共用方式為


應用程式閘道上 Web 應用程式防火牆的速率限制是什麼?

應用程式閘道上 Web 應用程式防火牆的速率限制,可讓您偵測和封鎖針對您應用程式所指定流量異常高的流量。 在應用程式閘道 WAF_v2 使用速率限制,可以減輕許多類型的 DoS、防範意外設定錯誤導致短時間內傳送大量要求的用戶端,或從特定地理位置控制網站的流量速率。

速率限制原則

速率限制是在原則內使用自訂 WAF 規則設定。

注意

唯有執行最新 WAF 引擎的 Web 應用程式防火牆才支援速率限制規則。 為了確保您使用最新的引擎,預設規則集請選取 CRS 3.2。

設定速率限制規則時,必須指定閾值:指定期間內允許的要求數目。 應用程式閘道 WAF_v2 速率限制使用滑動視窗演算法判斷流量何時違反閾值,且需要卸除。 在違反規則閾值的第一個時間範圍,符合速率限制規則的任何流量都會卸除。 從第二個時間範圍開始,允許流量達到設定之時間範圍內的閾值,同時產生節流的效果。

您也必須指定比對條件,告知 WAF 何時啟用速率限制。 您可以根據原則內的不同變數和路徑,設定多個速率限制規則。

應用程式閘道 WAF_v2 還引進必須設定的 GroupByUserSessionGroupByUserSession 會指定如何分組和計入相符速率限制規則的要求。

下列三個 GroupByVariables 目前可供使用:

  • 用戶端位址 – 這是預設設定,這表示每個速率限制閾值和風險降低,都會單獨套用至每個唯一來源 IP 位址。
  • 地理位置 - 流量會以用戶端 IP 位址的地理位置比對結果,依照地理位置分組。 因此,針對速率限制規則,相同地理位置的流量會分在同一組。
  • - 所有流量都分在同一組,並根據速率限制規則的閾值計算。 違反閾值時會針對符合規則的所有流量觸發動作,而且不會針對每個用戶端 IP 位址或地理位置保有獨立的計數器。 建議使用搭配特定比對條件,例如登入頁面或可疑的使用者代理程式清單。

速率限制詳細資料

設定的速率限制閾值會針對 Web 應用程式防火牆原則所連結的每個端點進行計算和追蹤。 例如,連結至五個不同接聽程式的單一 WAF 原則,會針對每個接聽程式保有獨立計數器和閾值強制執行方式。

速率限制閾值未必會完全依照定義強制執行,因此對應用程式流量進行精細控制時不應使用。 反之,速率限制閾值建議用於降低異常流量速率,以及維護應用程式可用性。

滑動視窗演算法會封鎖超過閾值之第一個時間範圍的所有相符流量,然後在未來的時間範圍節流。 使用地理位置作為GroupByVariables 定義設定廣泛比對規則的閾值時請小心。 閾值設定不正確可能會導致比對流量頻繁短暫中斷。

後續步驟