Tworzenie reguł niestandardowych ograniczania szybkości dla zapory aplikacji internetowej usługi Application Gateway w wersji 2

Ograniczanie szybkości umożliwia wykrywanie i blokowanie nietypowo wysokiego poziomu ruchu przeznaczonego dla aplikacji. Ograniczanie szybkości działa przez zliczanie całego ruchu zgodnego ze skonfigurowaną regułą limitu szybkości i wykonywanie skonfigurowanej akcji na potrzeby dopasowania ruchu do tej reguły, która przekracza skonfigurowany próg. Aby uzyskać więcej informacji, zobacz Omówienie ograniczania szybkości.

Konfigurowanie reguł niestandardowych limitu szybkości

Skorzystaj z poniższych informacji, aby skonfigurować reguły limitu szybkości dla usługi Application Gateway WAFv2.

Scenariusz jeden — utwórz regułę, aby ograniczyć ruch według adresu IP klienta, który przekracza skonfigurowany próg, pasując do całego ruchu.

Portal

1. Otwieranie istniejących zasad zapory aplikacji internetowej usługi Application Gateway
2. Wybieranie reguł niestandardowych
3. Dodaj regułę niestandardową
4. Dodaj nazwę reguły niestandardowej
5. Wybierz przycisk radiowy Typ reguły limitu szybkości
6. Wprowadź priorytet reguły
7. Wybierz 1 minutę czasu trwania limitu szybkości
8. Wprowadź wartość 200 w polu Próg limitu szybkości (żądania)
9. Wybierz pozycję Adres klienta dla limitu liczby grup ruchu według
10. W obszarze Warunki wybierz pozycję Adres IP dla pozycji Typ dopasowania
11. W obszarze Operacja wybierz przycisk radiowy Nie zawiera przycisku radiowego
12. W przypadku warunku dopasowania w obszarze Adres IP lub zakres wprowadź wartość 255.255.255.255/32
13. Pozostaw ustawienie akcji Na odmów ruchu
14. Wybierz pozycję Dodaj, aby dodać regułę niestandardową do zasad
15. Wybierz pozycję Zapisz, aby zapisać konfigurację i ustawić regułę niestandardową jako aktywną dla zasad zapory aplikacji internetowej.

Program PowerShell

$variable = New-AzApplicationGatewayFirewallMatchVariable -VariableName RemoteAddr 
$condition = New-AzApplicationGatewayFirewallCondition -MatchVariable $variable -Operator IPMatch -MatchValue 255.255.255.255/32 -NegationCondition $True      
$groupByVariable = New-AzApplicationGatewayFirewallCustomRuleGroupByVariable -VariableName ClientAddr      
$groupByUserSession = New-AzApplicationGatewayFirewallCustomRuleGroupByUserSession -GroupByVariable $groupByVariable
$ratelimitrule = New-AzApplicationGatewayFirewallCustomRule -Name ClientIPRateLimitRule -Priority 90 -RateLimitDuration OneMin -RateLimitThreshold 100 -RuleType RateLimitRule -MatchCondition $condition -GroupByUserSession $groupByUserSession -Action Block -State Enabled 

Interfejs wiersza polecenia

az network application-gateway waf-policy custom-rule create --policy-name ExamplePolicy --resource-group ExampleRG --action Block --name ClientIPRateLimitRule --priority 90 --rule-type RateLimitRule --rate-limit-threshold 100 --group-by-user-session '[{'"groupByVariables"':[{'"variableName"':'"ClientAddr"'}]}]'
az network application-gateway waf-policy custom-rule match-condition add --match-variables RemoteAddr --operator IPMatch --policy-name ExamplePolicy --name ClientIPRateLimitRule --resource-group ExampleRG --value 255.255.255.255/32 --negate true

Scenariusz drugi — utwórz regułę niestandardową limitu szybkości, aby dopasować cały ruch z wyjątkiem ruchu pochodzącego z Stany Zjednoczone. Ruch będzie grupowany, liczone i ograniczane w oparciu o geolokalizację źródłowego adresu IP klienta

Portal

1. Otwieranie istniejących zasad zapory aplikacji internetowej usługi Application Gateway
2. Wybieranie reguł niestandardowych
3. Dodaj regułę niestandardową
4. Dodaj nazwę reguły niestandardowej
5. Wybierz przycisk radiowy Typ reguły limitu szybkości
6. Wprowadź priorytet reguły
7. Wybierz 1 minutę czasu trwania limitu szybkości
8. Wprowadź wartość 500 w polu Próg limitu szybkości (żądania)
9. Wybierz pozycję Lokalizacja geograficzna dla pozycji Ruch ograniczeń liczby grup według
10. W obszarze Warunki wybierz pozycję Lokalizacja geograficzna dla pozycji Typ dopasowania
11. W sekcji Dopasowywanie zmiennych wybierz pozycję RemoteAddr w polu Dopasuj zmienną
12. Wybierz przycisk radiowy Nie jest przyciskiem radiowym dla operacji
13. Wybieranie Stany Zjednoczone dla kraju/regionu
14. Pozostaw ustawienie akcji Na odmów ruchu
15. Wybierz pozycję Dodaj, aby dodać regułę niestandardową do zasad
16. Wybierz pozycję Zapisz, aby zapisać konfigurację i ustawić regułę niestandardową jako aktywną dla zasad zapory aplikacji internetowej.

Program PowerShell

$variable = New-AzApplicationGatewayFirewallMatchVariable -VariableName RemoteAddr 
$condition = New-AzApplicationGatewayFirewallCondition -MatchVariable $variable -Operator GeoMatch -MatchValue "US" -NegationCondition $True
$groupByVariable = New-AzApplicationGatewayFirewallCustomRuleGroupByVariablde -VariableName GeoLocation 
$groupByUserSession = New-AzApplicationGatewayFirewallCustomRuleGroupByUserSession -GroupByVariable $groupByVariable 
$ratelimitrule = New-AzApplicationGatewayFirewallCustomRule -Name GeoRateLimitRule -Priority 95 -RateLimitDuration OneMin -RateLimitThreshold 500 -RuleType RateLimitRule -MatchCondition $condition -GroupByUserSession $groupByUserSession -Action Block -State Enabled  

Interfejs wiersza polecenia

az network application-gateway waf-policy custom-rule create --policy-name ExamplePolicy --resource-group ExampleRG --action Block --name GeoRateLimitRule --priority 95 --rule-type RateLimitRule --rate-limit-threshold 500 --group-by-user-session '[{'"groupByVariables"':[{'"variableName"':'"GeoLocation"'}]}]'
az network application-gateway waf-policy custom-rule match-condition add --match-variables RemoteAddr --operator GeoMatch --policy-name ExamplePolicy --name GeoRateLimitRule --resource-group ExampleRG --value US --negate true

Scenariusz trzy — utwórz regułę niestandardową limitu szybkości pasującą do całego ruchu dla strony logowania i używając zmiennej GroupBy None. Spowoduje to grupowanie i liczenie całego ruchu zgodnego z regułą jako jeden i zastosowanie akcji we wszystkich ruchach pasujących do reguły (/login).

Portal

1. Otwieranie istniejących zasad zapory aplikacji internetowej usługi Application Gateway
2. Wybieranie reguł niestandardowych
3. Dodaj regułę niestandardową
4. Dodaj nazwę reguły niestandardowej
5. Wybierz przycisk radiowy Typ reguły limitu szybkości
6. Wprowadź priorytet reguły
7. Wybierz 1 minutę czasu trwania limitu szybkości
8. Wprowadź wartość 100 w polu Próg limitu szybkości (żądania)
9. Wybierz pozycję Brak dla ruchu limitu liczby grup według
10. W obszarze Warunki wybierz pozycję Ciąg dla pozycji Typ dopasowania
11. W sekcji Dopasowywanie zmiennych wybierz pozycję RequestUri dla zmiennej Dopasowania.
12. Wybierz przycisk radiowy Nie jest przyciskiem radiowym dla operacji
13. W obszarze Operator select contains
14. Wprowadź ścieżkę strony logowania, aby uzyskać wartość dopasowania. W tym przykładzie używamy /login
15. Pozostaw ustawienie akcji Na odmów ruchu
16. Wybierz pozycję Dodaj, aby dodać regułę niestandardową do zasad
17. Wybierz pozycję Zapisz, aby zapisać konfigurację i ustawić regułę niestandardową jako aktywną dla zasad zapory aplikacji internetowej.

Program PowerShell

$variable = New-AzApplicationGatewayFirewallMatchVariable -VariableName RequestUri  
$condition = New-AzApplicationGatewayFirewallCondition -MatchVariable $variable -Operator Contains -MatchValue "/login" -NegationCondition $True  
$groupByVariable = New-AzApplicationGatewayFirewallCustomRuleGroupByVariable -VariableName None       
$groupByUserSession = New-AzApplicationGatewayFirewallCustomRuleGroupByUserSession -GroupByVariable $groupByVariable 
$ratelimitrule = New-AzApplicationGatewayFirewallCustomRule -Name LoginRateLimitRule -Priority 99 -RateLimitDuration OneMin -RateLimitThreshold 100 -RuleType RateLimitRule -MatchCondition $condition -GroupByUserSession $groupByUserSession -Action Block -State Enabled 

Interfejs wiersza polecenia

az network application-gateway waf-policy custom-rule create --policy-name ExamplePolicy --resource-group ExampleRG --action Block --name LoginRateLimitRule --priority 99 --rule-type RateLimitRule --rate-limit-threshold 100 --group-by-user-session '[{'"groupByVariables"':[{'"variableName"':'"None"'}]}]'
az network application-gateway waf-policy custom-rule match-condition add --match-variables RequestUri --operator Contains --policy-name ExamplePolicy --name LoginRateLimitRule --resource-group ExampleRG --value '/login'

Następne kroki

Dostosowywanie reguł zapory aplikacji internetowej