¿Qué es la limitación de velocidad de Web Application Firewall en Application Gateway?
La limitación de velocidad de Web Application Firewall en Application Gateway permite detectar y bloquear niveles anormalmente altos de tráfico destinados a la aplicación. Mediante el uso de la limitación de velocidad en Application Gateway WAF_v2, puede mitigar muchos tipos de ataques por denegación de servicio, protegerse frente a los clientes que se hayan configurado accidentalmente para enviar grandes volúmenes de solicitudes en un breve período de tiempo o controlar las tasas de tráfico al sitio desde zonas geográficas específicas.
Directivas de limitación de velocidad
La limitación de velocidad se configura mediante reglas de WAF personalizadas en una directiva.
Nota:
Las reglas de límite de frecuencia solo se admiten en firewalls de aplicaciones web que ejecutan el motor WAF más reciente. Para asegurarse de que usa el motor más reciente, seleccione CRS 3.2 para el conjunto de reglas predeterminado.
Al configurar una regla de límite de frecuencia, debe especificar el umbral, es decir, el número de solicitudes permitidas dentro del período de tiempo especificado. La limitación de velocidad en Application Gateway WAF_v2 usa un algoritmo de ventana deslizante para determinar cuándo el tráfico ha infringido el umbral y debe disminuir. Durante la primera ventana en la que se infringe el umbral de la regla, se quita cualquier tráfico que coincida con la regla de límite de frecuencia. Desde la segunda ventana en adelante, se permite el tráfico hasta el umbral dentro de la ventana configurada, lo que produce un efecto de limitación.
También debe especificar la condición de coincidencia que le indica a WAF cuándo activar la limitación de velocidad. Puede configurar varias reglas de límite de frecuencia que coincidan con diferentes variables y rutas de acceso dentro de la directiva.
Application Gateway WAF_v2 también presenta un GroupByUserSession, que se debe configurar. El GroupByUserSession especifica cómo se agrupan y cuentan las solicitudes para una regla de límite de frecuencia coincidente.
Los siguientes tres GroupByVariables están disponibles:
- ClientAddr: esta es la configuración predeterminada y significa que cada umbral de limitación de velocidad y mitigación se aplica de forma independiente a cada dirección IP de origen única.
- GeoLocation: el tráfico se agrupa por su geografía en función de un Geo-Match en la dirección IP del cliente. Por lo tanto, para una regla de límite de frecuencia, se agrupa el tráfico con la misma geografía.
- Ninguno: todo el tráfico se agrupa y se cuenta con respecto al umbral de la regla de límite de frecuencia. Cuando se infringe el umbral, la acción se desencadena en todo el tráfico que coincide con la regla y no mantiene contadores independientes para cada dirección IP de cliente o geografía. Se recomienda usar None con condiciones de coincidencia específicas, como una página de inicio de sesión o una lista de agentes de usuario sospechosos.
Detalles de limitación de velocidad
Los umbrales de limitación de velocidad configurados se cuentan y se realiza un seguimiento de forma independiente para cada punto de conexión al que se adjunta la directiva de Web Application Firewall. Por ejemplo, una única directiva de WAF asociada a cinco agentes de escucha diferentes mantiene contadores independientes y aplicación de umbrales para cada uno de los agentes de escucha.
Los umbrales de limitación de velocidad no siempre se aplican exactamente según lo definido, por lo que no se debe usar para el control específico del tráfico de la aplicación. En su lugar, se recomienda mitigar las tasas anómalas de tráfico y mantener la disponibilidad de las aplicaciones.
El algoritmo de ventana deslizante bloquea todo el tráfico coincidente para la primera ventana en la que se supera el umbral y, a continuación, limita el tráfico en futuras ventanas. Tenga cuidado al definir umbrales para configurar las reglas de coincidencia amplia con GeoLocation o None como GroupByVariables. Los umbrales configurados incorrectamente podrían provocar interrupciones cortas frecuentes para el tráfico coincidente.