Delen via

Wat is snelheidsbeperking voor Web Application Firewall in Application Gateway?

  • Artikel

Met snelheidsbeperking voor Web Application Firewall op Application Gateway kunt u abnormaal hoge niveaus van verkeer dat is bestemd voor uw toepassing detecteren en blokkeren. Door snelheidsbeperking te gebruiken voor Application Gateway-WAF_v2, kunt u veel soorten denial-of-service-aanvallen beperken, beschermen tegen clients die per ongeluk onjuist zijn geconfigureerd voor het verzenden van grote hoeveelheden aanvragen in een korte periode of het beheren van de verkeerssnelheden naar uw site vanuit specifieke geografische gebieden.

Beleid voor frequentiebeperking

Snelheidsbeperking wordt geconfigureerd met behulp van aangepaste WAF-regels in een beleid.

Notitie

Frequentielimietregels worden alleen ondersteund in Web Application Firewalls waarop de nieuwste WAF-engine wordt uitgevoerd. Als u ervoor wilt zorgen dat u de nieuwste engine gebruikt, selecteert u CRS 3.2 voor de standaardregelset.

Wanneer u een frequentielimietregel configureert, moet u de drempelwaarde opgeven: het aantal aanvragen dat is toegestaan binnen de opgegeven periode. Snelheidsbeperking voor Application Gateway WAF_v2 maakt gebruik van een glijdvenster-algoritme om te bepalen wanneer verkeer de drempelwaarde heeft overschreden en moet worden verwijderd. Tijdens het eerste venster waarin de drempelwaarde voor de regel wordt overschreden, wordt het verkeer dat overeenkomt met de regel voor frequentielimiet verwijderd. Vanaf het tweede venster is verkeer tot aan de drempelwaarde binnen het geconfigureerde venster toegestaan, waardoor een beperkingseffect ontstaat.

U moet ook een overeenkomstvoorwaarde opgeven, waarmee de WAF wordt aangegeven wanneer de frequentielimiet moet worden geactiveerd. U kunt meerdere regels voor frequentielimieten configureren die overeenkomen met verschillende variabelen en paden binnen uw beleid.

Application Gateway WAF_v2 introduceert ook een GroupByUserSession, die moet worden geconfigureerd. De GroupByUserSession geeft aan hoe aanvragen worden gegroepeerd en geteld voor een overeenkomende frequentielimietregel.

De volgende drie GroupByVariables zijn momenteel beschikbaar:

  • ClientAddr : dit is de standaardinstelling en betekent dat elke drempelwaarde voor frequentielimiet en beperking onafhankelijk van toepassing is op elk uniek bron-IP-adres.
  • GeoLocation : verkeer wordt gegroepeerd op basis van een geografische overeenkomst op basis van het IP-adres van de client. Voor een regel voor frequentielimiet wordt het verkeer van dezelfde geografie dus gegroepeerd.
  • Geen : al het verkeer wordt gegroepeerd en meegeteld voor de drempelwaarde van de regel Frequentielimiet. Wanneer de drempelwaarde wordt overschreden, wordt de actie geactiveerd voor al het verkeer dat overeenkomt met de regel en onderhoudt deze geen onafhankelijke tellers voor elk CLIENT-IP-adres of elke geografie van de client. Het is raadzaam om Geen te gebruiken met specifieke overeenkomstvoorwaarden, zoals een aanmeldingspagina of een lijst met verdachte gebruikersagenten.

Details van snelheidsbeperking

De geconfigureerde drempelwaarden voor frequentielimieten worden afzonderlijk geteld en bijgehouden voor elk eindpunt waaraan het Web Application Firewall-beleid is gekoppeld. Zo houdt één WAF-beleid dat is gekoppeld aan vijf verschillende listeners onafhankelijke tellers en drempelwaarden afdwingen voor elk van de listeners.

De drempelwaarden voor frequentielimieten worden niet altijd exact afgedwongen zoals gedefinieerd, dus deze mag niet worden gebruikt voor fijnmazige controle van toepassingsverkeer. In plaats daarvan wordt het aanbevolen om afwijkende verkeerssnelheden te beperken en de beschikbaarheid van toepassingen te behouden.

Het algoritme van het schuifvenster blokkeert al het overeenkomende verkeer voor het eerste venster waarin de drempelwaarde wordt overschreden en beperkt vervolgens het verkeer in toekomstige vensters. Wees voorzichtig bij het definiëren van drempelwaarden voor het configureren van algemene overeenkomende regels met GeoLocation of Geen als groupByVariables. Onjuist geconfigureerde drempelwaarden kunnen leiden tot frequente korte storingen voor overeenkomend verkeer.

Volgende stap