¿Cómo aplico un límite de tasa a un URI o parámetro de solicitud específico en AWS WAF?

6 minutos de lectura
0

¿Cómo aplico un límite de tasa a un URI o parámetro de solicitud específico en AWS WAF?

Descripción corta

AWS WAF cuenta con reglas basadas en tasas que rastrean la tasa de solicitudes de cada dirección IP de origen. Las reglas inician la acción de la regla en las IP con tasas que superan un límite específico en un período de cinco minutos.

Puede usar una regla basada en tasas para bloquear temporalmente las solicitudes de una dirección IP que envía solicitudes excesivas. De forma predeterminada, AWS WAF agrega las solicitudes en función de la dirección IP del origen de la solicitud web. Sin embargo, puede configurar la regla para que utilice una dirección IP de un encabezado HTTP, como X-Forwarded-For.

Para estas instrucciones de reglas basadas en tasas, también puede definir condiciones como parte de las instrucciones de reducción de alcance. Puede definir condiciones para que solo las solicitudes que coincidan con las instrucciones de alcance reducido se tengan en cuenta para su evaluación por esa regla.

Nota: La consola de AWS WAF no tiene una opción de “declaraciones de alcance reducido” para una regla basada en tasas. Seleccione la opción Only consider requests that match the criteria in a rule statement (Considerar solo solicitudes que coincidan con los criterios de una sentencia de regla) para crear el equivalente a una sentencia de alcance reducido.

La siguiente resolución considera dos situaciones en las que puede personalizar la regla basada en tasas en un parámetro específico.

Resolución

Escenario 1: Agregar un límite de tasa a un URI específico

Nota: Puede especificar cualquier parámetro de solicitud.

  1. Abra la consola de AWS WAF.
  2. Seleccione Web ACLs (ACL web)
  3. Seleccione la ACL web y, a continuación, seleccione la pestaña Rules (Reglas).
  4. Seleccione Add rules (Agregar reglas).
  5. Seleccione Add my own rules and rule groups (Agregar mis propias reglas y grupos de reglas).
  6. Seleccione Rule builder (Generador de reglas) en Rule type (Tipo de regla).
  7. Especifique un valor para Name (Nombre) y seleccione Rate-based rule (Regla basada en tasas).
  8. Especifique los siguientes parámetros para Request rate details (Detalles de tasa de solicitud):
    Rate limit (Límite de tasa): especifique un número entre 100 y 20 000 000. Esta será la cantidad máxima de solicitudes permitidas para cada IP en un período de 5 minutos.
    (IP address to use for rate limiting) Dirección IP que se va a usar para limitar la tasa: si desea limitar la tasa en función del campo IP del cliente, seleccione Source IP address (Dirección IP de origen). O bien, si desea establecer un límite de tasa en función de la dirección IP del encabezado, seleccione IP address in header (Dirección IP en el encabezado). Por ejemplo, X-Forwarder-for.
    Criteria to count request towards rate limit (Criterios para contar las solicitudes respecto al límite de tasa): seleccione Only consider requests that match the criteria in a rule statement (Considerar solo las solicitudes que coincidan con los criterios de una sentencia de regla).
  9. En la lista desplegable If a request (Si una solicitud), seleccione matches the statement (coincide con la declaración). Si tiene que especificar varias condiciones, puede cambiar esta selección de acuerdo con su caso de uso.
  10. Complete los siguientes campos en la sección de detalles de Statement (Declaración):
    Nota: En este ejemplo, el límite de tasa está en la ruta de URI “/admin”. Puede cambiar los detalles en función de su caso de uso.
    Inspect: URI path
    Match type: Contains string
    String to match: /admin
    Text transformation: None
  11. En la sección Action (Acción), seleccione Block (Bloquear).
  12. Seleccione Add rule (Agregar regla). Mueva la regla a la prioridad correcta para su caso de uso y, a continuación, seleccione Save (Guardar).

Escenario 2: Excluir las IP internas seleccionadas de las reglas de límite de tasa

En este escenario, crea un conjunto de IP que contiene todas sus IP internas. A continuación, excluya este conjunto de IP en la declaración de alcance reducido.

Siga los pasos siguientes para excluir un conjunto de IP de una regla basada en tasas:

  1. Abra la consola de AWS WAF.
  2. Seleccione Web ACLs (ACL web).
  3. Seleccione la ACL web y, a continuación, seleccione la pestaña Rules (Reglas).
  4. Seleccione Add rules (Agregar reglas).
  5. Seleccione Add my own rules and rule groups (Agregar mis propias reglas y grupos de reglas).
  6. Seleccione Rule builder (Generador de reglas) en Rule type (Tipo de regla).
  7. Especifique un valor para Name (Nombre) y seleccione Rate-based rule (Regla basada en tasas) como valor para Type (Tipo).
  8. Especifique los siguientes parámetros para Request rate details (Detalles de tasa de solicitud):
    Rate limit (Límite de tasa): especifique un número entre 100 y 20 000 000. Esta será la cantidad máxima de solicitudes permitidas para cada IP en un período de 5 minutos.
    IP address to use for rate limiting (Dirección IP que se va a usar para limitar la tasa): si desea limitar la tasa en función del campo IP del cliente, seleccione Source IP address (Dirección IP de origen). O bien, si desea establecer el límite de tasa en función de la dirección IP del encabezado, seleccione IP address in header (Dirección IP en el encabezado). Por ejemplo, X-Forwarder-for.
    Criteria to count request towards rate limit (Criterios para contar las solicitudes respecto al límite de tasa): seleccione Only consider requests that match the criteria in a rule statement (Considerar solo las solicitudes que coincidan con los criterios de una sentencia de regla).
  9. En la lista desplegable If a request (Si una solicitud), seleccione Doesn’t matches the statement (NOT) (No coincide con la declaración [NO]).
  10. Complete los siguientes campos en la sección de detalles de Statement (Declaración):
    Inspect (Inspeccionar): Se origina a partir de una dirección IP en.
    IP set (Conjunto de IP): seleccione el conjunto de IP en la lista desplegable.
    IP address to use as the originating address (Dirección IP que se utilizará como dirección de origen): si desea que el límite de tasa se base en el campo IP del cliente, seleccione Dirección IP de origen. O bien, si desea establecer el límite de tasa en función de la dirección IP del encabezado, seleccione IP address in header (Dirección IP en el encabezado). Por ejemplo, X-Forwarder-for.
  11. En la sección Action (Acción), seleccione Block (Bloquear).
  12. Seleccione Add rule (Agregar regla). Mueva la regla a la prioridad correcta para su caso de uso y, a continuación, seleccione Save (Guardar).

OFICIAL DE AWS
OFICIAL DE AWSActualizada hace 2 años