Creare regole personalizzate per la limitazione della frequenza per gateway applicazione WAF v2

La limitazione della frequenza consente di rilevare e bloccare livelli anomali di traffico destinati all'applicazione. La limitazione della frequenza funziona conteggiando tutto il traffico che corrisponde alla regola limite di frequenza configurata ed eseguendo l'azione configurata per la corrispondenza del traffico corrispondente a tale regola che supera la soglia configurata. Per altre informazioni, vedere Panoramica della limitazione della frequenza.

Configurare regole personalizzate per il limite di velocità

Usare le informazioni seguenti per configurare le regole limite di frequenza per gateway applicazione WAFv2.

Scenario 1 : creare una regola per limitare il traffico in base all'indirizzo IP client che supera la soglia configurata, che corrisponde a tutto il traffico.

Portale

1. Aprire un criterio WAF gateway applicazione esistente.
2. Selezionare Regole personalizzate.
3. Selezionare Aggiungi regola personalizzata.
4. Digitare un nome per la regola personalizzata.
5. Per Tipo di regola selezionare Limite velocità.
6. Digitare una priorità per la regola.
7. Scegliere 1 minuto per Durata limite frequenza.
8. Digitare 200 per Soglia limite frequenza (richieste).Type 200 for Rate limit threshold (requests).
9. Selezionare Indirizzo client per Limitare il traffico a velocità di gruppo.
10. In Condizioni scegliere Indirizzo IP per Tipo di corrispondenza.
11. Per Operazione selezionare Non contiene.
12. Per la condizione di corrispondenza, in Indirizzo IP o intervallo digitare 255.255.255.255/32.
13. Lasciare l'impostazione azione su Nega traffico.
14. Selezionare Aggiungi per aggiungere la regola personalizzata al criterio.
15. Selezionare Salva per salvare la configurazione e rendere attiva la regola personalizzata per i criteri WAF.

PowerShell

$variable = New-AzApplicationGatewayFirewallMatchVariable -VariableName RemoteAddr 
$condition = New-AzApplicationGatewayFirewallCondition -MatchVariable $variable -Operator IPMatch -MatchValue 255.255.255.255/32 -NegationCondition $True      
$groupByVariable = New-AzApplicationGatewayFirewallCustomRuleGroupByVariable -VariableName ClientAddr      
$groupByUserSession = New-AzApplicationGatewayFirewallCustomRuleGroupByUserSession -GroupByVariable $groupByVariable
$ratelimitrule = New-AzApplicationGatewayFirewallCustomRule -Name ClientIPRateLimitRule -Priority 90 -RateLimitDuration OneMin -RateLimitThreshold 100 -RuleType RateLimitRule -MatchCondition $condition -GroupByUserSession $groupByUserSession -Action Block -State Enabled 

CLI

az network application-gateway waf-policy custom-rule create --policy-name ExamplePolicy --resource-group ExampleRG --action Block --name ClientIPRateLimitRule --priority 90 --rule-type RateLimitRule --rate-limit-threshold 100 --group-by-user-session '[{'"groupByVariables"':[{'"variableName"':'"ClientAddr"'}]}]'
az network application-gateway waf-policy custom-rule match-condition add --match-variables RemoteAddr --operator IPMatch --policy-name ExamplePolicy --name ClientIPRateLimitRule --resource-group ExampleRG --value 255.255.255.255/32 --negate true

Scenario 2: creare una regola personalizzata limite di frequenza in modo che corrisponda a tutto il traffico ad eccezione del traffico proveniente dal Stati Uniti. Il traffico viene raggruppato, conteggiato e limitato in base alla georilevazione dell'indirizzo IP di origine client

Portale

1. Aprire un criterio WAF gateway applicazione esistente.
2. Selezionare Regole personalizzate.
3. Selezionare Aggiungi regola personalizzata.
4. Digitare un nome per la regola personalizzata.
5. Per Tipo di regola selezionare Limite velocità.
6. Digitare una priorità per la regola.
7. Scegliere 1 minuto per Durata limite frequenza.
8. Digitare 500 per Soglia limite velocità (richieste).Type 500 for Rate limit threshold (requests).
9. Selezionare Posizione geografica per Limitare il traffico in base alla frequenza di gruppo.
10. In Condizioni scegliere Posizione geografica per Tipo di corrispondenza.
11. Nella sezione **Match variables (Variabili di corrispondenza) selezionare RemoteAddr per Match variable (Variabile di corrispondenza).
12. Selezionare Non è per Operazione.
13. Selezionare Stati Uniti per Paese/Area geografica.
14. Lasciare l'impostazione azione su Nega traffico.
15. Selezionare Aggiungi per aggiungere la regola personalizzata al criterio.
16. Selezionare Salva per salvare la configurazione e rendere attiva la regola personalizzata per i criteri WAF.

PowerShell

$variable = New-AzApplicationGatewayFirewallMatchVariable -VariableName RemoteAddr 
$condition = New-AzApplicationGatewayFirewallCondition -MatchVariable $variable -Operator GeoMatch -MatchValue "US" -NegationCondition $True
$groupByVariable = New-AzApplicationGatewayFirewallCustomRuleGroupByVariable -VariableName GeoLocation 
$groupByUserSession = New-AzApplicationGatewayFirewallCustomRuleGroupByUserSession -GroupByVariable $groupByVariable 
$ratelimitrule = New-AzApplicationGatewayFirewallCustomRule -Name GeoRateLimitRule -Priority 95 -RateLimitDuration OneMin -RateLimitThreshold 500 -RuleType RateLimitRule -MatchCondition $condition -GroupByUserSession $groupByUserSession -Action Block -State Enabled  

CLI

az network application-gateway waf-policy custom-rule create --policy-name ExamplePolicy --resource-group ExampleRG --action Block --name GeoRateLimitRule --priority 95 --rule-type RateLimitRule --rate-limit-threshold 500 --group-by-user-session '[{'"groupByVariables"':[{'"variableName"':'"GeoLocation"'}]}]'
az network application-gateway waf-policy custom-rule match-condition add --match-variables RemoteAddr --operator GeoMatch --policy-name ExamplePolicy --name GeoRateLimitRule --resource-group ExampleRG --value US --negate true

Scenario 3 : creare una regola personalizzata limite di frequenza corrispondente a tutto il traffico per la pagina di accesso e usare la variabile GroupBy None. Verrà raggruppato e conteggiato tutto il traffico che corrisponde alla regola come uno e verrà applicata l'azione in tutto il traffico corrispondente alla regola (/login).

Portale

1. Aprire un criterio WAF gateway applicazione esistente.
2. Selezionare Regole personalizzate.
3. Selezionare Aggiungi regola personalizzata.
4. Digitare un nome per la regola personalizzata.
5. Per Tipo di regola selezionare Limite velocità.
6. Digitare una priorità per la regola.
7. Scegliere 1 minuto per Durata limite frequenza.
8. Digitare 100 per Soglia limite frequenza (richieste).Type 100 for Rate limit threshold (requests).
9. Selezionare Nessuno per Limite di velocità di gruppo per il traffico.
10. In Condizioni scegliere Stringa per Tipo di corrispondenza.
11. Nella sezione Variabili di corrispondenza selezionare RequestUri per Variabile di corrispondenza.
12. Selezionare Non è per Operazione.
13. Per Operatore selezionare Contiene.
14. La selezione di una trasformazione è facoltativa.
15. Immettere il percorso della pagina Di accesso per la corrispondenza Valore. In questo esempio viene usato /login.
16. Lasciare l'impostazione azione su Nega traffico.
17. Selezionare Aggiungi per aggiungere la regola personalizzata al criterio
18. Selezionare Salva per salvare la configurazione e rendere attiva la regola personalizzata per i criteri WAF.

PowerShell

$variable = New-AzApplicationGatewayFirewallMatchVariable -VariableName RequestUri  
$condition = New-AzApplicationGatewayFirewallCondition -MatchVariable $variable -Operator Contains -MatchValue "/login" -NegationCondition $True  
$groupByVariable = New-AzApplicationGatewayFirewallCustomRuleGroupByVariable -VariableName None       
$groupByUserSession = New-AzApplicationGatewayFirewallCustomRuleGroupByUserSession -GroupByVariable $groupByVariable 
$ratelimitrule = New-AzApplicationGatewayFirewallCustomRule -Name LoginRateLimitRule -Priority 99 -RateLimitDuration OneMin -RateLimitThreshold 100 -RuleType RateLimitRule -MatchCondition $condition -GroupByUserSession $groupByUserSession -Action Block -State Enabled 

CLI

az network application-gateway waf-policy custom-rule create --policy-name ExamplePolicy --resource-group ExampleRG --action Block --name LoginRateLimitRule --priority 99 --rule-type RateLimitRule --rate-limit-threshold 100 --group-by-user-session '[{'"groupByVariables"':[{'"variableName"':'"None"'}]}]'
az network application-gateway waf-policy custom-rule match-condition add --match-variables RequestUri --operator Contains --policy-name ExamplePolicy --name LoginRateLimitRule --resource-group ExampleRG --value '/login'

Passaggi successivi

Personalizzare le regole di Web Application Firewall