Co to jest ograniczanie szybkości zapory aplikacji internetowej w usłudze Application Gateway?
Ograniczanie szybkości zapory aplikacji internetowej w usłudze Application Gateway umożliwia wykrywanie i blokowanie nietypowo wysokiego poziomu ruchu przeznaczonego dla aplikacji. Korzystając z ograniczania szybkości w usłudze Application Gateway WAF_v2, można ograniczyć wiele typów ataków typu "odmowa usługi", chronić przed klientami, którzy przypadkowo zostali nieprawidłowo skonfigurowani, aby wysyłać duże ilości żądań w krótkim czasie lub kontrolować szybkość ruchu do witryny z określonych lokalizacji geograficznych.
Zasady ograniczania szybkości
Ograniczanie szybkości jest konfigurowane przy użyciu niestandardowych reguł zapory aplikacji internetowej w zasadach.
Uwaga
Reguły limitu szybkości są obsługiwane tylko w zaporach aplikacji internetowych z uruchomionym najnowszym aparatem zapory aplikacji internetowej. Aby upewnić się, że używasz najnowszego aparatu, wybierz pozycję CRS 3.2 dla domyślnego zestawu reguł.
Podczas konfigurowania reguły limitu szybkości należy określić próg: liczbę żądań dozwolonych w określonym przedziale czasu. Ograniczanie szybkości w usłudze Application Gateway WAF_v2 używa algorytmu okna przesuwnego w celu określenia, kiedy ruch przekroczył próg i musi zostać usunięty. W pierwszym oknie, w którym zostanie naruszony próg reguły, każdy ruch zgodny z regułą limitu szybkości zostanie porzucony. Od drugiego okna do wewnątrz dozwolone jest ruch do progu w skonfigurowanym oknie, generując efekt ograniczania przepustowości.
Należy również określić warunek dopasowania, który informuje zaporę aplikacji internetowej, kiedy należy aktywować limit szybkości. W ramach zasad można skonfigurować wiele reguł limitu szybkości, które pasują do różnych zmiennych i ścieżek.
Usługa Application Gateway WAF_v2 również wprowadza element GroupByUserSession, który należy skonfigurować. GroupByUserSession określa sposób grupowania i zliczania żądań dla zgodnej reguły limitu szybkości.
Obecnie są dostępne następujące trzy elementy GroupByVariable:
- ClientAddr — jest to ustawienie domyślne i oznacza to, że każdy próg limitu szybkości i środki zaradcze są stosowane niezależnie do każdego unikatowego źródłowego adresu IP.
- GeoLocation — ruch jest pogrupowany według ich lokalizacji geograficznej na podstawie dopasowania geograficznego na adres IP klienta. W przypadku reguły limitu szybkości ruch z tej samej lokalizacji geograficznej jest grupowany razem.
- Brak — cały ruch jest grupowany i lizony względem progu reguły limitu szybkości. Po naruszeniu progu akcja jest wyzwalana względem całego ruchu zgodnego z regułą i nie obsługuje niezależnych liczników dla każdego adresu IP lub lokalizacji geograficznej klienta. Zaleca się używanie opcji Brak z określonymi warunkami dopasowania, takimi jak strona logowania lub lista podejrzanych agentów użytkowników.
Szczegóły ograniczania szybkości
Skonfigurowane progi limitu szybkości są liczone i śledzone niezależnie dla każdego punktu końcowego, do którego są dołączone zasady zapory aplikacji internetowej. Na przykład pojedyncze zasady zapory aplikacji internetowej dołączone do pięciu różnych odbiorników zachowują niezależne liczniki i wymuszanie progów dla każdego odbiornika.
Progi limitu szybkości nie zawsze są wymuszane dokładnie zgodnie z definicją, więc nie powinny być używane do precyzyjnej kontroli ruchu aplikacji. Zamiast tego zaleca się łagodzenie nietypowych wskaźników ruchu i utrzymywanie dostępności aplikacji.
Algorytm okna przesuwanego blokuje cały pasujący ruch dla pierwszego okna, w którym przekroczono próg, a następnie ogranicza ruch w przyszłych oknach. Należy zachować ostrożność podczas definiowania progów w celu skonfigurowania reguł dopasowywania szerokiego za pomocą geolokalizacji lub brak jako wartości GroupByVariables. Niepoprawnie skonfigurowane progi mogą prowadzić do częstych krótkich przestojów w przypadku pasującego ruchu.