Mi az Azure Front Door sebességkorlátozása?
A sebességkorlátozás lehetővé teszi a rendellenesen magas forgalom észlelését és blokkolását bármely szoftvercsatornás IP-címről. Az Azure Web Application Firewall Azure Front Doorban való használatával enyhítheti a szolgáltatásmegtagadásos támadások bizonyos típusait. A sebességkorlátozás védelmet nyújt azokkal az ügyfelekkel szemben is, amelyek véletlenül helytelenül lettek konfigurálva, hogy nagy mennyiségű kérést küldjenek rövid időn belül.
A szoftvercsatorna IP-címe annak az ügyfélnek a címe, amely a TCP-kapcsolatot kezdeményezte az Azure Front Doorhoz. A szoftvercsatorna IP-címe általában a felhasználó IP-címe, de lehet egy proxykiszolgáló vagy egy másik eszköz IP-címe is, amely a felhasználó és az Azure Front Door között található. Ha több ügyfél is hozzáfér az Azure Front Doorhoz különböző szoftvercsatornás IP-címekről, mindegyikre saját díjszabási korlátok vonatkoznak.
A sebességkorlátozás egyéni WAF-szabályokkal van konfigurálva.
Sebességkorlát-szabály konfigurálásakor meg kell adnia a küszöbértéket. A küszöbérték az egyes szoftvercsatornák IP-címéről egy perc vagy öt percen belül engedélyezett webes kérések száma.
Meg kell adnia legalább egy egyezés feltételt is, amely tájékoztatja az Azure Front Doort, hogy mikor aktiválja a sebességkorlátot. Több díjkorlátot is konfigurálhat, amelyek az alkalmazás különböző elérési útjaira vonatkoznak.
Ha minden kérésre alkalmaznia kell egy sebességkorlát-szabályt, fontolja meg egyezés feltétel használatát, mint az alábbi példa:
Az előző egyeztetési feltétel az összes kérelmet azonosítja, Host amelynek fejléce nagyobb, mint 0. Mivel az Azure Front Door összes érvényes HTTP-kérése tartalmaz egy fejlécet Host , ez az egyeztetési feltétel az összes HTTP-kérésnek megfeleltetést eredményezi.
Az ugyanazon ügyféltől érkező kérések gyakran ugyanarra az Azure Front Door-kiszolgálóra érkeznek. Ebben az esetben a kérések le lesznek tiltva, amint eléri a sebességkorlátot az egyes ügyfél IP-címek esetében.
Lehetséges, hogy az ugyanazon ügyféltől érkező kérések egy másik Azure Front Door-kiszolgálóra érkeznek, amely még nem frissítette a sebességkorlát-számlálókat. Előfordulhat például, hogy az ügyfél minden kéréshez új TCP-kapcsolatot nyit meg, és minden TCP-kapcsolatot egy másik Azure Front Door-kiszolgálóra irányíthat.
Ha a küszöbérték elég alacsony, az új Azure Front Door-kiszolgálóra irányuló első kérés megfelelhet a sebességkorlát-ellenőrzésnek. Alacsony küszöbérték esetén (például kevesebb, mint 200 kérés percenként) előfordulhat, hogy a küszöbérték feletti kérések áthaladnak.
Néhány szempont, amit szem előtt kell tartani, miközben meghatározza a küszöbértékeket és az időkereteket a sebességkorlátozáshoz:
- A DDoS-támadások megelőzésének leghatékonyabb konfigurációja a nagyobb méretű ablak, amely a legkisebb elfogadható kérésszám-küszöbértékkel rendelkezik. Ez a konfiguráció hatékonyabb, mert ha egy támadó eléri a küszöbértéket, akkor a sebességkorlát fennmaradó időszakában blokkolva lesznek. Ezért ha egy támadó egyperces ablak első 30 másodpercében blokkolva van, csak a fennmaradó 30 másodpercre korlátozott a sebesség. Ha egy támadó egy ötperces ablak első percében le van tiltva, a fennmaradó négy percre korlátozott a sebesség.
- A nagyobb időablak-méretek (például öt perc egy percnél hosszabb) és a nagyobb küszöbértékek (például 200 több mint 100) beállítása pontosabb a sebességkorlát küszöbértékéhez közeli kényszerítésben, mint a rövidebb időablak-méretek és az alacsonyabb küszöbértékek használata.
- Az Azure Front Door WAF-sebességkorlátozása meghatározott ideig működik. A sebességkorlát küszöbértékének átlépése után a rögzített időszak hátralévő részében a sebességkorlátozó szabálynak megfelelő összes forgalom le lesz tiltva.
- Konfigurálja az Azure Front Door WAF sebességkorlátozását.
- Tekintse át a sebességkorlátozás ajánlott eljárásait.