我有一个适用于 EC2 HTTP 服务器的 CloudFront 发行版。我为我的 CloudFront 分配创建了速率限制使用WAF https://docs.aws.amazon.com/waf/latest/APIReference/API_CreateRateBasedRule.html。理论上,任何 IP 地址在任何 5 分钟内都不能发送超过 2,000 个请求。但这似乎不起作用。我在 1 分钟内从我的笔记本电脑(使用 Go 程序)发出了 10,000 个并发请求,并且全部都通过了。我知道它们正在到达 EC2 源,因为我的 HTTP 服务器保留了请求计数器。
奇怪的是,WAF 仪表板甚至识别出流量超出了 5 分钟限制:
Yet no IP blocking took place:
我的 EC2 服务器记录了所有 10,000 个点击。
我是否错过了一些配置的微妙之处?或者 CloudFront 注册流量峰值和实施 IP 阻止之间是否存在较长的延迟?
EDIT:
A config picture:
您可能已经弄清楚了这一点,但是...您必须专门选择AWS WAF Web ACL包含 CloudFront 分配中的速率限制规则。您可以在Distribution Settings- CloudFront 分配的页面(第二项 - 带有标签的下拉列表AWS WAF Web ACL).
如果不这样做,则两者不会连接在一起,这可能可以解释为什么当您期望它们被阻止时您的请求没有被阻止。
