Azure Front Door için hız sınırlama nedir?
Hız sınırlama, herhangi bir yuva IP adresinden anormal düzeydeki trafiği algılamanızı ve engellemenizi sağlar. Azure Front Door'da Azure Web Uygulaması Güvenlik Duvarı kullanarak bazı hizmet reddi saldırılarını azaltabilirsiniz. Hız sınırlama, kısa bir süre içinde büyük hacimli istekler göndermek üzere yanlışlıkla yanlış yapılandırılmış istemcilere karşı da sizi korur.
Yuva IP adresi, Azure Front Door'a TCP bağlantısını başlatan istemcinin adresidir. Yuva IP adresi genellikle kullanıcının IP adresidir, ancak bir ara sunucunun veya kullanıcı ile Azure Front Door arasında yer alan başka bir cihazın IP adresi de olabilir.
Hız sınırlarını yuva IP adresi düzeyinde veya uzak adres düzeyinde tanımlayabilirsiniz. Azure Front Door'a farklı yuva IP adreslerinden erişen birden çok istemciniz varsa, her birinin kendi hız sınırları uygulanır. Yuva IP adresi, web uygulaması güvenlik duvarının (WAF) gördüğü kaynak IP adresidir. Kullanıcınız bir ara sunucunun arkasındaysa yuva IP adresi genellikle ara sunucu adresidir. Uzak adres, genellikle istek üst bilgisi aracılığıyla X-Forwarded-For gönderilen özgün istemci IP adresidir.
Hız sınırı ilkesi yapılandırma
Hız sınırlama, özel WAF kuralları kullanılarak yapılandırılır.
Hız sınırı kuralı yapılandırdığınızda eşiği belirtirsiniz. Eşik, her yuva IP adresinden bir dakika veya beş dakika içinde izin verilen web isteklerinin sayısıdır.
Ayrıca Azure Front Door'a hız sınırının ne zaman etkinleştirileceğini bildiren en az bir eşleşme koşulu belirtmeniz gerekir. Uygulamanızın içindeki farklı yollara uygulanan birden çok hız sınırı yapılandırabilirsiniz.
Tüm isteklerinize bir hız sınırı kuralı uygulamanız gerekiyorsa, aşağıdaki örneğe benzer bir eşleşme koşulu kullanmayı göz önünde bulundurun:
Yukarıdaki eşleşme koşulu, üst bilgisi değerinden 0büyük olan Host tüm istekleri tanımlar. Azure Front Door için tüm geçerli HTTP istekleri bir Host üst bilgi içerdiğinden, bu eşleştirme koşulu tüm HTTP isteklerini eşleştirme etkisine sahiptir.
Hız sınırları ve Azure Front Door sunucuları
Aynı istemciden gelen istekler genellikle aynı Azure Front Door sunucusuna ulaşır. Bu durumda, istemci IP adreslerinin her biri için hız sınırına ulaşıldığında isteklerin engellendiğini görürsünüz.
Aynı istemciden gelen istekler, hız sınırı sayaçlarını henüz yenilememiş farklı bir Azure Front Door sunucusuna gelebilir. Örneğin, istemci her istek için yeni bir TCP bağlantısı açabilir ve her TCP bağlantısı farklı bir Azure Front Door sunucusuna yönlendirilebilir.
Eşik yeterince düşükse, yeni Azure Front Door sunucusuna yapılan ilk istek hız sınırı denetimini geçebilir. Bu nedenle, düşük bir eşik için (örneğin, dakikada yaklaşık 200 istek) eşiğin üzerinde bazı isteklerin geçtiğini görebilirsiniz.
Hız sınırlaması için eşik değerlerini ve zaman pencerelerini belirlerken göz önünde bulundurmanız gereken birkaç nokta:
- Kabul edilebilir en küçük istek sayısı eşiğine sahip daha büyük bir pencere boyutu, DDoS saldırılarını önlemeye yönelik en etkili yapılandırmadır. Bu yapılandırma daha etkilidir çünkü bir saldırgan eşiğe ulaştığında hız sınırı penceresinin geri kalanında engellenir. Bu nedenle, bir saldırgan bir dakikalık pencerenin ilk 30 saniyesinde engellenirse yalnızca kalan 30 saniye boyunca hız sınırlı olur. Bir saldırgan beş dakikalık pencerenin ilk dakikasında engellenirse, kalan dört dakika boyunca hız sınırı vardır.
- Daha büyük zaman penceresi boyutları (örneğin, bir dakikadan beş dakika fazla) ve daha büyük eşik değerleri (örneğin, 100'den 200'ün üzerinde) ayarlamak, hız sınırı eşiklerine yakın uygulama konusunda daha kısa zaman penceresi boyutları ve daha düşük eşik değerleri kullanmaktan daha doğru olma eğilimindedir.
- Azure Front Door WAF hız sınırlaması sabit bir zaman aralığında çalışır. Hız sınırı eşiği ihlal edildikten sonra, sabit pencerenin geri kalanında bu hız sınırlama kuralıyla eşleşen tüm trafik engellenir.
Sonraki adımlar
- Azure Front Door WAF'nizde hız sınırlamayı yapılandırın.
- En iyi yöntemleri sınırlama oranını gözden geçirin.