Co je omezování rychlosti pro Web Application Firewall na Application Gateway (Preview)?
Důležité
Omezování rychlosti pro Web Application Firewall na Application Gateway je v současné době ve verzi PREVIEW. Právní podmínky, které platí pro funkce Azure, které jsou ve verzi beta, verzi Preview nebo které zatím nejsou veřejně dostupné, najdete v Dodatečných podmínkách použití pro Microsoft Azure verze Preview.
Omezování rychlosti pro Web Application Firewall na Application Gateway (Preview) umožňuje detekovat a blokovat neobvykle vysoké úrovně provozu určeného pro vaši aplikaci. Pomocí omezování rychlosti u Application Gateway WAF_v2 můžete zmírnit mnoho typů útoků na dostupnost služby, chránit před klienty, kteří byli omylem chybně nakonfigurováni tak, aby v krátkém časovém období odesílali velké objemy požadavků, nebo můžete řídit přenosovou rychlost do vaší lokality z konkrétních zeměpisných lokalit.
Zásady omezování rychlosti
Omezování rychlosti se konfiguruje pomocí vlastních pravidel WAF v zásadách.
Poznámka
Pravidla omezení rychlosti jsou podporována pouze ve firewallech webových aplikací, na kterých běží nejnovější modul WAF. Abyste měli jistotu, že používáte nejnovější modul, jako výchozí sadu pravidel vyberte CRS 3.2.
Když konfigurujete pravidlo omezení četnosti, musíte zadat prahovou hodnotu: počet požadavků povolených v zadaném časovém období. Omezování rychlosti u Application Gateway WAF_v2 používá algoritmus posuvného okna k určení, kdy provoz překročil prahovou hodnotu a je třeba ho vynechat. Během prvního okna, ve kterém dojde k překročení prahové hodnoty pravidla, se zahodí veškerý další provoz odpovídající pravidlu omezení četnosti. Od druhého okna dále je povolený provoz až do prahové hodnoty v rámci nakonfigurovaného okna, což má vliv na omezování.
Musíte také zadat podmínku shody, která waf informuje, kdy má aktivovat omezení přenosové rychlosti. Můžete nakonfigurovat několik pravidel omezení četnosti, která odpovídají různým proměnným a cestám v rámci zásad.
Application Gateway WAF_v2 také zavádí GroupByUserSession, která se musí nakonfigurovat. GroupByUserSession určuje, jak se požadavky seskupují a počítají pro odpovídající pravidlo omezení četnosti.
Aktuálně jsou k dispozici následující tři proměnné GroupByVariables :
- ClientAddr – toto je výchozí nastavení, které znamená, že každá prahová hodnota omezení četnosti a omezení rizik platí nezávisle na každé jedinečné zdrojové IP adrese.
- GeoLocation – provoz se seskupuje podle zeměpisné oblasti na základě Geo-Match na IP adrese klienta. V případě pravidla omezení četnosti se tedy provoz ze stejné zeměpisné oblasti seskupí dohromady.
- Žádný – Veškerý provoz se seskupí a započítá do prahové hodnoty pravidla omezení přenosové rychlosti. Při překročení prahové hodnoty se akce aktivuje pro veškerý provoz odpovídající pravidlu a neudržuje nezávislé čítače pro každou IP adresu nebo zeměpisnou oblast klienta. Doporučuje se použít možnost None s konkrétními podmínkami shody, jako je přihlašovací stránka nebo seznam podezřelých uživatelských agentů.
Podrobnosti o omezování rychlosti
Nakonfigurované prahové hodnoty omezení četnosti se počítají a sledují nezávisle na každém koncovém bodu, ke kterému jsou zásady Web Application Firewall připojené. Například jedna zásada WAF připojená k pěti různým naslouchacím procesům udržuje nezávislé čítače a vynucování prahových hodnot pro každý z naslouchacích procesů.
Prahové hodnoty omezení četnosti se ne vždy vynucují přesně tak, jak jsou definovány, takže by se neměly používat pro podrobnou kontrolu provozu aplikací. Místo toho se doporučuje ke zmírnění neobvyklých přenosů dat a k zachování dostupnosti aplikace.
Algoritmus posuvného okna blokuje veškerý odpovídající provoz pro první okno, ve kterém je překročena prahová hodnota, a pak omezuje provoz v budoucích oknech. Při definování prahových hodnot pro konfiguraci pravidel široké shody s GeoLocation nebo None jako GroupByVariables postupujte opatrně. Nesprávně nakonfigurované prahové hodnoty můžou vést k častým krátkým výpadkům odpovídajícího provozu.
Dostupnost
Omezování rychlosti v současné době není k dispozici v suverénních oblastech Azure Government a Azure China.