对中的请求应用速率限制 Amazon WAF - Amazon WAFAmazon Firewall Manager、和 Amazon Shield Advanced
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

对中的请求应用速率限制 Amazon WAF

本节介绍了速率限制行为如何适用于基于速率的规则。

Amazon WAF 用于对基于速率的规则的请求进行速率限制的标准与用于汇总该 Amazon WAF 规则请求的标准相同。如果您为规则定义了范围缩小语句,则 Amazon WAF 只会聚合 scope-down 语句匹配的请求、计数请求和速率限制请求。

要使基于速率的规则将其规则操作设置应用于特定 Web 请求,匹配条件如下:

  • Web 请求与规则的范围缩小语句(如果已定义)相匹配。

  • Web 请求属于一个聚合实例,其请求数当前已超过规则的限制。

如何 Amazon WAF 应用规则操作

当基于速率的规则对请求应用速率限制时,它会应用该规则操作,如果您在操作规范中定义了任何自定义处理或标签,则该规则将应用这些操作。这种请求处理方式与匹配规则将其操作设置应用于匹配的 Web 请求的方式相同。基于速率的规则仅对主动限制速率的请求应用标签或执行其他操作。

你可以使用任何规则操作,但以下情况除外 Allow。 有关规则操作的一般信息,请参见在中使用规则操作 Amazon WAF

以下列表描述了速率限制如何适用于各项操作。

  • Block— Amazon WAF 阻止请求并应用您定义的任何自定义屏蔽行为。

  • Count— 对请求进行 Amazon WAF 计数,应用您定义的所有自定义标头或标签,并继续对请求进行 Web ACL 评估。

    此操作不会限制请求的速率。它只计算超出限制的请求。

  • CAPTCHA 或 Challenge— 像 Amazon WAF 处理请求一样处理请求 Block 或者像 Count,具体取决于请求令牌的状态。

    此操作不会限制具有有效令牌的请求的速率。它会限制超过限制而且还缺少有效令牌的请求的速率。

    • 如果请求没有有效的未过期令牌,则该操作会阻止该请求并将验证码拼图或浏览器质询发送回客户端。

      如果最终用户或客户端浏览器成功响应,则客户端会收到有效的令牌并自动重新发送原始请求。如果聚合实例的速率限制仍然有效,则这个带有有效的未过期令牌的新请求将按照下一个要点中所述的操作进行应用。

    • 如果请求具有有效的、未过期的令牌,CAPTCHA 或 Challenge action 会验证令牌并且不对请求采取任何操作,类似于 Count 行动。基于速率的规则在不采取任何终止操作的情况下将请求评估返回到 Web ACL,然后 Web ACL 继续对请求进行评估。

    有关更多信息,请参阅 CAPTCHA 以及 Challenge 在 Amazon WAF中

如果您仅对 IP 地址或转发 IP 地址进行速率限制

当将规则配置为仅对转发 IP 地址的 IP 地址进行速率限制时,您可以检索规则当前实施速率限制的 IP 地址的列表。如果使用范围缩小语句,则受速率限制的请求只是 IP 列表中与范围缩小语句匹配的请求。有关检索 IP 地址列表的信息,请参阅 列出基于速率的规则实施速率限制的 IP 地址