Поделиться через

Что такое ограничение скорости для Azure Front Door?

  • Статья

Ограничение скорости позволяет обнаруживать и блокировать ненормально высокий уровень трафика с любого IP-адреса сокета. С помощью Azure Брандмауэр веб-приложений в Azure Front Door можно устранить некоторые типы атак типа "отказ в обслуживании". Ограничение скорости также защищает вас от клиентов, которые были случайно неправильно настроены для отправки больших объемов запросов за короткий период времени.

IP-адрес сокета — это адрес клиента, инициирующего TCP-подключение к Azure Front Door. Как правило, IP-адрес сокета — это IP-адрес пользователя, но он также может быть IP-адрес прокси-сервера или другого устройства, которое находится между пользователем и Azure Front Door.

Можно определить ограничения скорости на уровне IP-адреса сокета или на удаленном уровне адресов. Если у вас есть несколько клиентов, которые обращаются к Azure Front Door из разных IP-адресов сокетов, они имеют собственные ограничения скорости. IP-адрес сокета — это исходный IP-адрес, который отображает брандмауэр веб-приложения (WAF). Если пользователь находится за прокси-сервером, IP-адрес сокета часто является адресом прокси-сервера. Удаленный адрес — это исходный IP-адрес клиента, который обычно отправляется с помощью заголовка X-Forwarded-For запроса.

Настройка политики ограничения скорости

Ограничение скорости настраивается с помощью настраиваемых правил WAF.

При настройке правила ограничения скорости необходимо указать пороговое значение. Пороговое значение — это количество веб-запросов, разрешенных из каждого IP-адреса сокета в течение одной минуты или пяти минут.

Кроме того, необходимо указать по крайней мере одно условие соответствия, которое сообщает Azure Front Door при активации ограничения скорости. Вы можете настроить несколько ограничений скорости, которые применяются к разным путям в приложении.

Если вам нужно применить правило ограничения скорости ко всем запросам, попробуйте использовать условие соответствия, как показано в следующем примере:

Screenshot that shows the Azure portal showing a match condition that applies to all requests. The match condition looks for requests where the Host header size is zero or greater.

Предыдущее условие соответствия определяет все запросы с заголовком Host длины, превышающей длину 0. Так как все допустимые HTTP-запросы для Azure Front Door содержат Host заголовок, это условие соответствия влияет на соответствие всем HTTP-запросам.

Ограничения скорости и серверы Azure Front Door

Запросы от того же клиента часто приходят на тот же сервер Azure Front Door. В этом случае запросы блокируются сразу после достижения ограничения скорости для каждого IP-адреса клиента.

Возможно, что запросы от одного клиента могут поступать на другой сервер Azure Front Door, который еще не обновил счетчики ограничения скорости. Например, клиент может открыть новое TCP-подключение для каждого запроса, и каждое TCP-подключение может быть перенаправлено на другой сервер Azure Front Door.

Если пороговое значение достаточно низко, первый запрос на новый сервер Azure Front Door может пройти ограничение скорости проверка. Таким образом, для низкого порогового значения (например, менее 200 запросов в минуту), можно увидеть некоторые запросы выше порогового значения.

При определении пороговых значений и периодов времени для ограничения скорости следует учитывать несколько соображений:

  • Более крупный размер окна с наименьшим допустимым порогом количества запросов является наиболее эффективной конфигурацией для предотвращения атак DDoS. Эта конфигурация более эффективна, так как когда злоумышленник достигает порогового значения, он блокируется в оставшейся части окна ограничения скорости. Таким образом, если злоумышленник блокируется в течение первых 30 секунд в течение одного минутного окна, он ограничен только в течение оставшихся 30 секунд. Если злоумышленник блокируется в первой минуте пятиминутного окна, они ограничены в течение оставшихся четырех минут.
  • Установка больших размеров интервала времени (например, пять минут за одну минуту) и более крупные пороговые значения (например, 200 более 100) обычно более точны в применении пороговых значений близко к пороговым значениям ограничения скорости, чем при использовании более коротких размеров периода времени и более низких значений пороговых значений.
  • Ограничение скорости WAF в Azure Front Door работает с фиксированным периодом времени. После нарушения порогового значения скорости весь трафик, соответствующий правилу ограничения скорости, блокируется для остальной части фиксированного окна.

Следующие шаги