Apa itu pembatasan tarif untuk Azure Front Door?

Pembatasan laju memungkinkan Anda mendeteksi dan memblokir tingkat lalu lintas yang sangat tinggi dari alamat IP soket apa pun. Dengan menggunakan Azure Web Application Firewall di Azure Front Door, Anda dapat mengurangi beberapa jenis serangan penolakan layanan. Pembatasan tarif juga melindungi Anda dari klien yang secara tidak sengaja salah dikonfigurasi untuk mengirim permintaan dalam jumlah besar dalam waktu singkat.

Alamat IP soket adalah alamat klien yang memulai koneksi TCP ke Azure Front Door. Biasanya, alamat IP soket adalah alamat IP pengguna, tetapi mungkin juga alamat IP server proksi atau perangkat lain yang berada di antara pengguna dan Azure Front Door Jika Anda memiliki beberapa klien yang mengakses Azure Front Door dari alamat IP soket yang berbeda, mereka masing-masing memiliki batas tarif mereka sendiri yang diterapkan.

Mengonfigurasi kebijakan batas laju

Pembatasan laju dikonfigurasi dengan menggunakan aturan WAF kustom.

Saat mengonfigurasi aturan batas tarif, Anda menentukan ambang batas. Ambang batas adalah jumlah permintaan web yang diizinkan dari setiap alamat IP soket dalam periode waktu satu menit atau lima menit.

Anda juga harus menentukan setidaknya satu kondisi kecocokan, yang memberi tahu Azure Front Door kapan harus mengaktifkan batas tarif. Anda dapat mengonfigurasi beberapa batas laju yang berlaku untuk jalur berbeda dalam aplikasi Anda.

Jika Anda perlu menerapkan aturan batas tarif ke semua permintaan Anda, pertimbangkan untuk menggunakan kondisi kecocokan seperti contoh berikut:

Kondisi kecocokan sebelumnya mengidentifikasi semua permintaan dengan Host header dengan panjang yang lebih besar dari 0. Karena semua permintaan HTTP yang valid untuk Azure Front Door berisi Host header, kondisi kecocokan ini memiliki efek pencocokan semua permintaan HTTP.

Batas tarif dan server Azure Front Door

Permintaan dari klien yang sama sering tiba di server Azure Front Door yang sama. Dalam hal ini, Anda melihat permintaan diblokir segera setelah batas tarif tercapai untuk setiap alamat IP klien.

Ada kemungkinan bahwa permintaan dari klien yang sama mungkin tiba di server Azure Front Door yang berbeda yang belum me-refresh penghitung batas tarif. Misalnya, klien mungkin membuka koneksi TCP baru untuk setiap permintaan, dan setiap koneksi TCP dapat dirutekan ke server Azure Front Door yang berbeda.

Jika ambang batas cukup rendah, permintaan pertama ke server Azure Front Door baru dapat melewati pemeriksaan batas tarif. Jadi, untuk ambang batas rendah (misalnya, kurang dari sekitar 200 permintaan per menit), Anda mungkin melihat beberapa permintaan di atas ambang batas melewatinya.

Beberapa pertimbangan yang perlu diingat saat Anda menentukan nilai ambang batas dan jendela waktu untuk pembatasan tarif:

• Ukuran jendela yang lebih besar dengan ambang batas jumlah permintaan terkecil yang dapat diterima adalah konfigurasi yang paling efektif untuk mencegah serangan DDoS. Konfigurasi ini lebih efektif karena ketika penyerang mencapai ambang batas mereka diblokir untuk sisa jendela batas laju. Oleh karena itu, jika penyerang diblokir dalam 30 detik pertama dari jendela satu menit, mereka hanya dibatasi tarif selama 30 detik yang tersisa. Jika penyerang diblokir pada menit pertama dari jendela lima menit, mereka menilai terbatas selama empat menit yang tersisa.
• Mengatur ukuran jendela waktu yang lebih besar (misalnya, lima menit lebih dari satu menit) dan nilai ambang batas yang lebih besar (misalnya, 200 hingga 100) cenderung lebih akurat dalam memberlakukan mendekati ambang batas laju daripada menggunakan ukuran jendela waktu yang lebih pendek dan nilai ambang batas yang lebih rendah.
• Pembatasan tarif WAF Azure Front Door beroperasi pada periode waktu tetap. Setelah ambang batas laju dilanggar, semua lalu lintas yang cocok dengan aturan pembatasan tarif diblokir untuk sisa jendela tetap.

Langkah berikutnya

• Konfigurasikan pembatasan tarif pada WAF Azure Front Door Anda.
• Tinjau praktik terbaik pembatasan tarif.