Créer des règles personnalisées de limitation de débit pour le WAF V2 d’Application Gateway

La limitation du débit vous permet de détecter et de bloquer des niveaux anormalement élevés de trafic destiné à votre application. La limitation du débit fonctionne en comptant tout le trafic qui correspond à la règle de limitation du débit configurée et effectue l’action configurée pour le trafic qui correspond à cette règle qui dépasse le seuil configuré. Pour plus d’informations, consultez Vue d’ensemble de la limitation du débit.

Configurer des règles personnalisées de limitation du débit

Utilisez les informations suivantes pour configurer les règles de limitation du débit pour le WAF v2 d’Application Gateway.

Scénario 1 : créez une règle pour limiter le débit de trafic par adresse IP cliente qui dépasse le seuil configuré, correspondant à l’ensemble du trafic.

Portail

1. Ouvrez une stratégie de pare-feu d’applications web (WAF) Application Gateway existante.
2. Sélectionnez Règles personnalisées.
3. Sélectionnez Ajouter une règle personnalisée.
4. Tapez un nom pour la règle personnalisée.
5. Pour le Type de règle, sélectionnez Limite de débit.
6. Tapez une Priorité pour la règle.
7. Choisissez 1 minute pour Durée de limite du débit.
8. Tapez 200 pour Seuil de limite du débit (requêtes).
9. Sélectionnez Adresse du client pour Grouper la limite du débit de trafic par.
10. Sous Conditions, choisissez Adresse IP pour Type de correspondance.
11. Pour Opération, sélectionnez Ne contient pas.
12. Pour la condition de correspondance, sous Adresse IP ou plage d’adresses IP, tapez 255.255.255.255/32.
13. Laisser le paramètre d’action sur Refuser le trafic.
14. Sélectionnez Ajouter pour ajouter la règle personnalisée à la stratégie.
15. Sélectionnez Enregistrer pour enregistrer la configuration et activer la règle personnalisée pour la stratégie de WAF.

PowerShell

$variable = New-AzApplicationGatewayFirewallMatchVariable -VariableName RemoteAddr 
$condition = New-AzApplicationGatewayFirewallCondition -MatchVariable $variable -Operator IPMatch -MatchValue 255.255.255.255/32 -NegationCondition $True      
$groupByVariable = New-AzApplicationGatewayFirewallCustomRuleGroupByVariable -VariableName ClientAddr      
$groupByUserSession = New-AzApplicationGatewayFirewallCustomRuleGroupByUserSession -GroupByVariable $groupByVariable
$ratelimitrule = New-AzApplicationGatewayFirewallCustomRule -Name ClientIPRateLimitRule -Priority 90 -RateLimitDuration OneMin -RateLimitThreshold 100 -RuleType RateLimitRule -MatchCondition $condition -GroupByUserSession $groupByUserSession -Action Block -State Enabled 

INTERFACE DE LIGNE DE COMMANDE

az network application-gateway waf-policy custom-rule create --policy-name ExamplePolicy --resource-group ExampleRG --action Block --name ClientIPRateLimitRule --priority 90 --rule-type RateLimitRule --rate-limit-threshold 100 --group-by-user-session '[{'"groupByVariables"':[{'"variableName"':'"ClientAddr"'}]}]'
az network application-gateway waf-policy custom-rule match-condition add --match-variables RemoteAddr --operator IPMatch --policy-name ExamplePolicy --name ClientIPRateLimitRule --resource-group ExampleRG --value 255.255.255.255/32 --negate true

Scénario 2 : créez une règle personnalisée de limitation du débit pour l’ensemble du trafic, à l’exception du trafic provenant des États-Unis. Le trafic est groupé, compté et son débit limité en fonction de la géolocalisation de l’adresse IP source du client

Portail

1. Ouvrez une stratégie de pare-feu d’applications web (WAF) Application Gateway existante.
2. Sélectionnez Règles personnalisées.
3. Sélectionnez Ajouter une règle personnalisée.
4. Tapez un nom pour la règle personnalisée.
5. Pour le Type de règle, sélectionnez Limite de débit.
6. Tapez une Priorité pour la règle.
7. Choisissez 1 minute pour Durée de limite du débit.
8. Tapez 500 pour Seuil de limite du débit (requêtes).
9. Sélectionnez Emplacement géographique pour Grouper la limite du débit de trafic par.
10. Sous Conditions, choisissez Emplacement géographique pour Type de correspondance.
11. Dans la section Variables de correspondance, sélectionnez RemoteAddr pour Variable de correspondance.
12. Sélectionnez N’est pas pour Opération.
13. Sélectionnez États-Unis pour Pays/région.
14. Laisser le paramètre d’action sur Refuser le trafic.
15. Sélectionnez Ajouter pour ajouter la règle personnalisée à la stratégie.
16. Sélectionnez Enregistrer pour enregistrer la configuration et activer la règle personnalisée pour la stratégie de WAF.

PowerShell

$variable = New-AzApplicationGatewayFirewallMatchVariable -VariableName RemoteAddr 
$condition = New-AzApplicationGatewayFirewallCondition -MatchVariable $variable -Operator GeoMatch -MatchValue "US" -NegationCondition $True
$groupByVariable = New-AzApplicationGatewayFirewallCustomRuleGroupByVariable -VariableName GeoLocation 
$groupByUserSession = New-AzApplicationGatewayFirewallCustomRuleGroupByUserSession -GroupByVariable $groupByVariable 
$ratelimitrule = New-AzApplicationGatewayFirewallCustomRule -Name GeoRateLimitRule -Priority 95 -RateLimitDuration OneMin -RateLimitThreshold 500 -RuleType RateLimitRule -MatchCondition $condition -GroupByUserSession $groupByUserSession -Action Block -State Enabled  

INTERFACE DE LIGNE DE COMMANDE

az network application-gateway waf-policy custom-rule create --policy-name ExamplePolicy --resource-group ExampleRG --action Block --name GeoRateLimitRule --priority 95 --rule-type RateLimitRule --rate-limit-threshold 500 --group-by-user-session '[{'"groupByVariables"':[{'"variableName"':'"GeoLocation"'}]}]'
az network application-gateway waf-policy custom-rule match-condition add --match-variables RemoteAddr --operator GeoMatch --policy-name ExamplePolicy --name GeoRateLimitRule --resource-group ExampleRG --value US --negate true

Scénario 3 : créez une règle personnalisée de limitation du débit correspondant à l’ensemble du trafic pour la page de connexion, à l’aide de la variable de regroupement Aucun. Cette opération regroupe et compte tout le trafic correspondant à la règle, puis applique l’action sur l’ensemble du trafic correspondant à la règle (/login).

Portail

1. Ouvrez une stratégie de pare-feu d’applications web (WAF) Application Gateway existante.
2. Sélectionnez Règles personnalisées.
3. Sélectionnez Ajouter une règle personnalisée.
4. Tapez un nom pour la règle personnalisée.
5. Pour le Type de règle, sélectionnez Limite de débit.
6. Tapez une Priorité pour la règle.
7. Choisissez 1 minute pour Durée de limite du débit.
8. Tapez 100 pour Seuil de limite du débit (requêtes).
9. Sélectionnez Aucun pour Grouper la limite du débit de trafic par.
10. Sous Conditions, choisissez Chaîne pour Type de correspondance.
11. Dans la section Variables de correspondance, sélectionnez RequestUri pour Variable de correspondance.
12. Sélectionnez N’est pas pour Opération.
13. Pour Opérateur, sélectionner Contient.
14. Sélection d’une transformation facultative.
15. Entrez le chemin d’accès à la page de connexion pour la valeur de correspondance. Dans cet exemple, nous utilisons /login.
16. Laisser le paramètre d’action sur Refuser le trafic.
17. Sélectionnez Ajouter pour ajouter la règle personnalisée à la stratégie
18. Sélectionnez Enregistrer pour enregistrer la configuration et activer la règle personnalisée pour la stratégie de WAF.

PowerShell

$variable = New-AzApplicationGatewayFirewallMatchVariable -VariableName RequestUri  
$condition = New-AzApplicationGatewayFirewallCondition -MatchVariable $variable -Operator Contains -MatchValue "/login" -NegationCondition $True  
$groupByVariable = New-AzApplicationGatewayFirewallCustomRuleGroupByVariable -VariableName None       
$groupByUserSession = New-AzApplicationGatewayFirewallCustomRuleGroupByUserSession -GroupByVariable $groupByVariable 
$ratelimitrule = New-AzApplicationGatewayFirewallCustomRule -Name LoginRateLimitRule -Priority 99 -RateLimitDuration OneMin -RateLimitThreshold 100 -RuleType RateLimitRule -MatchCondition $condition -GroupByUserSession $groupByUserSession -Action Block -State Enabled 

INTERFACE DE LIGNE DE COMMANDE

az network application-gateway waf-policy custom-rule create --policy-name ExamplePolicy --resource-group ExampleRG --action Block --name LoginRateLimitRule --priority 99 --rule-type RateLimitRule --rate-limit-threshold 100 --group-by-user-session '[{'"groupByVariables"':[{'"variableName"':'"None"'}]}]'
az network application-gateway waf-policy custom-rule match-condition add --match-variables RequestUri --operator Contains --policy-name ExamplePolicy --name LoginRateLimitRule --resource-group ExampleRG --value '/login'

Étapes suivantes

Personnaliser les règles du pare-feu d’applications web