Application Gateway での Web Application Firewall のレート制限とは?

Application Gateway での Web Application Firewall のレート制限を使用すると、アプリケーション宛ての異常に高いレベルのトラフィックを検出してブロックできます。 Application Gateway WAF_v2のレート制限を使用すると、多くの種類のサービス拒否攻撃を軽減したり、誤って構成が間違って短時間で大量の要求を送信したり、特定の地域からサイトにトラフィック レートを制御したりするクライアントから保護できます。

レート制限ポリシー

レート制限は、ポリシーでカスタム WAF ルールを使用して構成されます。

Note

レート制限規則は、最新の WAF エンジンを実行している Web アプリケーション ファイアウォールでのみサポートされます。 最新のエンジンを使用するには、既定の規則セットに CRS 3.2 を選択します。

レート制限ルールを構成する場合は、しきい値 (指定した期間内に許可される要求の数) を指定する必要があります。 Application Gateway WAF_v2のレート制限では、スライディング ウィンドウ アルゴリズムを使用して、トラフィックがしきい値を超え、ドロップする必要があるタイミングを判断します。 ルールのしきい値が違反した最初のウィンドウでは、レート制限ルールに一致するトラフィックが削除されます。 2 番目のウィンドウ以降では、構成されたウィンドウ内のしきい値までのトラフィックが許可され、調整効果が生成されます。

また、レート制限を有効にするタイミングを WAF に通知する一致条件も指定する必要があります。 ポリシー内のさまざまな変数とパスに一致する複数のレート制限ルールを構成できます。

Application Gateway WAF_v2では構成が必要な GroupByUserSession も導入されています。 GroupByUserSession は、一致するレート制限ルールに対して要求をグループ化してカウントする方法を指定します。

現在、次の3つの GroupByVariables が使用可能です:

• ClientAddr – これは既定の設定であり、各レート制限のしきい値と軽減策が、すべての一意のソース IP アドレスに個別に適用されることを意味します。
• GeoLocation - トラフィックは、クライアント IP アドレスの Geo-Match に基づいて、地理的にグループ化されます。 そのため、レート制限ルールの場合、同じ地域からのトラフィックがグループ化されます。
• なし - すべてのトラフィックがグループ化され、レート制限ルールのしきい値に対してカウントされます。 しきい値に達すると、ルールに一致するすべてのトラフィックに対してアクションがトリガーされ、クライアント IP アドレスまたは地域ごとに独立したカウンターは保持されません。 サインイン ページや疑わしいユーザー エージェントの一覧など、特定の一致条件で None を使用することをお勧めします。

レート制限の詳細

構成されたレート制限しきい値は、Web Application Firewall ポリシーがアタッチされているエンドポイントごとに個別にカウントされ、追跡されます。 たとえば、5 つの異なるリスナーにアタッチされた 1 つの WAF ポリシーでは、各リスナーに対して独立したカウンターとしきい値の適用が維持されます。

レート制限しきい値は必ずしも定義されているとおりに適用されるとは限らないので、アプリケーション トラフィックをきめ細かく制御するために使用しないでください。 代わりに、トラフィックの異常なレートを軽減し、アプリケーションの可用性を維持することをお勧めします。

スライディング ウィンドウ アルゴリズムは、しきい値を超えた最初のウィンドウの一致するすべてのトラフィックをブロックし、今後のウィンドウでトラフィックを調整します。 GroupByVariables として GeoLocation または None を使用してワイドマッチング ルールを構成するためのしきい値を定義する場合は、注意が必要です。 しきい値が正しく構成されていないと、一致するトラフィックの短い停止が頻繁に発生する可能性があります。

次のステップ

• Application Gateway WAF v2 のレート制限のカスタム ルールを作成する