O que é limite de taxa para o Web Application Firewall no Application Gateway?
O limite de taxa para o Web Application Firewall no Application Gateway permite detetar e bloquear níveis anormalmente altos de tráfego destinado ao seu aplicativo. Usando a limitação de taxa no Application Gateway WAF_v2, você pode mitigar muitos tipos de ataques de negação de serviço, proteger contra clientes que foram acidentalmente configurados incorretamente para enviar grandes volumes de solicitações em um curto período de tempo ou controlar as taxas de tráfego para seu site a partir de geografias específicas.
Políticas de limitação de taxas
A limitação de taxa é configurada usando regras WAF personalizadas em uma política.
Nota
As regras de limite de taxa só são suportadas em firewalls de aplicativos Web que executam o mecanismo WAF mais recente. Para garantir que você está usando o mecanismo mais recente, selecione CRS 3.2 para o conjunto de regras padrão.
Ao configurar uma regra de limite de taxa, você deve especificar o limite: o número de solicitações permitidas dentro do período de tempo especificado. A limitação de taxa no Application Gateway WAF_v2 usa um algoritmo de janela deslizante para determinar quando o tráfego ultrapassou o limite e precisa ser descartado. Durante a primeira janela em que o limite para a regra é violado, qualquer tráfego adicional correspondente à regra de limite de taxa é descartado. A partir da segunda janela, o tráfego até o limite dentro da janela configurada é permitido, produzindo um efeito de limitação.
Você também deve especificar uma condição de correspondência, que informa ao WAF quando ativar o limite de taxa. Você pode configurar várias regras de limite de taxa que correspondam a diferentes variáveis e caminhos dentro de sua política.
O Application Gateway WAF_v2 também introduz um GroupByUserSession, que deve ser configurado. O GroupByUserSession especifica como as solicitações são agrupadas e contadas para uma regra de limite de taxa correspondente.
Os três GroupByVariables a seguir estão atualmente disponíveis:
- ClientAddr – Esta é a configuração padrão e significa que cada limite de taxa e mitigação se aplica independentemente a cada endereço IP de origem exclusivo.
- GeoLocalização - O tráfego é agrupado por sua geografia com base em uma correspondência geográfica no endereço IP do cliente. Assim, para uma regra de limite de taxa, o tráfego da mesma geografia é agrupado.
- Nenhum - Todo o tráfego é agrupado e contado em relação ao limite da regra de Limite de Taxa. Quando o limite é violado, a ação é acionada contra todo o tráfego correspondente à regra e não mantém contadores independentes para cada endereço IP ou geografia do cliente. Recomenda-se usar Nenhum com condições de correspondência específicas, como uma página de entrada ou uma lista de agentes de usuário suspeitos.
Detalhes de limitação de taxa
Os limites de limite de taxa configurados são contados e rastreados independentemente para cada ponto de extremidade ao qual a política do Web Application Firewall está anexada. Por exemplo, uma única política WAF anexada a cinco ouvintes diferentes mantém contadores independentes e imposição de limite para cada um dos ouvintes.
Os limites de limite de taxa nem sempre são aplicados exatamente como definido, portanto, não devem ser usados para controle refinado do tráfego de aplicativos. Em vez disso, é recomendado para reduzir taxas anômalas de tráfego e para manter a disponibilidade do aplicativo.
O algoritmo de janela deslizante bloqueia todo o tráfego correspondente para a primeira janela em que o limite é excedido e, em seguida, limita o tráfego em janelas futuras. Tenha cuidado ao definir limites para configurar regras de correspondência ampla com GeoLocation ou None como GroupByVariables. Limites configurados incorretamente podem levar a interrupções curtas frequentes para o tráfego correspondente.