos por estarem ativamente envolvidos em atividades de DDoS. A ação de regra é configurada para Count na definição do grupo de regras. Para obter mais informações sobre o grupo de regras, consulte Grupo de regras gerenciadas da lista de reputação de IPs da Amazon.

A lista JSON do pacote de proteção (ACL da Web) a seguir usa o grupo de regras de reputação de IP seguido por uma regra baseada em taxas de correspondência de rótulos. A regra baseada em intervalos usa uma instrução de redução de escopo para filtrar as solicitações que foram marcadas pela regra do grupo de regras. A instrução de regra baseada em intervalos agrega e limita as solicitações filtradas por seus endereços IP. 

{
  "Name": "test-web-acl",
  "Id": ... 
  "ARN": ...
  "DefaultAction": {
    "Allow": {}
  },
  "Description": "",
  "Rules": [
    {
      "Name": "AWS-AWSManagedRulesAmazonIpReputationList",
      "Priority": 0,
      "Statement": {
        "ManagedRuleGroupStatement": {
          "VendorName": "AWS",
          "Name": "AWSManagedRulesAmazonIpReputationList"
        }
      },
      "OverrideAction": {
        "None": {}
      },
      "VisibilityConfig": {
        "SampledRequestsEnabled": true,
        "CloudWatchMetricsEnabled": true,
        "MetricName": "AWS-AWSManagedRulesAmazonIpReputationList"
      }
    },
    {
      "Name": "test-rbr",
      "Priority": 1,
      "Statement": {
        "RateBasedStatement": {
          "Limit": 100,
          "EvaluationWindowSec": 300,
          "AggregateKeyType": "IP",
          "ScopeDownStatement": {
            "LabelMatchStatement": {
              "Scope": "LABEL",
              "Key": "awswaf:managed:aws:amazon-ip-list:AWSManagedIPDDoSList"
            }
          }
        }
      },
      "Action": {
        "Block": {}
      },
      "VisibilityConfig": {
        "SampledRequestsEnabled": true,
        "CloudWatchMetricsEnabled": true,
        "MetricName": "test-rbr"
      }
    }
  ],
  "VisibilityConfig": {
    "SampledRequestsEnabled": true,
    "CloudWatchMetricsEnabled": true,
    "MetricName": "test-web-acl"
  },
  "Capacity": 28,
  "ManagedByFirewallManager": false,
  "RetrofittedByFirewallManager": false,
  "LabelNamespace": "awswaf:0000000000:webacl:test-web-acl:"
}