迁移到新的速率限制规则
CIS WAF 能够自动保护系统免受漏洞攻击,同时允许用户灵活地创建 WAF 自定义规则。
CIS 建议您创建新的基于规则集的速率限制规则,以取代您可能在以前的速率限制规则处理中配置的任何现有速率限制规则。
限速规则的新旧实现方式具有不同的规则列表,因为两种实现方式提供的功能集不同。 通过 Rulesets API 使用新的速率限制规则,重新创建速率限制配置(前一版本)。
如果您使用的是旧版本的速率限制,则可以同时使用旧版本和新版本的产品。 这两套规则都适用于传入流量,新的速率限制逻辑优先运行。 如需了解有关新的限速实施的更多信息,包括每个 CIS 计划中的可用功能,请参阅 限速规则API。
不同版本的主要区别
以下是传统费率限制规则和新费率限制规则的主要区别。
高级范围表达式
速率限制版本允许您根据请求的单一路径和方法来确定规则的范围。 在新版本中,您可以编写类似于 防火墙规则 或 WAF自定义规则 的规则,结合 HTTP 请求的多个参数。
单独的计数和缓解表达式
在新版本的速率限制中,计数和缓解表达式是分开的。 计数表达式定义了哪些请求用于计算速率。 缓解表达式定义了在达到阈值后哪些请求将被缓解。 使用这些单独的表达式,您可以跟踪特定路径(如 /login
)上的请求率,当某个IP超过阈值时,阻止来自同一IP的每个指向您域的请求。
针对应用程序接口用户的相关更改
新的速率限制规则以 Ruleset Engine 规则语言 为基础。 要使用 API 配置速率限制规则,必须使用 Rulesets API。 所有最新的 CIS 安全产品都使用了 Rulesets API,以便在与 CIS API 交互时提供统一的用户体验。
之前的速率限制 API 已被弃用。 将您的 API 调用迁移到新的 Rulesets API。
建议使用 http_ratelimit
阶段,通过 Rulesets API 重新创建您的速率限制规则,从而手动迁移这些规则。 这样,您就可以充分利用新功能,并在过渡期间完善您的速率限制逻辑。
2025 年 7 月 30 日之后,传统的速率限制 API 将不再支持创建或修改规则。 在此日期之后,任何现有的费率限制规则都将自动迁移到新框架中。