Criar regras personalizadas de limitação de taxa para o Application Gateway WAF v2

A limitação de taxa permite detetar e bloquear níveis anormalmente altos de tráfego destinado ao seu aplicativo. A Limitação de Taxa funciona contando todo o tráfego que corresponde à regra de Limite de Taxa configurada e executando a ação configurada para o tráfego correspondente a essa regra que excede o limite configurado. Para obter mais informações, consulte Visão geral da limitação de taxa.

Configurar regras personalizadas de limite de taxa

Use as informações a seguir para configurar as Regras de Limite de Taxa para o Application Gateway WAFv2.

Cenário Um - Crie uma regra para limitar a taxa de tráfego por IP do Cliente que exceda o limite configurado, correspondendo a todo o tráfego.

Portal

1. Abrir uma política WAF do Application Gateway existente
2. Selecionar regras personalizadas
3. Adicionar regra personalizada
4. Adicionar nome para a regra personalizada
5. Selecione o botão de opção Tipo de regra de limite de taxa
6. Insira uma Prioridade para a regra
7. Escolha 1 minuto para a duração do limite de tarifa
8. Insira 200 para Limite de taxa (solicitações)
9. Selecione Endereço do cliente para Limite de tráfego de taxa de grupo por
10. Em Condições, escolha o endereço IP para Tipo de correspondência
11. Em Operação, selecione o botão de opção Não contém
12. Para a condição de correspondência, em Endereço IP ou intervalo, digite 255.255.255.255/32
13. Deixe a configuração de ação para Negar tráfego
14. Selecione Adicionar para adicionar a regra personalizada à política
15. Selecione Salvar para salvar a configuração e tornar a regra personalizada ativa para a política WAF.

PowerShell

$variable = New-AzApplicationGatewayFirewallMatchVariable -VariableName RemoteAddr 
$condition = New-AzApplicationGatewayFirewallCondition -MatchVariable $variable -Operator IPMatch -MatchValue 255.255.255.255/32 -NegationCondition $True      
$groupByVariable = New-AzApplicationGatewayFirewallCustomRuleGroupByVariable -VariableName ClientAddr      
$groupByUserSession = New-AzApplicationGatewayFirewallCustomRuleGroupByUserSession -GroupByVariable $groupByVariable
$ratelimitrule = New-AzApplicationGatewayFirewallCustomRule -Name ClientIPRateLimitRule -Priority 90 -RateLimitDuration OneMin -RateLimitThreshold 100 -RuleType RateLimitRule -MatchCondition $condition -GroupByUserSession $groupByUserSession -Action Block -State Enabled 

CLI

az network application-gateway waf-policy custom-rule create --policy-name ExamplePolicy --resource-group ExampleRG --action Block --name ClientIPRateLimitRule --priority 90 --rule-type RateLimitRule --rate-limit-threshold 100 --group-by-user-session '[{'"groupByVariables"':[{'"variableName"':'"ClientAddr"'}]}]'
az network application-gateway waf-policy custom-rule match-condition add --match-variables RemoteAddr --operator IPMatch --policy-name ExamplePolicy --name ClientIPRateLimitRule --resource-group ExampleRG --value 255.255.255.255/32 --negate true

Cenário Dois - Crie uma Regra Personalizada de Limite de Taxa para corresponder a todo o tráfego, exceto o tráfego originado dos Estados Unidos. O tráfego será agrupado, contado e limitado com base na GeoLocalização do endereço IP de origem do cliente

Portal

1. Abrir uma política WAF do Application Gateway existente
2. Selecionar regras personalizadas
3. Adicionar regra personalizada
4. Adicionar nome para a regra personalizada
5. Selecione o botão de opção Tipo de regra de limite de taxa
6. Insira uma Prioridade para a regra
7. Escolha 1 minuto para a duração do limite de tarifa
8. Insira 500 para Limite de taxa (solicitações)
9. Selecione Localização geográfica para Limite de tráfego de taxa de grupo por
10. Em Condições, escolha Localização geográfica para Tipo de correspondência
11. Na seção Corresponder variáveis, selecione RemoteAddr para a variável Match
12. Selecione o botão de opção Não é para operação
13. Selecione Estados Unidos para País/Região
14. Deixe a configuração de ação para Negar tráfego
15. Selecione Adicionar para adicionar a regra personalizada à política
16. Selecione Salvar para salvar a configuração e tornar a regra personalizada ativa para a política WAF.

PowerShell

$variable = New-AzApplicationGatewayFirewallMatchVariable -VariableName RemoteAddr 
$condition = New-AzApplicationGatewayFirewallCondition -MatchVariable $variable -Operator GeoMatch -MatchValue "US" -NegationCondition $True
$groupByVariable = New-AzApplicationGatewayFirewallCustomRuleGroupByVariablde -VariableName GeoLocation 
$groupByUserSession = New-AzApplicationGatewayFirewallCustomRuleGroupByUserSession -GroupByVariable $groupByVariable 
$ratelimitrule = New-AzApplicationGatewayFirewallCustomRule -Name GeoRateLimitRule -Priority 95 -RateLimitDuration OneMin -RateLimitThreshold 500 -RuleType RateLimitRule -MatchCondition $condition -GroupByUserSession $groupByUserSession -Action Block -State Enabled  

CLI

az network application-gateway waf-policy custom-rule create --policy-name ExamplePolicy --resource-group ExampleRG --action Block --name GeoRateLimitRule --priority 95 --rule-type RateLimitRule --rate-limit-threshold 500 --group-by-user-session '[{'"groupByVariables"':[{'"variableName"':'"GeoLocation"'}]}]'
az network application-gateway waf-policy custom-rule match-condition add --match-variables RemoteAddr --operator GeoMatch --policy-name ExamplePolicy --name GeoRateLimitRule --resource-group ExampleRG --value US --negate true

Cenário Três - Criar Regra Personalizada de Limite de Taxa que corresponda a todo o tráfego da página de login e use a variável GroupBy None. Isso agrupará e contará todo o tráfego que corresponde à regra como um e aplicará a ação em todo o tráfego correspondente à regra (/login).

Portal

1. Abrir uma política WAF do Application Gateway existente
2. Selecionar regras personalizadas
3. Adicionar regra personalizada
4. Adicionar nome para a regra personalizada
5. Selecione o botão de opção Tipo de regra de limite de taxa
6. Insira uma Prioridade para a regra
7. Escolha 1 minuto para a duração do limite de tarifa
8. Insira 100 para Limite de taxa (solicitações)
9. Selecione Nenhum para Limite de tráfego de taxa de grupo por
10. Em Condições, escolha String para Tipo de correspondência
11. Na seção Corresponder variáveis, selecione RequestUri para a variável Match
12. Selecione o botão de opção Não é para operação
13. Para Operador, selecione contém
14. Insira o caminho da página de login para corresponder ao valor. Neste exemplo, usamos /login
15. Deixe a configuração de ação para Negar tráfego
16. Selecione Adicionar para adicionar a regra personalizada à política
17. Selecione Salvar para salvar a configuração e tornar a regra personalizada ativa para a política WAF.

PowerShell

$variable = New-AzApplicationGatewayFirewallMatchVariable -VariableName RequestUri  
$condition = New-AzApplicationGatewayFirewallCondition -MatchVariable $variable -Operator Contains -MatchValue "/login" -NegationCondition $True  
$groupByVariable = New-AzApplicationGatewayFirewallCustomRuleGroupByVariable -VariableName None       
$groupByUserSession = New-AzApplicationGatewayFirewallCustomRuleGroupByUserSession -GroupByVariable $groupByVariable 
$ratelimitrule = New-AzApplicationGatewayFirewallCustomRule -Name LoginRateLimitRule -Priority 99 -RateLimitDuration OneMin -RateLimitThreshold 100 -RuleType RateLimitRule -MatchCondition $condition -GroupByUserSession $groupByUserSession -Action Block -State Enabled 

CLI

az network application-gateway waf-policy custom-rule create --policy-name ExamplePolicy --resource-group ExampleRG --action Block --name LoginRateLimitRule --priority 99 --rule-type RateLimitRule --rate-limit-threshold 100 --group-by-user-session '[{'"groupByVariables"':[{'"variableName"':'"None"'}]}]'
az network application-gateway waf-policy custom-rule match-condition add --match-variables RequestUri --operator Contains --policy-name ExamplePolicy --name LoginRateLimitRule --resource-group ExampleRG --value '/login'

Próximos passos

Personalizar regras de firewall de aplicativos Web