Creare regole personalizzate per la limitazione della frequenza per gateway applicazione WAF v2

La limitazione della frequenza consente di rilevare e bloccare livelli anomali di traffico destinati all'applicazione. La limitazione della frequenza funziona conteggiando tutto il traffico che corrisponde alla regola limite di frequenza configurata ed eseguendo l'azione configurata per la corrispondenza del traffico corrispondente a tale regola che supera la soglia configurata. Per altre informazioni, vedere Panoramica della limitazione della frequenza.

Configurare regole personalizzate per il limite di velocità

Usare le informazioni seguenti per configurare le regole limite di frequenza per gateway applicazione WAFv2.

Scenario 1 : creare una regola per limitare il traffico in base all'indirizzo IP client che supera la soglia configurata, che corrisponde a tutto il traffico.

Portale

1. Aprire un criterio WAF gateway applicazione esistente
2. Selezionare regole personalizzate
3. Aggiungere una regola personalizzata
4. Aggiungi nome per la regola personalizzata
5. Selezionare il pulsante di opzione Tipo di regola limite frequenza
6. Immettere una priorità per la regola
7. Scegliere 1 minuto per Durata limite frequenza
8. Immettere 200 per Soglia limite frequenza (richieste)
9. Selezionare Indirizzo client per Il limite di velocità del gruppo per il traffico
10. In Condizioni scegliere Indirizzo IP per Tipo di corrispondenza
11. Per Operazione selezionare il pulsante di opzione Non contiene
12. Per condizione di corrispondenza, in Indirizzo IP o intervallo immettere 255.255.255.255/32
13. Lasciare l'impostazione dell'azione su Nega traffico
14. Selezionare Aggiungi per aggiungere la regola personalizzata al criterio
15. Selezionare Salva per salvare la configurazione e rendere attiva la regola personalizzata per i criteri WAF.

PowerShell

$variable = New-AzApplicationGatewayFirewallMatchVariable -VariableName RemoteAddr 
$condition = New-AzApplicationGatewayFirewallCondition -MatchVariable $variable -Operator IPMatch -MatchValue 255.255.255.255/32 -NegationCondition $True      
$groupByVariable = New-AzApplicationGatewayFirewallCustomRuleGroupByVariable -VariableName ClientAddr      
$groupByUserSession = New-AzApplicationGatewayFirewallCustomRuleGroupByUserSession -GroupByVariable $groupByVariable
$ratelimitrule = New-AzApplicationGatewayFirewallCustomRule -Name ClientIPRateLimitRule -Priority 90 -RateLimitDuration OneMin -RateLimitThreshold 100 -RuleType RateLimitRule -MatchCondition $condition -GroupByUserSession $groupByUserSession -Action Block -State Enabled 

CLI

az network application-gateway waf-policy custom-rule create --policy-name ExamplePolicy --resource-group ExampleRG --action Block --name ClientIPRateLimitRule --priority 90 --rule-type RateLimitRule --rate-limit-threshold 100 --group-by-user-session '[{'"groupByVariables"':[{'"variableName"':'"ClientAddr"'}]}]'
az network application-gateway waf-policy custom-rule match-condition add --match-variables RemoteAddr --operator IPMatch --policy-name ExamplePolicy --name ClientIPRateLimitRule --resource-group ExampleRG --value 255.255.255.255/32 --negate true

Scenario 2: creare una regola personalizzata limite di frequenza in modo che corrisponda a tutto il traffico ad eccezione del traffico proveniente dal Stati Uniti. Il traffico verrà raggruppato, conteggiato e limitato in base alla georilevazione dell'indirizzo IP di origine client

Portale

1. Aprire un criterio WAF gateway applicazione esistente
2. Selezionare regole personalizzate
3. Aggiungere una regola personalizzata
4. Aggiungi nome per la regola personalizzata
5. Selezionare il pulsante di opzione Tipo di regola limite frequenza
6. Immettere una priorità per la regola
7. Scegliere 1 minuto per Durata limite frequenza
8. Immettere 500 per Soglia limite velocità (richieste)
9. Selezionare Posizione geografica per Il limite di velocità del gruppo per il traffico
10. In Condizioni scegliere Posizione geografica per Tipo di corrispondenza
11. Nella sezione Match variables (Variabili di corrispondenza) selezionare RemoteAddr per Match variable (Variabile di corrispondenza)
12. Selezionare il pulsante di opzione Non è per l'operazione
13. Selezionare Stati Uniti per Paese/Area geografica
14. Lasciare l'impostazione dell'azione su Nega traffico
15. Selezionare Aggiungi per aggiungere la regola personalizzata al criterio
16. Selezionare Salva per salvare la configurazione e rendere attiva la regola personalizzata per i criteri WAF.

PowerShell

$variable = New-AzApplicationGatewayFirewallMatchVariable -VariableName RemoteAddr 
$condition = New-AzApplicationGatewayFirewallCondition -MatchVariable $variable -Operator GeoMatch -MatchValue "US" -NegationCondition $True
$groupByVariable = New-AzApplicationGatewayFirewallCustomRuleGroupByVariablde -VariableName GeoLocation 
$groupByUserSession = New-AzApplicationGatewayFirewallCustomRuleGroupByUserSession -GroupByVariable $groupByVariable 
$ratelimitrule = New-AzApplicationGatewayFirewallCustomRule -Name GeoRateLimitRule -Priority 95 -RateLimitDuration OneMin -RateLimitThreshold 500 -RuleType RateLimitRule -MatchCondition $condition -GroupByUserSession $groupByUserSession -Action Block -State Enabled  

CLI

az network application-gateway waf-policy custom-rule create --policy-name ExamplePolicy --resource-group ExampleRG --action Block --name GeoRateLimitRule --priority 95 --rule-type RateLimitRule --rate-limit-threshold 500 --group-by-user-session '[{'"groupByVariables"':[{'"variableName"':'"GeoLocation"'}]}]'
az network application-gateway waf-policy custom-rule match-condition add --match-variables RemoteAddr --operator GeoMatch --policy-name ExamplePolicy --name GeoRateLimitRule --resource-group ExampleRG --value US --negate true

Scenario 3 : creare una regola personalizzata limite di frequenza corrispondente a tutto il traffico per la pagina di accesso e usare la variabile GroupBy None. Verrà raggruppato e conteggiato tutto il traffico che corrisponde alla regola come uno e verrà applicata l'azione in tutto il traffico corrispondente alla regola (/login).

Portale

1. Aprire un criterio WAF gateway applicazione esistente
2. Selezionare regole personalizzate
3. Aggiungere una regola personalizzata
4. Aggiungi nome per la regola personalizzata
5. Selezionare il pulsante di opzione Tipo di regola limite frequenza
6. Immettere una priorità per la regola
7. Scegliere 1 minuto per Durata limite frequenza
8. Immettere 100 per Soglia limite velocità (richieste)
9. Selezionare Nessuno per Limite di velocità di gruppo per traffico
10. In Condizioni scegliere Stringa per tipo di corrispondenza
11. Nella sezione Match variables (Variabili di corrispondenza) selezionare RequestUri for Match variable (Uri richiesta per Variabile di corrispondenza)
12. Selezionare il pulsante di opzione Non è per l'operazione
13. Per Operator select contains (Selezione operatore)
14. Immettere il percorso della pagina Di accesso per la corrispondenza Valore. In questo esempio viene usato /login
15. Lasciare l'impostazione dell'azione su Nega traffico
16. Selezionare Aggiungi per aggiungere la regola personalizzata al criterio
17. Selezionare Salva per salvare la configurazione e rendere attiva la regola personalizzata per i criteri WAF.

PowerShell

$variable = New-AzApplicationGatewayFirewallMatchVariable -VariableName RequestUri  
$condition = New-AzApplicationGatewayFirewallCondition -MatchVariable $variable -Operator Contains -MatchValue "/login" -NegationCondition $True  
$groupByVariable = New-AzApplicationGatewayFirewallCustomRuleGroupByVariable -VariableName None       
$groupByUserSession = New-AzApplicationGatewayFirewallCustomRuleGroupByUserSession -GroupByVariable $groupByVariable 
$ratelimitrule = New-AzApplicationGatewayFirewallCustomRule -Name LoginRateLimitRule -Priority 99 -RateLimitDuration OneMin -RateLimitThreshold 100 -RuleType RateLimitRule -MatchCondition $condition -GroupByUserSession $groupByUserSession -Action Block -State Enabled 

CLI

az network application-gateway waf-policy custom-rule create --policy-name ExamplePolicy --resource-group ExampleRG --action Block --name LoginRateLimitRule --priority 99 --rule-type RateLimitRule --rate-limit-threshold 100 --group-by-user-session '[{'"groupByVariables"':[{'"variableName"':'"None"'}]}]'
az network application-gateway waf-policy custom-rule match-condition add --match-variables RequestUri --operator Contains --policy-name ExamplePolicy --name LoginRateLimitRule --resource-group ExampleRG --value '/login'

Passaggi successivi

Personalizzare le regole di Web Application Firewall