Criar regras personalizadas de limite de taxa do WAF do Gateway de Aplicativo v2

A limitação de taxa permite que você detecte e bloqueie níveis de tráfego anormalmente altos destinados ao seu aplicativo. A Limitação de Taxa funciona contando todo o tráfego que corresponde à regra de Limite de Taxa configurada e executando a ação configurada da correspondência de tráfego que excede o limite configurado. Para obter mais informações, confira Visão geral de limitação de taxa.

Configurar Regras de Limite de Taxa Personalizadas

Use as informações a seguir para configurar Regras de Limite de Taxa para o WAF do Gateway de Aplicativo v2.

Cenário Um: Criar uma regra para limitar a taxa de tráfego por IP de Cliente que exceder o limite configurado, equiparando todo o tráfego.

Portal

1. Abra uma política existente de WAF do Gateway de Aplicativo
2. Selecione Regras Personalizadas
3. Adicione uma Regra Personalizada
4. Adicione um nome para a Regra Personalizada
5. Selecione o botão de opção do Tipo de Regra de Limite de Taxa
6. Insira uma Prioridade para a regra
7. Escolha 1 minuto como a duração do Limite de Taxa
8. Insira 200 como o limiar do Limite de Taxa (solicitações)
9. Selecione o endereço do Cliente para limitar a taxa de tráfego do Grupo por
10. Em Condições, escolha endereço IP como Tipo de Equiparação
11. Para a Operação, selecione o botão de opção "Não contém"
12. Como condição de equiparação, em endereço ou intervalo de IP insira 255.255.255.255/32
13. Deixe a configuração da ação como "Negar tráfego"
14. Selecione Adicionar para adicionar a regra personalizada à política
15. Selecione Salvar para salvar a configuração e ativar a regra personalizada para a política do WAF.

PowerShell

$variable = New-AzApplicationGatewayFirewallMatchVariable -VariableName RemoteAddr 
$condition = New-AzApplicationGatewayFirewallCondition -MatchVariable $variable -Operator IPMatch -MatchValue 255.255.255.255/32 -NegationCondition $True      
$groupByVariable = New-AzApplicationGatewayFirewallCustomRuleGroupByVariable -VariableName ClientAddr      
$groupByUserSession = New-AzApplicationGatewayFirewallCustomRuleGroupByUserSession -GroupByVariable $groupByVariable
$ratelimitrule = New-AzApplicationGatewayFirewallCustomRule -Name ClientIPRateLimitRule -Priority 90 -RateLimitDuration OneMin -RateLimitThreshold 100 -RuleType RateLimitRule -MatchCondition $condition -GroupByUserSession $groupByUserSession -Action Block -State Enabled 

CLI

az network application-gateway waf-policy custom-rule create --policy-name ExamplePolicy --resource-group ExampleRG --action Block --name ClientIPRateLimitRule --priority 90 --rule-type RateLimitRule --rate-limit-threshold 100 --group-by-user-session '[{'"groupByVariables"':[{'"variableName"':'"ClientAddr"'}]}]'
az network application-gateway waf-policy custom-rule match-condition add --match-variables RemoteAddr --operator IPMatch --policy-name ExamplePolicy --name ClientIPRateLimitRule --resource-group ExampleRG --value 255.255.255.255/32 --negate true

Cenário Dois: Criar uma regra personalizada para limitar a taxa de modo a equiparar todo o tráfego, exceto o tráfego proveniente do Estados Unidos. O tráfego será agrupado, contabilizado e sua taxa limitada com base na Localização Geográfica do endereço IP de Origem do Cliente

Portal

1. Abra uma política existente de WAF do Gateway de Aplicativo
2. Selecione Regras Personalizadas
3. Adicione uma Regra Personalizada
4. Adicione um nome para a Regra Personalizada
5. Selecione o botão de opção do Tipo de Regra de Limite de Taxa
6. Insira uma Prioridade para a regra
7. Escolha 1 minuto como a duração do Limite de Taxa
8. Insira 500 como o limiar do Limite de Taxa (solicitações)
9. Selecione Localização Geográfica para limitar a taxa de tráfego do Grupo por
10. Em Condições, escolha Localização Geográfica como Tipo de Equiparação
11. Na seção Equiparar variáveis, selecione RemoteAddr para Equiparar variável
12. Selecione o botão de opção "Não é" para a operação
13. Selecione Estados Unidos para País/Região
14. Deixe a configuração da ação como "Negar tráfego"
15. Selecione Adicionar para adicionar a regra personalizada à política
16. Selecione Salvar para salvar a configuração e ativar a regra personalizada para a política do WAF.

PowerShell

$variable = New-AzApplicationGatewayFirewallMatchVariable -VariableName RemoteAddr 
$condition = New-AzApplicationGatewayFirewallCondition -MatchVariable $variable -Operator GeoMatch -MatchValue "US" -NegationCondition $True
$groupByVariable = New-AzApplicationGatewayFirewallCustomRuleGroupByVariablde -VariableName GeoLocation 
$groupByUserSession = New-AzApplicationGatewayFirewallCustomRuleGroupByUserSession -GroupByVariable $groupByVariable 
$ratelimitrule = New-AzApplicationGatewayFirewallCustomRule -Name GeoRateLimitRule -Priority 95 -RateLimitDuration OneMin -RateLimitThreshold 500 -RuleType RateLimitRule -MatchCondition $condition -GroupByUserSession $groupByUserSession -Action Block -State Enabled  

CLI

az network application-gateway waf-policy custom-rule create --policy-name ExamplePolicy --resource-group ExampleRG --action Block --name GeoRateLimitRule --priority 95 --rule-type RateLimitRule --rate-limit-threshold 500 --group-by-user-session '[{'"groupByVariables"':[{'"variableName"':'"GeoLocation"'}]}]'
az network application-gateway waf-policy custom-rule match-condition add --match-variables RemoteAddr --operator GeoMatch --policy-name ExamplePolicy --name GeoRateLimitRule --resource-group ExampleRG --value US --negate true

Cenário Três: Criar uma regra personalizada para limitar a taxa equiparando todo o tráfego para a página de login e usando a variável GroupBy None. Isso irá agrupar e contabilizar todo o tráfego que corresponder à regra como um único e aplicar a ação em todo o tráfego correspondente à regra (/login).

Portal

1. Abra uma política existente de WAF do Gateway de Aplicativo
2. Selecione Regras Personalizadas
3. Adicione uma Regra Personalizada
4. Adicione um nome para a Regra Personalizada
5. Selecione o botão de opção do Tipo de Regra de Limite de Taxa
6. Insira uma Prioridade para a regra
7. Escolha 1 minuto como a duração do Limite de Taxa
8. Insira 100 como o limiar do Limite de Taxa (solicitações)
9. Selecione Nenhum para limitar a taxa de tráfego do Grupo por
10. Em Condições, escolha Cadeia de Caracteres como Tipo de Equiparação
11. Na seção Equiparar variáveis, selecione RequestUr para Equiparar variável
12. Selecione o botão de opção "Não é" para a operação
13. Para Operador, selecione contém
14. Insira o caminho da página de Login para equiparar o Valor. Nesse exemplo, usamos /login
15. Deixe a configuração da ação como "Negar tráfego"
16. Selecione Adicionar para adicionar a regra personalizada à política
17. Selecione Salvar para salvar a configuração e ativar a regra personalizada para a política do WAF.

PowerShell

$variable = New-AzApplicationGatewayFirewallMatchVariable -VariableName RequestUri  
$condition = New-AzApplicationGatewayFirewallCondition -MatchVariable $variable -Operator Contains -MatchValue "/login" -NegationCondition $True  
$groupByVariable = New-AzApplicationGatewayFirewallCustomRuleGroupByVariable -VariableName None       
$groupByUserSession = New-AzApplicationGatewayFirewallCustomRuleGroupByUserSession -GroupByVariable $groupByVariable 
$ratelimitrule = New-AzApplicationGatewayFirewallCustomRule -Name LoginRateLimitRule -Priority 99 -RateLimitDuration OneMin -RateLimitThreshold 100 -RuleType RateLimitRule -MatchCondition $condition -GroupByUserSession $groupByUserSession -Action Block -State Enabled 

CLI

az network application-gateway waf-policy custom-rule create --policy-name ExamplePolicy --resource-group ExampleRG --action Block --name LoginRateLimitRule --priority 99 --rule-type RateLimitRule --rate-limit-threshold 100 --group-by-user-session '[{'"groupByVariables"':[{'"variableName"':'"None"'}]}]'
az network application-gateway waf-policy custom-rule match-condition add --match-variables RequestUri --operator Contains --policy-name ExamplePolicy --name LoginRateLimitRule --resource-group ExampleRG --value '/login'

Próximas etapas

Personalizar as regras de firewall do aplicativo Web