Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Omezování rychlosti pro firewall webových aplikací ve službě Application Gateway umožňuje detekovat a blokovat neobvykle vysoké úrovně provozu určeného pro vaši aplikaci. Pomocí omezování rychlosti pro WAF služby Application Gateway v2 můžete zmírnit mnoho typů útoků na dostupnost služby, chránit před klienty, kteří omylem chybně nakonfigurovali odesílání velkých objemů požadavků za krátkou dobu, nebo řídit rychlost provozu do vaší lokality z konkrétních geografických lokalit.
Zásady omezování rychlosti
Omezení rychlosti se konfiguruje pomocí vlastních pravidel WAF v zásadách.
Poznámka:
Pravidla omezení rychlosti jsou podporována pouze ve firewallech webových aplikací, na kterých běží nejnovější modul WAF. Abyste měli jistotu, že používáte nejnovější engine, vyberte pro výchozí sadu pravidel CRS 3.2. Pravidla omezení rychlosti navíc nejsou podporována v cloudech, které mají mezery vzduchu.
Při konfiguraci pravidla omezení rychlosti musíte zadat prahovou hodnotu: počet požadavků povolených v zadaném časovém období. Omezování rychlosti u WAF v2 služby Application Gateway používá algoritmus posuvného okna k určení, kdy provoz překročil prahovou hodnotu a je potřeba ji vynechat. Během prvního okna, kde dojde k porušení prahové hodnoty pravidla, dojde k vyřazení jakéhokoli dalšího provozu odpovídajícího pravidlu omezení rychlosti. Od druhého okna dále je povolený síťový provoz až do prahové hodnoty nastavené v rámci nakonfigurovaného okna, což má za následek přiškrcení provozu.
Musíte také zadat podmínku shody, která WAF řekne, kdy má aktivovat limit rychlosti. Můžete nakonfigurovat více pravidel omezení rychlosti, která odpovídají různým proměnným a trasám v rámci zásady.
Application Gateway WAF v2 také zavádí GroupByUserSession, která se musí nakonfigurovat. GroupByUserSession určuje, jak se požadavky seskupují a počítají pro odpovídající pravidlo omezení rychlosti.
Aktuálně jsou k dispozici následující tři GroupByVariables:
- ClientAddr – Toto je výchozí nastavení, což znamená, že každá prahová hodnota limitu rychlosti a omezení rizik platí nezávisle na každé jedinečné zdrojové IP adrese.
- Geografická poloha – Provoz je seskupený podle jejich zeměpisné polohy na základě Geo-Match na IP adrese klienta. V případě pravidla omezení rychlosti se tedy provoz ze stejné zeměpisné oblasti seskupí dohromady.
- Žádné – Veškerý provoz je seskupený a počítá se do prahové hodnoty pravidla limitu rychlosti. Když dojde k porušení prahové hodnoty, akce se aktivuje proti veškerému provozu, který odpovídá pravidlu, a neudržuje nezávislé čítače pro každou IP adresu nebo zeměpisnou oblast klienta. Doporučuje se používat žádné s konkrétními podmínkami shody, jako je přihlašovací stránka nebo seznam podezřelých uživatelských agentů.
Podrobnosti o omezování rychlosti
Nakonfigurované prahové hodnoty omezení rychlosti se počítají a sledují nezávisle pro každý koncový bod, ke kterému je připojená zásada firewallu webových aplikací. Například jedna zásada WAF připojená k pěti různým poslechovým procesům udržuje nezávislé čítače a vynucení prahové hodnoty pro každý poslechový proces.
Prahové hodnoty omezení rychlosti se ne vždy vynucují přesně tak, jak jsou definovány, takže by se neměly používat pro jemně odstupňovanou kontrolu provozu aplikací. Místo toho se doporučuje zmírnit neobvyklé míry provozu a udržovat dostupnost aplikací.
Algoritmus posuvného okna blokuje veškerý odpovídající provoz pro první okno, ve kterém je překročena prahová hodnota, a pak omezí provoz v budoucích oknech. Při definování prahových hodnot pro konfiguraci pravidel pro široké shody s GeoLocation nebo None jako GroupByVariables buďte opatrní. Nesprávně nakonfigurované prahové hodnoty můžou vést k častým krátkým výpadkům odpovídajícího provozu.