Share via

Wat is snelheidsbeperking voor Azure Front Door?

  • Artikel

Met snelheidsbeperking kunt u abnormaal hoge verkeersniveaus van elk SOCKET-IP-adres detecteren en blokkeren. Met behulp van Azure Web Application Firewall in Azure Front Door kunt u bepaalde typen denial-of-service-aanvallen beperken. Snelheidsbeperking beschermt u ook tegen clients die per ongeluk onjuist zijn geconfigureerd voor het verzenden van grote hoeveelheden aanvragen in een korte periode.

Het IP-adres van de socket is het adres van de client waarmee de TCP-verbinding met Azure Front Door is gestart. Normaal gesproken is het IP-adres van de socket het IP-adres van de gebruiker, maar het kan ook het IP-adres zijn van een proxyserver of een ander apparaat dat zich bevindt tussen de gebruiker en Azure Front Door als u meerdere clients hebt die toegang hebben tot Azure Front Door vanuit verschillende SOCKET-IP-adressen, hebben ze elk hun eigen frequentielimieten toegepast.

Beleid voor frequentielimiet configureren

Snelheidsbeperking wordt geconfigureerd met behulp van aangepaste WAF-regels.

Wanneer u een regel voor frequentielimiet configureert, geeft u de drempelwaarde op. De drempelwaarde is het aantal webaanvragen dat is toegestaan vanaf elk socket-IP-adres binnen een bepaalde periode van één minuut of vijf minuten.

U moet ook ten minste één overeenkomstvoorwaarde opgeven, waarmee Azure Front Door wordt aangegeven wanneer de frequentielimiet moet worden geactiveerd. U kunt meerdere frequentielimieten configureren die van toepassing zijn op verschillende paden in uw toepassing.

Als u een frequentielimietregel wilt toepassen op al uw aanvragen, kunt u overwegen om een overeenkomstvoorwaarde te gebruiken, zoals in het volgende voorbeeld:

Schermopname van Azure Portal met een overeenkomstvoorwaarde die van toepassing is op alle aanvragen. De voorwaarde voor overeenkomst zoekt naar aanvragen waarbij de grootte van de hostheader nul of groter is.

De voorgaande overeenkomstvoorwaarde identificeert alle aanvragen met een Host header van een lengte die groter is dan 0. Omdat alle geldige HTTP-aanvragen voor Azure Front Door een Host header bevatten, heeft deze overeenkomstvoorwaarde het effect dat alle HTTP-aanvragen overeenkomen.

Frequentielimieten en Azure Front Door-servers

Aanvragen van dezelfde client komen vaak op dezelfde Azure Front Door-server aan. In dat geval ziet u dat aanvragen worden geblokkeerd zodra de frequentielimiet is bereikt voor elk van de CLIENT-IP-adressen.

Het is mogelijk dat aanvragen van dezelfde client aankomen op een andere Azure Front Door-server die de frequentielimietitems nog niet heeft vernieuwd. De client kan bijvoorbeeld een nieuwe TCP-verbinding openen voor elke aanvraag en elke TCP-verbinding kan worden gerouteerd naar een andere Azure Front Door-server.

Als de drempelwaarde laag genoeg is, kan de eerste aanvraag voor de nieuwe Azure Front Door-server de snelheidslimietcontrole doorgeven. Voor een lage drempelwaarde (bijvoorbeeld minder dan ongeveer 200 aanvragen per minuut), ziet u mogelijk een aantal aanvragen boven de drempelwaarde.

Enkele overwegingen waarmee u rekening moet houden bij het bepalen van drempelwaarden en tijdvensters voor snelheidsbeperking:

  • Een groter venster met de kleinste acceptabele drempelwaarde voor het aantal aanvragen is de meest effectieve configuratie voor het voorkomen van DDoS-aanvallen. Deze configuratie is effectiever omdat wanneer een aanvaller de drempelwaarde bereikt die wordt geblokkeerd voor de rest van het venster frequentielimiet. Als een aanvaller daarom wordt geblokkeerd in de eerste 30 seconden van een venster van één minuut, zijn deze slechts beperkt voor de resterende 30 seconden. Als een aanvaller wordt geblokkeerd in de eerste minuut van een venster van vijf minuten, is de snelheid beperkt voor de resterende vier minuten.
  • Het instellen van grotere tijdvenstergrootten (bijvoorbeeld vijf minuten over één minuut) en grotere drempelwaarden (bijvoorbeeld 200 boven 100) zijn meestal nauwkeuriger bij het afdwingen van de drempelwaarden van de frequentielimiet dan het gebruik van de kortere tijdvenstergrootten en lagere drempelwaarden.
  • Azure Front Door WAF-snelheidsbeperking werkt op een vaste periode. Zodra een drempelwaarde voor frequentielimiet is overschreden, wordt al het verkeer dat overeenkomt met de regel voor snelheidsbeperking geblokkeerd voor de rest van het vaste venster.

Volgende stappen