你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

为应用程序网关 WAF v2 创建速率限制自定义规则

速率限制使你能够检测并阻止流向应用程序的异常高流量。 速率限制的工作原理是计算与配置的速率限制规则匹配的所有流量，并为匹配该规则（超过配置阈值）的流量执行配置的操作。 有关详细信息，请参阅速率限制概述。

配置速率限制自定义规则

使用以下信息为应用程序网关 WAFv2 配置速率限制规则。

场景一 - 创建规则，按客户端 IP 对超过配置阈值的流量进行速率限制，从而匹配所有流量。

Portal

1. 打开现有的应用程序网关 WAF 策略
2. 选择自定义规则
3. 添加自定义规则
4. 为自定义规则添加名称
5. 选择“速率限制规则类型”单选按钮
6. 为规则输入优先级
7. 为速率限制持续时间选择 1 分钟
8. 对速率限制阈值输入 200（请求）
9. 为“速率限制流量分组依据”选择“客户端地址”
10. 在“条件”下，为“匹配类型”选择“IP 地址”
11. 对于“操作”，选择“不包含”单选按钮
12. 对于匹配条件，在“IP 地址或范围”下输入 255.255.255.255/32
13. 将操作设置保留为“拒绝流量”
14. 选择“添加”，将自定义规则添加到策略
15. 选择“保存”以保存配置，并使 WAF 策略的自定义规则处于活动状态。

PowerShell

$variable = New-AzApplicationGatewayFirewallMatchVariable -VariableName RemoteAddr 
$condition = New-AzApplicationGatewayFirewallCondition -MatchVariable $variable -Operator IPMatch -MatchValue 255.255.255.255/32 -NegationCondition $True      
$groupByVariable = New-AzApplicationGatewayFirewallCustomRuleGroupByVariable -VariableName ClientAddr      
$groupByUserSession = New-AzApplicationGatewayFirewallCustomRuleGroupByUserSession -GroupByVariable $groupByVariable
$ratelimitrule = New-AzApplicationGatewayFirewallCustomRule -Name ClientIPRateLimitRule -Priority 90 -RateLimitDuration OneMin -RateLimitThreshold 100 -RuleType RateLimitRule -MatchCondition $condition -GroupByUserSession $groupByUserSession -Action Block -State Enabled 

CLI

az network application-gateway waf-policy custom-rule create --policy-name ExamplePolicy --resource-group ExampleRG --action Block --name ClientIPRateLimitRule --priority 90 --rule-type RateLimitRule --rate-limit-threshold 100 --group-by-user-session '[{'"groupByVariables"':[{'"variableName"':'"ClientAddr"'}]}]'
az network application-gateway waf-policy custom-rule match-condition add --match-variables RemoteAddr --operator IPMatch --policy-name ExamplePolicy --name ClientIPRateLimitRule --resource-group ExampleRG --value 255.255.255.255/32 --negate true

场景二 - 创建速率限制自定义规则，以匹配除源自美国的流量之外的所有流量。 流量将根据客户端源 IP 地址的地理位置进行分组、计数和速率限制

Portal

1. 打开现有的应用程序网关 WAF 策略
2. 选择自定义规则
3. 添加自定义规则
4. 为自定义规则添加名称
5. 选择“速率限制规则类型”单选按钮
6. 为规则输入优先级
7. 为速率限制持续时间选择 1 分钟
8. 对速率限制阈值输入 500（请求）
9. 为“速率限制流量分组依据”选择“地理位置”
10. 在“条件”下，为“匹配类型”选择“地理位置”
11. 在“匹配变量”部分中，为“匹配变量”选择“RemoteAddr”
12. 对于操作选择“不是”单选按钮
13. 为“国家/地区”选择“美国”
14. 将操作设置保留为“拒绝流量”
15. 选择“添加”，将自定义规则添加到策略
16. 选择“保存”以保存配置，并使 WAF 策略的自定义规则处于活动状态。

PowerShell

$variable = New-AzApplicationGatewayFirewallMatchVariable -VariableName RemoteAddr 
$condition = New-AzApplicationGatewayFirewallCondition -MatchVariable $variable -Operator GeoMatch -MatchValue "US" -NegationCondition $True
$groupByVariable = New-AzApplicationGatewayFirewallCustomRuleGroupByVariablde -VariableName GeoLocation 
$groupByUserSession = New-AzApplicationGatewayFirewallCustomRuleGroupByUserSession -GroupByVariable $groupByVariable 
$ratelimitrule = New-AzApplicationGatewayFirewallCustomRule -Name GeoRateLimitRule -Priority 95 -RateLimitDuration OneMin -RateLimitThreshold 500 -RuleType RateLimitRule -MatchCondition $condition -GroupByUserSession $groupByUserSession -Action Block -State Enabled  

CLI

az network application-gateway waf-policy custom-rule create --policy-name ExamplePolicy --resource-group ExampleRG --action Block --name GeoRateLimitRule --priority 95 --rule-type RateLimitRule --rate-limit-threshold 500 --group-by-user-session '[{'"groupByVariables"':[{'"variableName"':'"GeoLocation"'}]}]'
az network application-gateway waf-policy custom-rule match-condition add --match-variables RemoteAddr --operator GeoMatch --policy-name ExamplePolicy --name GeoRateLimitRule --resource-group ExampleRG --value US --negate true

场景三 - 创建与登录页的所有流量匹配的速率限制自定义规则，并使用 GroupBy None 变量。 这将对与规则匹配的所有流量进行分组并计为一个流量，并将操作应用于与规则 (/login) 匹配的所有流量。

Portal

1. 打开现有的应用程序网关 WAF 策略
2. 选择自定义规则
3. 添加自定义规则
4. 为自定义规则添加名称
5. 选择“速率限制规则类型”单选按钮
6. 为规则输入优先级
7. 为速率限制持续时间选择 1 分钟
8. 对速率限制阈值输入 100（请求）
9. 为“速率限制流量分组依据”选择“无”
10. 在“条件”下，为“匹配类型”选择“字符串”
11. 在“匹配变量”部分中，为“匹配变量”选择“RequestUri”
12. 对于操作选择“不是”单选按钮
13. 对于“运算符”，选择“包含”
14. 输入匹配值的登录页路径。 在此示例中，我们使用 /login
15. 将操作设置保留为“拒绝流量”
16. 选择“添加”，将自定义规则添加到策略
17. 选择“保存”以保存配置，并使 WAF 策略的自定义规则处于活动状态。

PowerShell

$variable = New-AzApplicationGatewayFirewallMatchVariable -VariableName RequestUri  
$condition = New-AzApplicationGatewayFirewallCondition -MatchVariable $variable -Operator Contains -MatchValue "/login" -NegationCondition $True  
$groupByVariable = New-AzApplicationGatewayFirewallCustomRuleGroupByVariable -VariableName None       
$groupByUserSession = New-AzApplicationGatewayFirewallCustomRuleGroupByUserSession -GroupByVariable $groupByVariable 
$ratelimitrule = New-AzApplicationGatewayFirewallCustomRule -Name LoginRateLimitRule -Priority 99 -RateLimitDuration OneMin -RateLimitThreshold 100 -RuleType RateLimitRule -MatchCondition $condition -GroupByUserSession $groupByUserSession -Action Block -State Enabled 

CLI

az network application-gateway waf-policy custom-rule create --policy-name ExamplePolicy --resource-group ExampleRG --action Block --name LoginRateLimitRule --priority 99 --rule-type RateLimitRule --rate-limit-threshold 100 --group-by-user-session '[{'"groupByVariables"':[{'"variableName"':'"None"'}]}]'
az network application-gateway waf-policy custom-rule match-condition add --match-variables RequestUri --operator Contains --policy-name ExamplePolicy --name LoginRateLimitRule --resource-group ExampleRG --value '/login'

后续步骤

自定义 Web 应用程序防火墙规则