Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
Az Application Gateway webalkalmazási tűzfalának sebességkorlátozásával észlelheti és letilthatja az alkalmazáshoz rendelt, rendellenesen magas forgalmat. Az Application Gateway WAF v2 sebességkorlátozásának használatával számos szolgáltatásmegtagadási támadást mérsékelhet, védelmet nyújthat azokkal az ügyfelekkel szemben, amelyeket véletlenül helytelenül konfiguráltak, hogy nagy mennyiségű kérést küldjön rövid idő alatt, vagy szabályozhatja a webhelyre irányuló forgalom sebességét adott földrajzi helyekről.
Sebességkorlátozó szabályzatok
A sebességkorlátozás egyéni WAF-szabályokkal van konfigurálva egy szabályzatban.
Megjegyzés
A sebességkorlátozási szabályok csak a legújabb WAF-motort futtató webalkalmazási tűzfalakon támogatottak. Annak érdekében, hogy a legújabb motort használja, válassza a CRS 3.2-t az alapértelmezett szabálykészlethez. Emellett a sebességkorlátozási szabályok nem támogatottak a levegőben leképezett felhőkben.
Sebességkorlát-szabály konfigurálásakor meg kell adnia a küszöbértéket: a megadott időtartamon belül engedélyezett kérelmek számát. Az Application Gateway WAF v2 sebességkorlátozása csúsztatóablak-algoritmussal határozza meg, hogy a forgalom mikor lépte át a küszöbértéket, és el kell dobni. Az első olyan ablakban, ahol a szabály küszöbértékét túllépik, a sebességkorlátozási szabály szerint érkező további forgalmat elutasítják. A második ablaktól kezdve a beállított ablak küszöbértékéig forgalom engedélyezett, ami drénghatást eredményez.
Meg kell adnia egyezés feltételt is, amely tájékoztatja a WAF-et, hogy mikor aktiválja a sebességkorlátot. Több sebességkorlát-szabályt is konfigurálhat, amelyek megfelelnek a szabályzat különböző változóinak és elérési útjainak.
Az Application Gateway WAF v2 is bevezet egy GroupByUserSessiont, amelyet konfigurálni kell. A GroupByUserSession meghatározza, hogy a kérések hogyan vannak csoportosítva és megszámolva egy egyező sebességkorlát-szabályhoz.
Jelenleg a következő három GroupByVariable érhető el:
- ClientAddr – Ez az alapértelmezett beállítás, és azt jelenti, hogy minden sebességkorlát küszöbértéke és kockázatcsökkentése függetlenül érvényes minden egyedi forrás IP-címre.
- GeoLocation – A forgalom földrajzilag csoportosítva van az ügyfél IP-címének Geo-Match alapján. A sebességkorlátozási szabály esetében tehát az ugyanabból a földrajzi régióból érkező forgalom csoportosítva van.
- Nincs – Az összes forgalom csoportosítva van, és a sebességkorlátozási szabály küszöbértékéhez van számolva. A küszöbérték túllépésekor a művelet a szabálynak megfelelő összes forgalomra aktiválódik, és nem tart fenn független számlálókat az egyes ügyfél IP-címekhez vagy földrajzi helyekhez. Javasoljuk, hogy a None elemet használja olyan konkrét egyezési feltételekkel, mint például a bejelentkezési oldal vagy a gyanús felhasználói ügynökök listája.
Sebességkorlátozás részletei
A konfigurált sebességkorlát küszöbértékei egymástól függetlenül vannak megszámolva és nyomon követve a webalkalmazási tűzfal házirendjének minden végpontja esetében. Egy öt különböző figyelőhöz csatolt EGYETLEN WAF-szabályzat például független számlálókat és küszöbérték-kényszerítéseket tart fenn az egyes figyelők számára.
A sebességkorlát küszöbértékei nem mindig pontosan a meghatározott módon lesznek érvényesítve, ezért nem szabad az alkalmazásforgalom részletes szabályozására használni. Ehelyett a rendellenes forgalom csökkentéséhez és az alkalmazások rendelkezésre állásának fenntartásához ajánlott.
A tolóablak-algoritmus blokkolja a küszöbértéket túllépő első ablak összes egyező forgalmát, majd szabályozza a forgalmat a jövőbeli ablakokban. Legyen óvatos, amikor küszöbértékeket határoz meg a széles körű egyezési szabályok GeoLocation vagy None paraméterekkel történő konfigurálása során, mint GroupByVariables. A helytelenül konfigurált küszöbértékek gyakori rövid kimaradásokhoz vezethetnek az egyező forgalom esetén.