Vytvoření vlastních pravidel omezování rychlosti pro WAF služby Application Gateway v2

Omezování rychlosti umožňuje detekovat a blokovat neobvykle vysoké úrovně provozu určeného pro vaši aplikaci. Omezování rychlosti funguje počítáním všech přenosů, které odpovídají nakonfigurovaným pravidlu omezení rychlosti, a provedením nakonfigurované akce pro provoz odpovídající tomuto pravidlu, který překračuje nakonfigurovanou prahovou hodnotu. Další informace najdete v tématu Přehled omezování rychlosti.

Konfigurace vlastních pravidel omezení rychlosti

Následující informace použijte ke konfiguraci pravidel omezení rychlosti pro WAFv2 služby Application Gateway.

Scénář 1 – Vytvoření pravidla pro omezení provozu podle IP adresy klienta, které překračuje nakonfigurovanou prahovou hodnotu, odpovídající veškerému provozu

Azure Portal

1. Otevřete existující zásadu WAF služby Application Gateway.
2. Vyberte vlastní pravidla.
3. Vyberte Přidat vlastní pravidlo.
4. Zadejte název vlastního pravidla.
5. Jako typ pravidla vyberte Limit rychlosti.
6. Zadejte prioritu pravidla.
7. Zvolte 1 minutu pro dobu trvání limitu rychlosti.
8. Jako prahovou hodnotu limitu rychlosti (požadavky) zadejte 200.
9. Vyberte Klientskou adresu pro přenosy rychlosti skupiny podle.
10. V části Podmínky zvolte IP adresu pro typ Shoda.
11. V případě operace vyberte Možnost Neobsahuje.
12. Pro podmínku shody zadejte pod IP adresou nebo rozsahem 255.255.255.255/32.
13. Nastavení akce ponechte na Odepřít provoz.
14. Vyberte Přidat a přidejte do zásady vlastní pravidlo.
15. Výběrem možnosti Uložit uložíte konfiguraci a nastavíte vlastní pravidlo jako aktivní pro zásady WAF.

PowerShell

$variable = New-AzApplicationGatewayFirewallMatchVariable -VariableName RemoteAddr 
$condition = New-AzApplicationGatewayFirewallCondition -MatchVariable $variable -Operator IPMatch -MatchValue 255.255.255.255/32 -NegationCondition $True      
$groupByVariable = New-AzApplicationGatewayFirewallCustomRuleGroupByVariable -VariableName ClientAddr      
$groupByUserSession = New-AzApplicationGatewayFirewallCustomRuleGroupByUserSession -GroupByVariable $groupByVariable
$ratelimitrule = New-AzApplicationGatewayFirewallCustomRule -Name ClientIPRateLimitRule -Priority 90 -RateLimitDuration OneMin -RateLimitThreshold 100 -RuleType RateLimitRule -MatchCondition $condition -GroupByUserSession $groupByUserSession -Action Block -State Enabled 

Rozhraní příkazového řádku

az network application-gateway waf-policy custom-rule create --policy-name ExamplePolicy --resource-group ExampleRG --action Block --name ClientIPRateLimitRule --priority 90 --rule-type RateLimitRule --rate-limit-threshold 100 --group-by-user-session '[{'"groupByVariables"':[{'"variableName"':'"ClientAddr"'}]}]'
az network application-gateway waf-policy custom-rule match-condition add --match-variables RemoteAddr --operator IPMatch --policy-name ExamplePolicy --name ClientIPRateLimitRule --resource-group ExampleRG --value 255.255.255.255/32 --negate true

Scénář 2 – Vytvoření vlastního pravidla omezení rychlosti, které odpovídá veškerému provozu s výjimkou provozu pocházejícího z USA Provoz se seskupuje, počítá a omezuje rychlost na základě geografické polohy IP adresy zdroje klienta.

Azure Portal

1. Otevřete existující zásadu WAF služby Application Gateway.
2. Vyberte vlastní pravidla.
3. Vyberte Přidat vlastní pravidlo.
4. Zadejte název vlastního pravidla.
5. Jako typ pravidla vyberte Limit rychlosti.
6. Zadejte prioritu pravidla.
7. Zvolte 1 minutu pro dobu trvání limitu rychlosti.
8. Jako prahovou hodnotu limitu rychlosti (požadavky) zadejte 500.
9. Vyberte Geografické umístění pro omezení přenosové rychlosti skupiny podle.
10. V části Podmínky zvolte Geografické umístění pro typ Shody.
11. V části **Shoda proměnných vyberte RemoteAddr pro proměnnou Shoda.
12. Vyberte Možnost Není pro operaci.
13. Vyberte USA pro zemi nebo oblast.
14. Nastavení akce ponechte na Odepřít provoz.
15. Vyberte Přidat a přidejte do zásady vlastní pravidlo.
16. Výběrem možnosti Uložit uložíte konfiguraci a nastavíte vlastní pravidlo jako aktivní pro zásady WAF.

PowerShell

$variable = New-AzApplicationGatewayFirewallMatchVariable -VariableName RemoteAddr 
$condition = New-AzApplicationGatewayFirewallCondition -MatchVariable $variable -Operator GeoMatch -MatchValue "US" -NegationCondition $True
$groupByVariable = New-AzApplicationGatewayFirewallCustomRuleGroupByVariable -VariableName GeoLocation 
$groupByUserSession = New-AzApplicationGatewayFirewallCustomRuleGroupByUserSession -GroupByVariable $groupByVariable 
$ratelimitrule = New-AzApplicationGatewayFirewallCustomRule -Name GeoRateLimitRule -Priority 95 -RateLimitDuration OneMin -RateLimitThreshold 500 -RuleType RateLimitRule -MatchCondition $condition -GroupByUserSession $groupByUserSession -Action Block -State Enabled  

Rozhraní příkazového řádku

az network application-gateway waf-policy custom-rule create --policy-name ExamplePolicy --resource-group ExampleRG --action Block --name GeoRateLimitRule --priority 95 --rule-type RateLimitRule --rate-limit-threshold 500 --group-by-user-session '[{'"groupByVariables"':[{'"variableName"':'"GeoLocation"'}]}]'
az network application-gateway waf-policy custom-rule match-condition add --match-variables RemoteAddr --operator GeoMatch --policy-name ExamplePolicy --name GeoRateLimitRule --resource-group ExampleRG --value US --negate true

Scénář 3 – Vytvoření vlastního pravidla omezení rychlosti odpovídající veškerému provozu pro přihlašovací stránku a použití proměnné GroupBy None Tím se seskupí a spočítá veškerý provoz, který odpovídá pravidlu, jako jeden, a použije akci u všech přenosů odpovídajících pravidlu (/přihlášení).

Azure Portal

1. Otevřete existující zásadu WAF služby Application Gateway.
2. Vyberte vlastní pravidla.
3. Vyberte Přidat vlastní pravidlo.
4. Zadejte název vlastního pravidla.
5. Jako typ pravidla vyberte Limit rychlosti.
6. Zadejte prioritu pravidla.
7. Zvolte 1 minutu pro dobu trvání limitu rychlosti.
8. Jako prahovou hodnotu limitu rychlosti (požadavky) zadejte 100.
9. Vyberte Možnost Žádné pro omezení rychlosti skupiny provozu podle.
10. V části Podmínky zvolte Řetězec pro typ Shoda.
11. V části Match variables (Shoda proměnných) vyberte RequestUri for Match variable (Shoda proměnné).
12. Vyberte Možnost Není pro operaci.
13. Pro operátor vyberte Obsahuje.
14. Výběr transformace je volitelný.
15. Zadejte cestu k přihlašovací stránce pro hodnotu shody. V tomto příkladu používáme /login.
16. Nastavení akce ponechte na Odepřít provoz.
17. Výběrem možnosti Přidat přidáte vlastní pravidlo do zásad.
18. Výběrem možnosti Uložit uložíte konfiguraci a nastavíte vlastní pravidlo jako aktivní pro zásady WAF.

PowerShell

$variable = New-AzApplicationGatewayFirewallMatchVariable -VariableName RequestUri  
$condition = New-AzApplicationGatewayFirewallCondition -MatchVariable $variable -Operator Contains -MatchValue "/login" -NegationCondition $True  
$groupByVariable = New-AzApplicationGatewayFirewallCustomRuleGroupByVariable -VariableName None       
$groupByUserSession = New-AzApplicationGatewayFirewallCustomRuleGroupByUserSession -GroupByVariable $groupByVariable 
$ratelimitrule = New-AzApplicationGatewayFirewallCustomRule -Name LoginRateLimitRule -Priority 99 -RateLimitDuration OneMin -RateLimitThreshold 100 -RuleType RateLimitRule -MatchCondition $condition -GroupByUserSession $groupByUserSession -Action Block -State Enabled 

Rozhraní příkazového řádku

az network application-gateway waf-policy custom-rule create --policy-name ExamplePolicy --resource-group ExampleRG --action Block --name LoginRateLimitRule --priority 99 --rule-type RateLimitRule --rate-limit-threshold 100 --group-by-user-session '[{'"groupByVariables"':[{'"variableName"':'"None"'}]}]'
az network application-gateway waf-policy custom-rule match-condition add --match-variables RequestUri --operator Contains --policy-name ExamplePolicy --name LoginRateLimitRule --resource-group ExampleRG --value '/login'

Další kroky

Přizpůsobení pravidel firewallu webových aplikací