Co je omezování rychlosti pro Azure Front Door?
Omezování rychlosti umožňuje detekovat a blokovat neobvykle vysoké úrovně provozu z jakékoli IP adresy soketu. Pomocí firewallu webových aplikací Azure ve službě Azure Front Door můžete zmírnit některé typy útoků na dostupnost služby. Omezování rychlosti také chrání před klienty, kteří byli omylem chybně nakonfigurovaní tak, aby v krátkém časovém období odesílaly velké objemy požadavků.
IP adresa soketu je adresa klienta, který inicioval připojení TCP ke službě Azure Front Door. IP adresa soketu je obvykle IP adresa uživatele, ale může se jednat také o IP adresu proxy serveru nebo jiného zařízení, které se nachází mezi uživatelem a službou Azure Front Door, pokud máte více klientů, kteří přistupují ke službě Azure Front Door z různých IP adres soketů, používají se jejich vlastní limity přenosové rychlosti.
Konfigurace zásad omezení rychlosti
Omezení rychlosti se konfiguruje pomocí vlastních pravidel WAF.
Při konfiguraci pravidla omezení rychlosti zadáte prahovou hodnotu. Prahová hodnota je počet webových požadavků, které jsou povoleny z každé IP adresy soketu v časovém intervalu jedné minuty nebo pěti minut.
Musíte také zadat aspoň jednu podmínku shody, která službě Azure Front Door říká, kdy má aktivovat limit rychlosti. Můžete nakonfigurovat více omezení rychlosti, které platí pro různé cesty v rámci vaší aplikace.
Pokud potřebujete použít pravidlo omezení rychlosti pro všechny vaše požadavky, zvažte použití podmínky shody, jako je následující příklad:
Předchozí podmínka shody identifikuje všechny požadavky s hlavičkou Host
delší než 0
. Vzhledem k tomu, že všechny platné požadavky HTTP pro Azure Front Door obsahují hlavičku Host
, má tato podmínka shody vliv na porovnávání všech požadavků HTTP.
Omezení rychlosti a servery Azure Front Door
Požadavky ze stejného klienta často přicházejí na stejný server Azure Front Door. V takovém případě se zobrazí, že se požadavky zablokují, jakmile se dosáhne limitu rychlosti pro každou IP adresu klienta.
Je možné, že požadavky ze stejného klienta můžou přijít na jiný server Služby Azure Front Door, který ještě neaktualizuje čítače omezení rychlosti. Klient může například pro každý požadavek otevřít nové připojení TCP a každé připojení TCP může být směrováno na jiný server Azure Front Door.
Pokud je prahová hodnota dostatečně nízká, první požadavek na nový server Azure Front Door může projít kontrolou omezení rychlosti. U nízké prahové hodnoty (například méně než 200 požadavků za minutu) se tedy můžou zobrazit některé požadavky nad prahovou hodnotou.
Při určování prahových hodnot a časových intervalů pro omezování rychlosti je potřeba vzít v úvahu několik důležitých informací:
- Větší velikost okna s nejmenší přijatelnou prahovou hodnotou počtu požadavků je nejúčinnější konfigurací pro prevenci útoků DDoS. Tato konfigurace je efektivnější, protože když útočník dosáhne prahové hodnoty, kterou zablokuje po zbytek okna omezení rychlosti. Proto pokud je útočník zablokovaný v prvních 30 sekundách 1minutového intervalu, bude omezen pouze na zbývající 30 sekund. Pokud je útočník zablokovaný v první minutě pětiminutového intervalu, je rychlost omezená na zbývající čtyři minuty.
- Nastavení větších velikostí časových intervalů (například pět minut přes jednu minutu) a větší prahové hodnoty (například 200 přes 100) jsou při vynucování prahových hodnot limitu rychlosti přesnější než použití kratších velikostí časových intervalů a nižších prahových hodnot.
- Omezování rychlosti WAF ve službě Azure Front Door funguje na pevném časovém období. Jakmile dojde k porušení prahové hodnoty limitu rychlosti, zablokuje se veškerý provoz odpovídající pravidlu omezování rychlosti po zbytek pevného okna.
Další kroky
- Nakonfigurujte omezení rychlosti ve službě Azure Front Door WAF.
- Projděte si osvědčené postupy omezování rychlosti.