Creación de reglas personalizadas de limitación de velocidad para Application Gateway WAF v2

La limitación de velocidad le permite detectar y bloquear niveles anormalmente altos de tráfico destinado a su aplicación. La limitación de velocidad funciona contando todo el tráfico que coincide con la regla de limitación de velocidad configurada y realizando la acción configurada para el tráfico que coincide con esa regla y que supera el umbral configurado. Para obtener más información, consulte Información general sobre la limitación de velocidad.

Configurar reglas personalizadas de limitación de velocidad

Use la siguiente información para configurar reglas de limitación de velocidad para Application Gateway WAF v2.

Escenario uno: cree una regla para limitar la velocidad del tráfico por IP de cliente que supere el umbral configurado, coincidente con todo el tráfico.

Portal

1. Abrir una directiva de WAF de Application Gateway existente
2. Seleccionar reglas personalizadas
3. Agregar regla personalizada
4. Agregar nombre para la regla personalizada
5. Seleccionar el botón de opción Tipo de regla de limitación de velocidad
6. Escribir una prioridad para la regla
7. Elegir 1 minuto para la duración de la limitación de velocidad
8. Escribir 200 en Umbral de limitación de velocidad (solicitudes)
9. Seleccione Dirección de cliente para Agrupar el tráfico de limitación de velocidad por
10. En Condiciones, elija Dirección IP para Tipo de coincidencia
11. En Operación, seleccione el botón de opción No contiene
12. Para la condición de coincidencia, en Dirección IP o intervalo, escriba 255.255.255.255/32
13. Dejar la configuración de acción en Denegar tráfico
14. Seleccionar Agregar para agregar la regla personalizada a la directiva
15. Seleccione Guardar para guardar la configuración y activar la regla personalizada para la directiva de WAF.

PowerShell

$variable = New-AzApplicationGatewayFirewallMatchVariable -VariableName RemoteAddr 
$condition = New-AzApplicationGatewayFirewallCondition -MatchVariable $variable -Operator IPMatch -MatchValue 255.255.255.255/32 -NegationCondition $True      
$groupByVariable = New-AzApplicationGatewayFirewallCustomRuleGroupByVariable -VariableName ClientAddr      
$groupByUserSession = New-AzApplicationGatewayFirewallCustomRuleGroupByUserSession -GroupByVariable $groupByVariable
$ratelimitrule = New-AzApplicationGatewayFirewallCustomRule -Name ClientIPRateLimitRule -Priority 90 -RateLimitDuration OneMin -RateLimitThreshold 100 -RuleType RateLimitRule -MatchCondition $condition -GroupByUserSession $groupByUserSession -Action Block -State Enabled 

CLI

az network application-gateway waf-policy custom-rule create --policy-name ExamplePolicy --resource-group ExampleRG --action Block --name ClientIPRateLimitRule --priority 90 --rule-type RateLimitRule --rate-limit-threshold 100 --group-by-user-session '[{'"groupByVariables"':[{'"variableName"':'"ClientAddr"'}]}]'
az network application-gateway waf-policy custom-rule match-condition add --match-variables RemoteAddr --operator IPMatch --policy-name ExamplePolicy --name ClientIPRateLimitRule --resource-group ExampleRG --value 255.255.255.255/32 --negate true

Escenario dos: cree una regla personalizada de limitación de velocidad para que coincida con todo el tráfico, excepto para el tráfico que se origina en Estados Unidos. El tráfico se agrupará, se contará y se limitará la velocidad en función de la geolocalización de la dirección IP de origen del cliente

Portal

1. Abrir una directiva de WAF de Application Gateway existente
2. Seleccionar reglas personalizadas
3. Agregar regla personalizada
4. Agregar nombre para la regla personalizada
5. Seleccionar el botón de opción Tipo de regla de limitación de velocidad
6. Escribir una prioridad para la regla
7. Elegir 1 minuto para la duración de la limitación de velocidad
8. Escribir 500 en Umbral de limitación de velocidad (solicitudes)
9. Seleccione Ubicación geográfica para Agrupar el tráfico de limitación de velocidad por
10. En Condiciones, elija Ubicación geográfica para Tipo de coincidencia
11. En la sección Variables de coincidencia, seleccione RemoteAddr para Variable de coincidencia
12. Seleccione el botón de opción No diferente para la operación
13. Seleccione Estados Unidos para País/región
14. Dejar la configuración de acción en Denegar tráfico
15. Seleccionar Agregar para agregar la regla personalizada a la directiva
16. Seleccione Guardar para guardar la configuración y activar la regla personalizada para la directiva de WAF.

PowerShell

$variable = New-AzApplicationGatewayFirewallMatchVariable -VariableName RemoteAddr 
$condition = New-AzApplicationGatewayFirewallCondition -MatchVariable $variable -Operator GeoMatch -MatchValue "US" -NegationCondition $True
$groupByVariable = New-AzApplicationGatewayFirewallCustomRuleGroupByVariablde -VariableName GeoLocation 
$groupByUserSession = New-AzApplicationGatewayFirewallCustomRuleGroupByUserSession -GroupByVariable $groupByVariable 
$ratelimitrule = New-AzApplicationGatewayFirewallCustomRule -Name GeoRateLimitRule -Priority 95 -RateLimitDuration OneMin -RateLimitThreshold 500 -RuleType RateLimitRule -MatchCondition $condition -GroupByUserSession $groupByUserSession -Action Block -State Enabled  

CLI

az network application-gateway waf-policy custom-rule create --policy-name ExamplePolicy --resource-group ExampleRG --action Block --name GeoRateLimitRule --priority 95 --rule-type RateLimitRule --rate-limit-threshold 500 --group-by-user-session '[{'"groupByVariables"':[{'"variableName"':'"GeoLocation"'}]}]'
az network application-gateway waf-policy custom-rule match-condition add --match-variables RemoteAddr --operator GeoMatch --policy-name ExamplePolicy --name GeoRateLimitRule --resource-group ExampleRG --value US --negate true

Escenario tres: cree una regla personalizada de limitación de velocidad que coincida con todo el tráfico de la página de inicio de sesión y use la variable GroupBy None. Esto agrupará y contará todo el tráfico que coincida con la regla como uno, y aplicará la acción a todo el tráfico que coincida con la regla (/login).

Portal

1. Abrir una directiva de WAF de Application Gateway existente
2. Seleccionar reglas personalizadas
3. Agregar regla personalizada
4. Agregar nombre para la regla personalizada
5. Seleccionar el botón de opción Tipo de regla de limitación de velocidad
6. Escribir una prioridad para la regla
7. Elegir 1 minuto para la duración de la limitación de velocidad
8. Escribir 100 en Umbral de limitación de velocidad (solicitudes)
9. Seleccione Ninguno para Agrupar el tráfico de limitación de velocidad por
10. En Condiciones, elija Cadena para Tipo de coincidencia
11. En la sección Variables de coincidencia, seleccione RequestUri para Variable de coincidencia
12. Seleccione el botón de opción No diferente para la operación
13. En Operador, seleccione Contiene
14. Escriba la ruta de acceso de la página de inicio de sesión para el valor de coincidencia. En este ejemplo, utilizaremos /login
15. Dejar la configuración de acción en Denegar tráfico
16. Seleccionar Agregar para agregar la regla personalizada a la directiva
17. Seleccione Guardar para guardar la configuración y activar la regla personalizada para la directiva de WAF.

PowerShell

$variable = New-AzApplicationGatewayFirewallMatchVariable -VariableName RequestUri  
$condition = New-AzApplicationGatewayFirewallCondition -MatchVariable $variable -Operator Contains -MatchValue "/login" -NegationCondition $True  
$groupByVariable = New-AzApplicationGatewayFirewallCustomRuleGroupByVariable -VariableName None       
$groupByUserSession = New-AzApplicationGatewayFirewallCustomRuleGroupByUserSession -GroupByVariable $groupByVariable 
$ratelimitrule = New-AzApplicationGatewayFirewallCustomRule -Name LoginRateLimitRule -Priority 99 -RateLimitDuration OneMin -RateLimitThreshold 100 -RuleType RateLimitRule -MatchCondition $condition -GroupByUserSession $groupByUserSession -Action Block -State Enabled 

CLI

az network application-gateway waf-policy custom-rule create --policy-name ExamplePolicy --resource-group ExampleRG --action Block --name LoginRateLimitRule --priority 99 --rule-type RateLimitRule --rate-limit-threshold 100 --group-by-user-session '[{'"groupByVariables"':[{'"variableName"':'"None"'}]}]'
az network application-gateway waf-policy custom-rule match-condition add --match-variables RequestUri --operator Contains --policy-name ExamplePolicy --name LoginRateLimitRule --resource-group ExampleRG --value '/login'

Pasos siguientes

Personalización de reglas de firewall de aplicación web