Créer des règles personnalisées de limitation de débit pour le WAF V2 d’Application Gateway

La limitation du débit vous permet de détecter et de bloquer des niveaux anormalement élevés de trafic destiné à votre application. La limitation du débit fonctionne en comptant tout le trafic qui correspond à la règle de limitation du débit configurée et effectue l’action configurée pour le trafic qui correspond à cette règle qui dépasse le seuil configuré. Pour plus d’informations, consultez Vue d’ensemble de la limitation du débit.

Configurer des règles personnalisées de limitation du débit

Utilisez les informations suivantes pour configurer les règles de limitation du débit pour le WAF v2 d’Application Gateway.

Scénario 1 : créez une règle pour limiter le débit de trafic par adresse IP cliente qui dépasse le seuil configuré, correspondant à l’ensemble du trafic.

Portail

1. Ouvrir une stratégie WAF d’Application Gateway existante
2. Sélectionner des règles personnalisées
3. Ajouter une règle personnalisée
4. Ajouter un nom pour la règle personnalisée
5. Sélectionner la case d’option Type de règle de limitation du débit
6. Entrer une priorité pour la règle
7. Choisir 1 minute pour la Durée de limitation du débit
8. Entrer 200 pour le Seuil de limitation du débit (requêtes)
9. Sélectionner Adresse du client pour Grouper la limitation du débit de trafic par
10. Sous Conditions, choisir Adresse IP pour le Type de correspondance
11. Pour Opération, sélectionner la case d’option Ne contient pas
12. Pour la condition de correspondance, sous Adresse IP ou plage d’adresses IP, entrer 255.255.255.255/32
13. Laisser le paramètre d’action sur Refuser le trafic
14. Sélectionner Ajouter pour ajouter la règle personnalisée à la stratégie
15. Sélectionnez Enregistrer pour enregistrer la configuration et activer la règle personnalisée pour la stratégie WAF.

PowerShell

$variable = New-AzApplicationGatewayFirewallMatchVariable -VariableName RemoteAddr 
$condition = New-AzApplicationGatewayFirewallCondition -MatchVariable $variable -Operator IPMatch -MatchValue 255.255.255.255/32 -NegationCondition $True      
$groupByVariable = New-AzApplicationGatewayFirewallCustomRuleGroupByVariable -VariableName ClientAddr      
$groupByUserSession = New-AzApplicationGatewayFirewallCustomRuleGroupByUserSession -GroupByVariable $groupByVariable
$ratelimitrule = New-AzApplicationGatewayFirewallCustomRule -Name ClientIPRateLimitRule -Priority 90 -RateLimitDuration OneMin -RateLimitThreshold 100 -RuleType RateLimitRule -MatchCondition $condition -GroupByUserSession $groupByUserSession -Action Block -State Enabled 

INTERFACE DE LIGNE DE COMMANDE

az network application-gateway waf-policy custom-rule create --policy-name ExamplePolicy --resource-group ExampleRG --action Block --name ClientIPRateLimitRule --priority 90 --rule-type RateLimitRule --rate-limit-threshold 100 --group-by-user-session '[{'"groupByVariables"':[{'"variableName"':'"ClientAddr"'}]}]'
az network application-gateway waf-policy custom-rule match-condition add --match-variables RemoteAddr --operator IPMatch --policy-name ExamplePolicy --name ClientIPRateLimitRule --resource-group ExampleRG --value 255.255.255.255/32 --negate true

Scénario 2 : créez une règle personnalisée de limitation du débit pour l’ensemble du trafic, à l’exception du trafic provenant des États-Unis. Le trafic sera groupé, compté et son débit limité en fonction de la géolocalisation de l’adresse IP source du client

Portail

1. Ouvrir une stratégie WAF d’Application Gateway existante
2. Sélectionner des règles personnalisées
3. Ajouter une règle personnalisée
4. Ajouter un nom pour la règle personnalisée
5. Sélectionner la case d’option Type de règle de limitation du débit
6. Entrer une priorité pour la règle
7. Choisir 1 minute pour la Durée de limitation du débit
8. Entrer 500 pour le Seuil de limitation du débit (requêtes)
9. Sélectionner Emplacement géographique pour Grouper la limitation du débit de trafic par
10. Sous Conditions, choisir Emplacement géographique pour le Type de correspondance
11. Dans la section Variables de correspondance, sélectionner RemoteAddr pour Variable de correspondance
12. Sélectionner la case d’option Est différent de pour l’opération
13. Sélectionner États-Unis pour Pays/région
14. Laisser le paramètre d’action sur Refuser le trafic
15. Sélectionner Ajouter pour ajouter la règle personnalisée à la stratégie
16. Sélectionnez Enregistrer pour enregistrer la configuration et activer la règle personnalisée pour la stratégie WAF.

PowerShell

$variable = New-AzApplicationGatewayFirewallMatchVariable -VariableName RemoteAddr 
$condition = New-AzApplicationGatewayFirewallCondition -MatchVariable $variable -Operator GeoMatch -MatchValue "US" -NegationCondition $True
$groupByVariable = New-AzApplicationGatewayFirewallCustomRuleGroupByVariablde -VariableName GeoLocation 
$groupByUserSession = New-AzApplicationGatewayFirewallCustomRuleGroupByUserSession -GroupByVariable $groupByVariable 
$ratelimitrule = New-AzApplicationGatewayFirewallCustomRule -Name GeoRateLimitRule -Priority 95 -RateLimitDuration OneMin -RateLimitThreshold 500 -RuleType RateLimitRule -MatchCondition $condition -GroupByUserSession $groupByUserSession -Action Block -State Enabled  

INTERFACE DE LIGNE DE COMMANDE

az network application-gateway waf-policy custom-rule create --policy-name ExamplePolicy --resource-group ExampleRG --action Block --name GeoRateLimitRule --priority 95 --rule-type RateLimitRule --rate-limit-threshold 500 --group-by-user-session '[{'"groupByVariables"':[{'"variableName"':'"GeoLocation"'}]}]'
az network application-gateway waf-policy custom-rule match-condition add --match-variables RemoteAddr --operator GeoMatch --policy-name ExamplePolicy --name GeoRateLimitRule --resource-group ExampleRG --value US --negate true

Scénario 3 : créez une règle personnalisée de limitation du débit correspondant à l’ensemble du trafic pour la page de connexion, à l’aide de la variable de regroupement Aucun. Cette opération regroupe et compte tout le trafic correspondant à la règle, puis applique l’action sur l’ensemble du trafic correspondant à la règle (/login).

Portail

1. Ouvrir une stratégie WAF d’Application Gateway existante
2. Sélectionner des règles personnalisées
3. Ajouter une règle personnalisée
4. Ajouter un nom pour la règle personnalisée
5. Sélectionner la case d’option Type de règle de limitation du débit
6. Entrer une priorité pour la règle
7. Choisir 1 minute pour la Durée de limitation du débit
8. Entrer 100 pour le Seuil de limitation du débit (requêtes)
9. Sélectionnez Aucun pour Grouper la limitation du débit de trafic par
10. Sous Conditions, choisir Chaîne pour le Type de correspondance
11. Dans la section Variables de correspondance, sélectionner RequestUri pour la Variable de correspondance
12. Sélectionner la case d’option Est différent de pour l’opération
13. Pour l’opérateur, sélectionner Contient
14. Entrez le chemin d’accès à la page de connexion pour la valeur de correspondance. Dans cet exemple, nous utilisons /login
15. Laisser le paramètre d’action sur Refuser le trafic
16. Sélectionner Ajouter pour ajouter la règle personnalisée à la stratégie
17. Sélectionnez Enregistrer pour enregistrer la configuration et activer la règle personnalisée pour la stratégie WAF.

PowerShell

$variable = New-AzApplicationGatewayFirewallMatchVariable -VariableName RequestUri  
$condition = New-AzApplicationGatewayFirewallCondition -MatchVariable $variable -Operator Contains -MatchValue "/login" -NegationCondition $True  
$groupByVariable = New-AzApplicationGatewayFirewallCustomRuleGroupByVariable -VariableName None       
$groupByUserSession = New-AzApplicationGatewayFirewallCustomRuleGroupByUserSession -GroupByVariable $groupByVariable 
$ratelimitrule = New-AzApplicationGatewayFirewallCustomRule -Name LoginRateLimitRule -Priority 99 -RateLimitDuration OneMin -RateLimitThreshold 100 -RuleType RateLimitRule -MatchCondition $condition -GroupByUserSession $groupByUserSession -Action Block -State Enabled 

INTERFACE DE LIGNE DE COMMANDE

az network application-gateway waf-policy custom-rule create --policy-name ExamplePolicy --resource-group ExampleRG --action Block --name LoginRateLimitRule --priority 99 --rule-type RateLimitRule --rate-limit-threshold 100 --group-by-user-session '[{'"groupByVariables"':[{'"variableName"':'"None"'}]}]'
az network application-gateway waf-policy custom-rule match-condition add --match-variables RequestUri --operator Contains --policy-name ExamplePolicy --name LoginRateLimitRule --resource-group ExampleRG --value '/login'

Étapes suivantes

Personnaliser les règles du pare-feu d’applications web