Egyéni sebességkorlátozó szabályok létrehozása az Application Gateway WAF v2-hez

A sebességkorlátozással észlelheti és letilthatja az alkalmazás számára szánt, rendellenesen magas forgalmat. A sebességkorlátozás úgy működik, hogy megszámolja az összes olyan forgalmat, amely megfelel a konfigurált sebességkorlátozási szabálynak, és végrehajtja a konfigurált műveletet az adott szabálynak megfelelő forgalomhoz, amely meghaladja a beállított küszöbértéket. További információ: Sebességkorlátozás áttekintése.

Sebességkorlát egyéni szabályainak konfigurálása

Az alábbi információk segítségével konfigurálhatja az Application Gateway WAFv2 sebességkorlát-szabályait.

Első forgatókönyv – Szabály létrehozása a konfigurált küszöbértéket meghaladó, az összes forgalomnak megfelelő ügyfél IP-cím szerinti forgalom sebességkorlátozására.

Portal

1. Meglévő Application Gateway WAF-szabályzat megnyitása
2. Egyéni szabályok kiválasztása
3. Egyéni szabály hozzáadása
4. Az egyéni szabály nevének hozzáadása
5. Válassza ki a Sebességkorlát szabálytípus választógombot
6. Adja meg a szabály prioritását
7. A sebességkorlát időtartamának 1 percének kiválasztása
8. Adja meg a 200 értéket a sebességkorlát küszöbértékéhez (kérések)
9. Válassza ki a csoportsebesség-korlát forgalmának ügyfélcímét a következő szerint:
10. A Feltételek csoportban válassza ki az IP-címet az egyezés típusához
11. Művelet esetén válassza a Nem tartalmaz választógombot
12. Egyeztetési feltétel esetén az IP-cím vagy a tartomány alatt adja meg a 255.255.255.255/32 értéket
13. Hagyja meg a műveletbeállítást forgalom megtagadására
14. Válassza a Hozzáadás lehetőséget az egyéni szabály szabályzathoz való hozzáadásához
15. A Mentés gombra kattintva mentheti a konfigurációt, és aktívvá teheti az egyéni szabályt a WAF-szabályzathoz.

PowerShell

$variable = New-AzApplicationGatewayFirewallMatchVariable -VariableName RemoteAddr 
$condition = New-AzApplicationGatewayFirewallCondition -MatchVariable $variable -Operator IPMatch -MatchValue 255.255.255.255/32 -NegationCondition $True      
$groupByVariable = New-AzApplicationGatewayFirewallCustomRuleGroupByVariable -VariableName ClientAddr      
$groupByUserSession = New-AzApplicationGatewayFirewallCustomRuleGroupByUserSession -GroupByVariable $groupByVariable
$ratelimitrule = New-AzApplicationGatewayFirewallCustomRule -Name ClientIPRateLimitRule -Priority 90 -RateLimitDuration OneMin -RateLimitThreshold 100 -RuleType RateLimitRule -MatchCondition $condition -GroupByUserSession $groupByUserSession -Action Block -State Enabled 

CLI

az network application-gateway waf-policy custom-rule create --policy-name ExamplePolicy --resource-group ExampleRG --action Block --name ClientIPRateLimitRule --priority 90 --rule-type RateLimitRule --rate-limit-threshold 100 --group-by-user-session '[{'"groupByVariables"':[{'"variableName"':'"ClientAddr"'}]}]'
az network application-gateway waf-policy custom-rule match-condition add --match-variables RemoteAddr --operator IPMatch --policy-name ExamplePolicy --name ClientIPRateLimitRule --resource-group ExampleRG --value 255.255.255.255/32 --negate true

Második forgatókönyv – A sebességkorlát egyéni szabályának létrehozása, amely megfelel az összes forgalomnak, kivéve a Egyesült Államok származó forgalmat. A forgalom az ügyfélforrás IP-címének földrajzi helyétől függően lesz csoportosítva, megszámolva és korlátozva

Portal

1. Meglévő Application Gateway WAF-szabályzat megnyitása
2. Egyéni szabályok kiválasztása
3. Egyéni szabály hozzáadása
4. Az egyéni szabály nevének hozzáadása
5. Válassza ki a Sebességkorlát szabálytípus választógombot
6. Adja meg a szabály prioritását
7. A sebességkorlát időtartamának 1 percének kiválasztása
8. Adja meg az 500 értéket a sebességkorlát küszöbértékéhez (kérések)
9. A csoportsebesség-korlát forgalmának földrajzi helyének kiválasztása a következő szerint:
10. A Feltételek csoportban válassza a Földrajzi hely lehetőséget az egyezés típusához
11. A Változók egyeztetése szakaszban válassza a RemoteAddr for Match változót
12. Válassza az Is not radio button for operation
13. Ország/régió Egyesült Államok kiválasztása
14. Hagyja meg a műveletbeállítást forgalom megtagadására
15. Válassza a Hozzáadás lehetőséget az egyéni szabály szabályzathoz való hozzáadásához
16. A Mentés gombra kattintva mentheti a konfigurációt, és aktívvá teheti az egyéni szabályt a WAF-szabályzathoz.

PowerShell

$variable = New-AzApplicationGatewayFirewallMatchVariable -VariableName RemoteAddr 
$condition = New-AzApplicationGatewayFirewallCondition -MatchVariable $variable -Operator GeoMatch -MatchValue "US" -NegationCondition $True
$groupByVariable = New-AzApplicationGatewayFirewallCustomRuleGroupByVariablde -VariableName GeoLocation 
$groupByUserSession = New-AzApplicationGatewayFirewallCustomRuleGroupByUserSession -GroupByVariable $groupByVariable 
$ratelimitrule = New-AzApplicationGatewayFirewallCustomRule -Name GeoRateLimitRule -Priority 95 -RateLimitDuration OneMin -RateLimitThreshold 500 -RuleType RateLimitRule -MatchCondition $condition -GroupByUserSession $groupByUserSession -Action Block -State Enabled  

CLI

az network application-gateway waf-policy custom-rule create --policy-name ExamplePolicy --resource-group ExampleRG --action Block --name GeoRateLimitRule --priority 95 --rule-type RateLimitRule --rate-limit-threshold 500 --group-by-user-session '[{'"groupByVariables"':[{'"variableName"':'"GeoLocation"'}]}]'
az network application-gateway waf-policy custom-rule match-condition add --match-variables RemoteAddr --operator GeoMatch --policy-name ExamplePolicy --name GeoRateLimitRule --resource-group ExampleRG --value US --negate true

Harmadik forgatókönyv – A bejelentkezési oldal összes forgalmának megfelelő egyéni sebességkorlát létrehozása, valamint a GroupBy None változó használata. Ez csoportosítja és megszámolja a szabálynak megfelelő összes forgalmat, és alkalmazza a műveletet a szabálynak megfelelő összes forgalomra (/bejelentkezésre).

Portal

1. Meglévő Application Gateway WAF-szabályzat megnyitása
2. Egyéni szabályok kiválasztása
3. Egyéni szabály hozzáadása
4. Az egyéni szabály nevének hozzáadása
5. Válassza ki a Sebességkorlát szabálytípus választógombot
6. Adja meg a szabály prioritását
7. A sebességkorlát időtartamának 1 percének kiválasztása
8. Adja meg a 100 értéket a sebességkorlát küszöbértékéhez (kérések)
9. Válassza a Nincs lehetőséget a csoportsebesség-korlát forgalmához a következő szerint:
10. A Feltételek csoportban válassza a Sztring elemet az egyezés típusához
11. A Változók egyeztetése szakaszban válassza a RequestUri for Match változót
12. Válassza az Is not radio button for operation
13. Az Operátor kiválasztása tartalmaz
14. Adja meg az értéknek megfelelő bejelentkezési oldal elérési útját. Ebben a példában a /login
15. Hagyja meg a műveletbeállítást forgalom megtagadására
16. Válassza a Hozzáadás lehetőséget az egyéni szabály szabályzathoz való hozzáadásához
17. A Mentés gombra kattintva mentheti a konfigurációt, és aktívvá teheti az egyéni szabályt a WAF-szabályzathoz.

PowerShell

$variable = New-AzApplicationGatewayFirewallMatchVariable -VariableName RequestUri  
$condition = New-AzApplicationGatewayFirewallCondition -MatchVariable $variable -Operator Contains -MatchValue "/login" -NegationCondition $True  
$groupByVariable = New-AzApplicationGatewayFirewallCustomRuleGroupByVariable -VariableName None       
$groupByUserSession = New-AzApplicationGatewayFirewallCustomRuleGroupByUserSession -GroupByVariable $groupByVariable 
$ratelimitrule = New-AzApplicationGatewayFirewallCustomRule -Name LoginRateLimitRule -Priority 99 -RateLimitDuration OneMin -RateLimitThreshold 100 -RuleType RateLimitRule -MatchCondition $condition -GroupByUserSession $groupByUserSession -Action Block -State Enabled 

CLI

az network application-gateway waf-policy custom-rule create --policy-name ExamplePolicy --resource-group ExampleRG --action Block --name LoginRateLimitRule --priority 99 --rule-type RateLimitRule --rate-limit-threshold 100 --group-by-user-session '[{'"groupByVariables"':[{'"variableName"':'"None"'}]}]'
az network application-gateway waf-policy custom-rule match-condition add --match-variables RequestUri --operator Contains --policy-name ExamplePolicy --name LoginRateLimitRule --resource-group ExampleRG --value '/login'

Következő lépések

Webalkalmazási tűzfalszabályok testreszabása