Erstellen benutzerdefinierter Regeln zur Ratenbegrenzung für Application Gateway WAF v2

Durch die Ratenbegrenzung können Sie ungewöhnlich hohe Datenverkehrsmengen für Ihre Anwendung erkennen und blockieren. Bei der Ratenbegrenzung wird der gesamte Datenverkehr gezählt, der der konfigurierten Ratenbegrenzungsregel entspricht, und die konfigurierte Aktion für den Datenverkehr durchgeführt, der dieser Regel entspricht und den konfigurierten Schwellenwert überschreitet. Weitere Informationen finden Sie in der Übersicht zur Ratenbegrenzung.

Konfigurieren benutzerdefinierter Ratenbegrenzungsregeln

Verwenden Sie die folgenden Informationen, um Ratenbegrenzungsregeln für Application Gateway WAFv2 zu konfigurieren.

Szenario 1: Erstellen Sie eine Regel zur Ratenbegrenzung des Datenverkehrs nach Client-IP-Adressen, der den konfigurierten Schwellenwert überschreitet. Dabei wird der gesamte Datenverkehr abgeglichen.

Portal

1. Öffnen Sie eine vorhandene Application Gateway WAF-Richtlinie.
2. Wählen Sie Benutzerdefinierte Regeln aus.
3. Wählen Sie Benutzerdefinierte Regel hinzufügen aus.
4. Geben Sie einen Namen für die benutzerdefinierte Regel ein.
5. Wählen Sie für den RegeltypRatenbegrenzung aus.
6. Geben Sie eine Priorität für die Regel ein.
7. Wählen Sie 1 Minute für Dauer der Ratenbegrenzung aus.
8. Geben Sie 200 für Ratenbegrenzung-Schwellenwert (Anfragen) ein.
9. Wählen Sie die Clientadresse für Ratenbegrenzung für Datenverkehr gruppieren nach aus.
10. Wählen Sie unter BedingungenIP-Adresse für Übereinstimmungstyp aus.
11. Wählen Sie für Operationdie Option Enthält nicht.
12. Geben Sie für Übereinstimmungsbedingung unter IP-Adresse oder Bereich255.255.255.255/32 ein.
13. Übernehmen Sie die Aktionseinstellung Datenverkehr ablehnen.
14. Wählen Sie Hinzufügen aus, um die benutzerdefinierte Regel zur Richtlinie hinzuzufügen.
15. Wählen Sie Speichern aus, um die Konfiguration zu speichern und die benutzerdefinierte Regel für die WAF-Richtlinie zu aktivieren.

PowerShell

$variable = New-AzApplicationGatewayFirewallMatchVariable -VariableName RemoteAddr 
$condition = New-AzApplicationGatewayFirewallCondition -MatchVariable $variable -Operator IPMatch -MatchValue 255.255.255.255/32 -NegationCondition $True      
$groupByVariable = New-AzApplicationGatewayFirewallCustomRuleGroupByVariable -VariableName ClientAddr      
$groupByUserSession = New-AzApplicationGatewayFirewallCustomRuleGroupByUserSession -GroupByVariable $groupByVariable
$ratelimitrule = New-AzApplicationGatewayFirewallCustomRule -Name ClientIPRateLimitRule -Priority 90 -RateLimitDuration OneMin -RateLimitThreshold 100 -RuleType RateLimitRule -MatchCondition $condition -GroupByUserSession $groupByUserSession -Action Block -State Enabled 

BEFEHLSZEILENSCHNITTSTELLE (CLI)

az network application-gateway waf-policy custom-rule create --policy-name ExamplePolicy --resource-group ExampleRG --action Block --name ClientIPRateLimitRule --priority 90 --rule-type RateLimitRule --rate-limit-threshold 100 --group-by-user-session '[{'"groupByVariables"':[{'"variableName"':'"ClientAddr"'}]}]'
az network application-gateway waf-policy custom-rule match-condition add --match-variables RemoteAddr --operator IPMatch --policy-name ExamplePolicy --name ClientIPRateLimitRule --resource-group ExampleRG --value 255.255.255.255/32 --negate true

Szenario 2: Erstellen Sie eine benutzerdefinierte Ratenbegrenzungsregel, die den gesamten Datenverkehr mit Ausnahme des Datenverkehrs abgleicht, der aus den USA stammt. Der Datenverkehr wird basierend auf dem geografischen Standort der IP-Quelladresse des Clients gruppiert, gezählt und begrenzt

Portal

1. Öffnen Sie eine vorhandene Application Gateway WAF-Richtlinie.
2. Wählen Sie Benutzerdefinierte Regeln aus.
3. Wählen Sie Benutzerdefinierte Regel hinzufügen aus.
4. Geben Sie einen Namen für die benutzerdefinierte Regel ein.
5. Wählen Sie für den RegeltypRatenbegrenzung aus.
6. Geben Sie eine Priorität für die Regel ein.
7. Wählen Sie 1 Minute für Dauer der Ratenbegrenzung aus.
8. Geben Sie 500 für Ratenbegrenzung-Schwellenwert (Anfragen) ein.
9. Wählen Sie den geografischen Standort für Ratenbegrenzung für Datenverkehr gruppieren nach aus.
10. Wählen Sie unter BedingungenGeografischer Standort für Übereinstimmungstyp aus.
11. Wählen Sie im Abschnitt Übereinstimmungsvariablen unter Übereinstimmungsvariable die Option RemoteAddr aus.
12. Wählen Sie Ist nicht für Operation aus.
13. Wählen Sie USA für Land/Region aus.
14. Übernehmen Sie die Aktionseinstellung Datenverkehr ablehnen.
15. Wählen Sie Hinzufügen aus, um die benutzerdefinierte Regel zur Richtlinie hinzuzufügen.
16. Wählen Sie Speichern aus, um die Konfiguration zu speichern und die benutzerdefinierte Regel für die WAF-Richtlinie zu aktivieren.

PowerShell

$variable = New-AzApplicationGatewayFirewallMatchVariable -VariableName RemoteAddr 
$condition = New-AzApplicationGatewayFirewallCondition -MatchVariable $variable -Operator GeoMatch -MatchValue "US" -NegationCondition $True
$groupByVariable = New-AzApplicationGatewayFirewallCustomRuleGroupByVariable -VariableName GeoLocation 
$groupByUserSession = New-AzApplicationGatewayFirewallCustomRuleGroupByUserSession -GroupByVariable $groupByVariable 
$ratelimitrule = New-AzApplicationGatewayFirewallCustomRule -Name GeoRateLimitRule -Priority 95 -RateLimitDuration OneMin -RateLimitThreshold 500 -RuleType RateLimitRule -MatchCondition $condition -GroupByUserSession $groupByUserSession -Action Block -State Enabled  

BEFEHLSZEILENSCHNITTSTELLE (CLI)

az network application-gateway waf-policy custom-rule create --policy-name ExamplePolicy --resource-group ExampleRG --action Block --name GeoRateLimitRule --priority 95 --rule-type RateLimitRule --rate-limit-threshold 500 --group-by-user-session '[{'"groupByVariables"':[{'"variableName"':'"GeoLocation"'}]}]'
az network application-gateway waf-policy custom-rule match-condition add --match-variables RemoteAddr --operator GeoMatch --policy-name ExamplePolicy --name GeoRateLimitRule --resource-group ExampleRG --value US --negate true

Szenario 3: Erstellen Sie eine benutzerdefinierte Ratenbegrenzungsregel, die den gesamten Datenverkehr für die Anmeldeseite abgleicht und die Variable „GroupBy None“ verwendet. Dadurch wird der gesamte Datenverkehr, der mit der Regel übereinstimmt, gruppiert und gezählt, und die Aktion wird auf den gesamten Datenverkehr angewendet, der mit der Regel (/login) übereinstimmt.

Portal

1. Öffnen Sie eine vorhandene Application Gateway WAF-Richtlinie.
2. Wählen Sie Benutzerdefinierte Regeln aus.
3. Wählen Sie Benutzerdefinierte Regel hinzufügen aus.
4. Geben Sie einen Namen für die benutzerdefinierte Regel ein.
5. Wählen Sie für den RegeltypRatenbegrenzung aus.
6. Geben Sie eine Priorität für die Regel ein.
7. Wählen Sie 1 Minute für Dauer der Ratenbegrenzung aus.
8. Geben Sie 100 für Ratenbegrenzung-Schwellenwert (Anfragen) ein.
9. Wählen Sie Keine für Ratenbegrenzung für Datenverkehr gruppieren nach aus.
10. Wählen Sie unter Bedingungen die Option Zeichenfolge für Übereinstimmungstyp aus.
11. Wählen Sie im Abschnitt Übereinstimmungsvariablen unter Übereinstimmungsvariable die Option RequestUri aus.
12. Wählen Sie Ist nicht für Operation aus.
13. Wählen Sie als OperatorEnthält aus.
14. Die Auswahl einer Transformation ist optional.
15. Geben Sie den Pfad der Anmeldeseite für den Übereinstimmungswert ein. In diesem Beispiel wird /login verwendet.
16. Übernehmen Sie die Aktionseinstellung Datenverkehr ablehnen.
17. Wählen Sie Hinzufügen aus, um die benutzerdefinierte Regel zur Richtlinie hinzuzufügen
18. Wählen Sie Speichern aus, um die Konfiguration zu speichern und die benutzerdefinierte Regel für die WAF-Richtlinie zu aktivieren.

PowerShell

$variable = New-AzApplicationGatewayFirewallMatchVariable -VariableName RequestUri  
$condition = New-AzApplicationGatewayFirewallCondition -MatchVariable $variable -Operator Contains -MatchValue "/login" -NegationCondition $True  
$groupByVariable = New-AzApplicationGatewayFirewallCustomRuleGroupByVariable -VariableName None       
$groupByUserSession = New-AzApplicationGatewayFirewallCustomRuleGroupByUserSession -GroupByVariable $groupByVariable 
$ratelimitrule = New-AzApplicationGatewayFirewallCustomRule -Name LoginRateLimitRule -Priority 99 -RateLimitDuration OneMin -RateLimitThreshold 100 -RuleType RateLimitRule -MatchCondition $condition -GroupByUserSession $groupByUserSession -Action Block -State Enabled 

BEFEHLSZEILENSCHNITTSTELLE (CLI)

az network application-gateway waf-policy custom-rule create --policy-name ExamplePolicy --resource-group ExampleRG --action Block --name LoginRateLimitRule --priority 99 --rule-type RateLimitRule --rate-limit-threshold 100 --group-by-user-session '[{'"groupByVariables"':[{'"variableName"':'"None"'}]}]'
az network application-gateway waf-policy custom-rule match-condition add --match-variables RequestUri --operator Contains --policy-name ExamplePolicy --name LoginRateLimitRule --resource-group ExampleRG --value '/login'

Nächste Schritte

Anpassen von Web Application Firewall-Regeln mit dem Azure-Portal