Note
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de changer d’annuaire.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de changer d’annuaire.
La limitation de débit du pare-feu d’applications web sur Application Gateway vous permet de détecter et de bloquer des niveaux anormalement élevés de trafic destiné à votre application. En utilisant la limitation de débit sur Application Gateway WAF v2, vous pouvez atténuer de nombreux types d’attaques par déni de service, vous protéger contre les clients qui ont été accidentellement mal configurés pour envoyer de gros volumes de requêtes dans un court laps de temps ou contrôler les taux de trafic vers votre site à partir de zones géographiques spécifiques.
Stratégies de limitation de débit
La limitation de débit est configurée à l’aide de règles WAF personnalisées dans une stratégie.
Remarque
Les règles de limite de débit ne sont prises en charge que sur les pare-feu d’applications Web exécutant le dernier moteur WAF. Afin de vous assurer que vous utilisez le moteur le plus récent, sélectionnez CRS 3.2 pour l’ensemble de règles par défaut. En outre, les règles de limite de débit ne sont pas prises en charge dans les clouds en air gap.
Lorsque vous configurez une règle de limite de débit, vous devez spécifier le seuil : le nombre de demandes autorisées au cours de la période spécifiée. La limitation de débit sur Application Gateway WAF v2 utilise un algorithme de fenêtre glissante pour déterminer quand le trafic a dépassé le seuil et doit être abandonné. Au cours de la première fenêtre où le seuil de la règle est dépassé, tout trafic supplémentaire correspondant à la règle de limite de débit est abandonné. À partir de la deuxième fenêtre, le trafic jusqu’au seuil dans la fenêtre configurée est autorisé, ce qui produit un effet de limitation.
Vous devez également spécifier une condition de correspondance, qui indique au WAF quand activer la limite de débit. Vous pouvez configurer plusieurs règles de limite de débit qui correspondent à différentes variables et chemins d’accès au sein de votre stratégie.
Application Gateway WAF v2 introduit également une GroupByUserSession, qui doit être configurée. GroupByUserSession spécifie comment les demandes sont regroupées et comptées pour une règle de limite de débit correspondante.
Les trois GroupByVariables suivants sont actuellement disponibles :
- ClientAddr : il s’agit du paramètre par défaut et cela signifie que chaque seuil de limite de débit et chaque atténuation s’appliquent indépendamment à chaque adresse IP source unique.
- Géolocalisation : le trafic est regroupé en fonction de sa géographie en fonction d’une Geo-Match sur l’adresse IP du client. Par conséquent, pour une règle de limite de débit, le trafic provenant de la même zone géographique est regroupé.
- Aucun : tout le trafic est regroupé et comptabilisé dans le seuil de la règle de limite de débit. Lorsque le seuil est dépassé, l’action se déclenche pour tout le trafic correspondant à la règle et ne gère pas de compteurs indépendants pour chaque adresse IP ou zone géographique du client. Il est recommandé d’utiliser None avec des conditions de correspondance spécifiques telles qu’une page de connexion ou une liste d’agents utilisateurs suspects.
Détails de la limitation du débit
Les seuils de limite de débit configurés sont comptés et suivis indépendamment pour chaque point de terminaison auquel la stratégie de pare-feu d’applications Web est attachée. Par exemple, une seule stratégie WAF attachée à cinq écouteurs différents gère des compteurs indépendants et l’application de seuils pour chacun des écouteurs.
Les seuils de limite de débit ne sont pas toujours appliqués exactement comme définis, ils ne doivent donc pas être utilisés pour le contrôle précis du trafic d’application. Au lieu de cela, il est recommandé pour atténuer les taux de trafic anormaux et pour maintenir la disponibilité de l’application.
L’algorithme de fenêtre glissante bloque tout le trafic correspondant pour la première fenêtre dans laquelle le seuil est dépassé, puis limite le trafic dans les fenêtres suivantes. Soyez prudent lorsque vous définissez des seuils pour la configuration de règles de correspondance large avec GeoLocation ou None comme GroupByVariables. Des seuils mal configurés pouvaient entraîner de courtes interruptions fréquentes pour le trafic correspondant.