Application Gateway의 웹 애플리케이션 방화벽에 대한 속도 제한은 무엇인가요?
Application Gateway의 웹 애플리케이션 방화벽에 대한 속도 제한을 사용하면 애플리케이션을 대상으로 하는 비정상적으로 높은 수준의 트래픽을 감지하고 차단할 수 있습니다. Application Gateway WAF_v2 속도 제한을 사용하면 다양한 유형의 서비스 거부 공격을 완화하거나, 짧은 기간 동안 대량의 요청을 전송하도록 실수로 잘못 구성된 클라이언트로부터 보호하거나, 특정 지역에서 사이트로 트래픽 속도를 제어할 수 있습니다.
속도 제한 정책
속도 제한은 정책에서 사용자 지정 WAF 규칙을 사용하여 구성됩니다.
참고 항목
속도 제한 규칙은 최신 WAF 엔진을 실행하는 웹 애플리케이션 방화벽에서만 지원됩니다. 최신 엔진을 사용하려면 기본 규칙 집합에 대해 CRS 3.2를 선택합니다.
속도 제한 규칙을 구성할 때 임계값을 지정해야 합니다. 지정된 기간 내에 허용되는 요청 수입니다. Application Gateway WAF_v2 속도 제한은 슬라이딩 윈도우 알고리즘을 사용하여 트래픽이 임계값을 초과하여 삭제해야 하는 시기를 결정합니다. 규칙에 대한 임계값을 위반하는 첫 번째 창에서 속도 제한 규칙과 일치하는 트래픽이 더 이상 삭제됩니다. 두 번째 창부터 구성된 창 내에서 임계값까지의 트래픽이 허용되어 제한 효과가 생성됩니다.
또한 속도 제한을 활성화할 시기를 WAF에 알려주는 일치 조건을 지정해야 합니다. 정책 내에서 다양한 변수 및 경로와 일치하는 여러 속도 제한 규칙을 구성할 수 있습니다.
Application Gateway WAF_v2 구성해야 하는 GroupByUserSession도 도입되었습니다. GroupByUserSession은 일치하는 속도 제한 규칙에 대한 요청을 그룹화하고 계산하는 방법을 지정합니다.
현재 다음 세 개의 GroupByVariable을 사용할 수 있습니다.
- ClientAddr – 기본 설정이며 각 속도 제한 임계값 및 완화가 모든 고유한 원본 IP 주소에 독립적으로 적용됨을 의미합니다.
- GeoLocation - 트래픽은 클라이언트 IP 주소의 지역 일치를 기반으로 지리별로 그룹화됩니다. 따라서 속도 제한 규칙의 경우 동일한 지역에서 트래픽이 함께 그룹화됩니다.
- 없음 - 모든 트래픽이 함께 그룹화되고 속도 제한 규칙의 임계값에 대해 계산됩니다. 임계값을 위반하면 작업이 규칙과 일치하는 모든 트래픽에 대해 트리거되고 각 클라이언트 IP 주소 또는 지역에 대한 독립적인 카운터를 기본 않습니다. 로그인 페이지 또는 의심스러운 사용자 에이전트 목록과 같은 특정 일치 조건에 None을 사용하는 것이 좋습니다.
속도 제한 세부 정보
구성된 속도 제한 임계값은 웹 애플리케이션 방화벽 정책이 연결된 각 엔드포인트에 대해 독립적으로 계산되고 추적됩니다. 예를 들어 5개의 서로 다른 수신기에 연결된 단일 WAF 정책은 각 수신기에 대한 독립적인 카운터 및 임계값 적용을 기본.
속도 제한 임계값이 항상 정의된 대로 정확하게 적용되는 것은 아니므로 애플리케이션 트래픽을 세밀하게 제어하는 데 사용하면 안 됩니다. 대신 비정상적인 트래픽 속도를 완화하고 애플리케이션 가용성을 기본 것이 좋습니다.
슬라이딩 윈도우 알고리즘은 임계값을 초과하는 첫 번째 창에 대해 일치하는 모든 트래픽을 차단한 다음 이후 창에서 트래픽을 제한합니다. GeoLocation 또는 None을 GroupByVariables로 사용하여 광범위한 일치 규칙을 구성하기 위한 임계값을 정의할 때는 주의해야 합니다. 잘못 구성된 임계값으로 인해 일치하는 트래픽에 대한 짧은 중단이 자주 발생할 수 있습니다.