Presentamos una nueva experiencia de consola para AWS WAF
Ahora puede usar la experiencia actualizada para acceder a las funciones de AWS WAF desde cualquier parte de la consola. Para obtener más información, consulta Trabajo con la experiencia de consola actualizada.
Limitación de las tasas de las solicitudes con etiquetas específicas
Para limitar el número de solicitudes de diferentes categorías, puede combinar la limitación de tasas con cualquier regla o grupo de reglas que agregue etiquetas a las solicitudes. Para ello, configure su paquete de protección (ACL web) de la siguiente manera:
-
Agregue las reglas o los grupos de reglas que agregan etiquetas y configúrelos para que no bloqueen ni permitan las solicitudes cuya tasa desea limitar. Si usa grupos de reglas administradas, es posible que deba anular algunas acciones de regla de los grupos de reglas Count para lograr este comportamiento.
-
Agregue una regla basada en tasas a su paquete de protección (ACL web) con una configuración de número de prioridad superior a la de las reglas de etiquetado y los grupos de reglas. AWS WAF evalúa las reglas en orden numérico, empezando por el más bajo, de modo que la regla basada en tasas se ejecute después de las reglas de etiquetado. Configure el límite de tasas en las etiquetas mediante una combinación de concordancia de etiquetas en la instrucción de restricción de acceso y agregación de etiquetas de la regla.
En el siguiente ejemplo, se utiliza el grupo de reglas administradas de AWS de la lista de reputaciones de IP de Amazon. La regla AWSManagedIPDDoSList del grupo de reglas detecta y etiqueta las solicitudes cuyas IP se sabe que participan activamente en actividades de DDoS. La acción de regla está configurada en Count en la definición del grupo de reglas. Para obtener más información acerca de este grupo de reglas, consulte grupo de reglas administradas con lista de reputación de IP de Amazon.
La siguiente lista de JSON de paquete de protección (ACL web) usa el grupo de reglas de reputación de IP seguido de una regla basada en tasas de coincidencia de etiquetas. La regla basada en tasas utiliza una instrucción de restricción de acceso para filtrar las solicitudes que han sido marcadas por la regla del grupo de reglas. La instrucción de regla basada en tasas agrega y limita las tasas de las solicitudes filtradas por sus direcciones IP.
{ "Name": "test-web-acl", "Id": ... "ARN": ... "DefaultAction": { "Allow": {} }, "Description": "", "Rules": [ { "Name": "AWS-AWSManagedRulesAmazonIpReputationList", "Priority": 0, "Statement": { "ManagedRuleGroupStatement": { "VendorName": "AWS", "Name": "AWSManagedRulesAmazonIpReputationList" } }, "OverrideAction": { "None": {} }, "VisibilityConfig": { "SampledRequestsEnabled": true, "CloudWatchMetricsEnabled": true, "MetricName": "AWS-AWSManagedRulesAmazonIpReputationList" } }, { "Name": "test-rbr", "Priority": 1, "Statement": { "RateBasedStatement": { "Limit": 100, "EvaluationWindowSec": 300, "AggregateKeyType": "IP", "ScopeDownStatement": { "LabelMatchStatement": { "Scope": "LABEL", "Key": "awswaf:managed:aws:amazon-ip-list:AWSManagedIPDDoSList" } } } }, "Action": { "Block": {} }, "VisibilityConfig": { "SampledRequestsEnabled": true, "CloudWatchMetricsEnabled": true, "MetricName": "test-rbr" } } ], "VisibilityConfig": { "SampledRequestsEnabled": true, "CloudWatchMetricsEnabled": true, "MetricName": "test-web-acl" }, "Capacity": 28, "ManagedByFirewallManager": false, "RetrofittedByFirewallManager": false, "LabelNamespace": "awswaf:0000000000:webacl:test-web-acl:" }
