Tworzenie reguł niestandardowych ograniczania szybkości dla zapory aplikacji internetowej usługi Application Gateway w wersji 2

Ograniczanie szybkości umożliwia wykrywanie i blokowanie nietypowo wysokiego poziomu ruchu przeznaczonego dla aplikacji. Ograniczanie szybkości działa przez zliczanie całego ruchu zgodnego ze skonfigurowaną regułą limitu szybkości i wykonywanie skonfigurowanej akcji na potrzeby dopasowania ruchu do tej reguły, która przekracza skonfigurowany próg. Aby uzyskać więcej informacji, zobacz Omówienie ograniczania szybkości.

Konfigurowanie reguł niestandardowych limitu szybkości

Skorzystaj z poniższych informacji, aby skonfigurować reguły limitu szybkości dla usługi Application Gateway WAFv2.

Scenariusz jeden — utwórz regułę, aby ograniczyć ruch według adresu IP klienta, który przekracza skonfigurowany próg, pasując do całego ruchu.

Portal

1. Otwórz istniejące zasady zapory aplikacji internetowej usługi Application Gateway.
2. Wybierz pozycję Reguły niestandardowe.
3. Wybierz pozycję Dodaj regułę niestandardową.
4. Wpisz nazwę reguły niestandardowej.
5. W polu Typ reguły wybierz pozycję Limit szybkości.
6. Wpisz priorytet dla reguły.
7. Wybierz 1 minutę czasu trwania limitu szybkości.
8. Wpisz 200 w polu Próg limitu szybkości (żądania).
9. Wybierz pozycję Adres klienta dla pozycji Ruch ograniczeń liczby grup według.
10. W obszarze Warunki wybierz pozycję Adres IP dla pozycji Typ dopasowania.
11. W obszarze Operacja wybierz pozycję Nie zawiera.
12. W przypadku warunku dopasowania w obszarze Adres IP lub zakres wpisz 255.255.255.255/32.
13. Pozostaw ustawienie akcji Na odmów ruchu.
14. Wybierz pozycję Dodaj , aby dodać regułę niestandardową do zasad.
15. Wybierz pozycję Zapisz , aby zapisać konfigurację i ustawić regułę niestandardową jako aktywną dla zasad zapory aplikacji internetowej.

Program PowerShell

$variable = New-AzApplicationGatewayFirewallMatchVariable -VariableName RemoteAddr 
$condition = New-AzApplicationGatewayFirewallCondition -MatchVariable $variable -Operator IPMatch -MatchValue 255.255.255.255/32 -NegationCondition $True      
$groupByVariable = New-AzApplicationGatewayFirewallCustomRuleGroupByVariable -VariableName ClientAddr      
$groupByUserSession = New-AzApplicationGatewayFirewallCustomRuleGroupByUserSession -GroupByVariable $groupByVariable
$ratelimitrule = New-AzApplicationGatewayFirewallCustomRule -Name ClientIPRateLimitRule -Priority 90 -RateLimitDuration OneMin -RateLimitThreshold 100 -RuleType RateLimitRule -MatchCondition $condition -GroupByUserSession $groupByUserSession -Action Block -State Enabled 

Interfejs wiersza polecenia

az network application-gateway waf-policy custom-rule create --policy-name ExamplePolicy --resource-group ExampleRG --action Block --name ClientIPRateLimitRule --priority 90 --rule-type RateLimitRule --rate-limit-threshold 100 --group-by-user-session '[{'"groupByVariables"':[{'"variableName"':'"ClientAddr"'}]}]'
az network application-gateway waf-policy custom-rule match-condition add --match-variables RemoteAddr --operator IPMatch --policy-name ExamplePolicy --name ClientIPRateLimitRule --resource-group ExampleRG --value 255.255.255.255/32 --negate true

Scenariusz drugi — utwórz regułę niestandardową limitu szybkości, aby dopasować cały ruch z wyjątkiem ruchu pochodzącego z Stany Zjednoczone. Ruch jest grupowany, liczone i ograniczane szybkość na podstawie geolokalizacji źródłowego adresu IP klienta

Portal

1. Otwórz istniejące zasady zapory aplikacji internetowej usługi Application Gateway.
2. Wybierz pozycję Reguły niestandardowe.
3. Wybierz pozycję Dodaj regułę niestandardową.
4. Wpisz nazwę reguły niestandardowej.
5. W polu Typ reguły wybierz pozycję Limit szybkości.
6. Wpisz priorytet dla reguły.
7. Wybierz 1 minutę czasu trwania limitu szybkości.
8. Wpisz wartość 500 w polu Próg limitu szybkości (żądania).
9. Wybierz pozycję Lokalizacja geograficzna dla pozycji Ruch ograniczający szybkość grupy według.
10. W obszarze Warunki wybierz pozycję Lokalizacja geograficzna dla pozycji Typ dopasowania.
11. W sekcji **Dopasuj zmienne wybierz pozycję RemoteAddr w polu Dopasuj zmienną.
12. Wybierz pozycję Nie dotyczy operacji.
13. Wybierz pozycję Stany Zjednoczone dla pozycji Kraj/Region.
14. Pozostaw ustawienie akcji Na odmów ruchu.
15. Wybierz pozycję Dodaj , aby dodać regułę niestandardową do zasad.
16. Wybierz pozycję Zapisz , aby zapisać konfigurację i ustawić regułę niestandardową jako aktywną dla zasad zapory aplikacji internetowej.

Program PowerShell

$variable = New-AzApplicationGatewayFirewallMatchVariable -VariableName RemoteAddr 
$condition = New-AzApplicationGatewayFirewallCondition -MatchVariable $variable -Operator GeoMatch -MatchValue "US" -NegationCondition $True
$groupByVariable = New-AzApplicationGatewayFirewallCustomRuleGroupByVariable -VariableName GeoLocation 
$groupByUserSession = New-AzApplicationGatewayFirewallCustomRuleGroupByUserSession -GroupByVariable $groupByVariable 
$ratelimitrule = New-AzApplicationGatewayFirewallCustomRule -Name GeoRateLimitRule -Priority 95 -RateLimitDuration OneMin -RateLimitThreshold 500 -RuleType RateLimitRule -MatchCondition $condition -GroupByUserSession $groupByUserSession -Action Block -State Enabled  

Interfejs wiersza polecenia

az network application-gateway waf-policy custom-rule create --policy-name ExamplePolicy --resource-group ExampleRG --action Block --name GeoRateLimitRule --priority 95 --rule-type RateLimitRule --rate-limit-threshold 500 --group-by-user-session '[{'"groupByVariables"':[{'"variableName"':'"GeoLocation"'}]}]'
az network application-gateway waf-policy custom-rule match-condition add --match-variables RemoteAddr --operator GeoMatch --policy-name ExamplePolicy --name GeoRateLimitRule --resource-group ExampleRG --value US --negate true

Scenariusz trzy — utwórz regułę niestandardową limitu szybkości pasującą do całego ruchu dla strony logowania i używając zmiennej GroupBy None. Spowoduje to grupowanie i liczenie całego ruchu zgodnego z regułą jako jeden i zastosowanie akcji we wszystkich ruchach pasujących do reguły (/login).

Portal

1. Otwórz istniejące zasady zapory aplikacji internetowej usługi Application Gateway.
2. Wybierz pozycję Reguły niestandardowe.
3. Wybierz pozycję Dodaj regułę niestandardową.
4. Wpisz nazwę reguły niestandardowej.
5. W polu Typ reguły wybierz pozycję Limit szybkości.
6. Wpisz priorytet dla reguły.
7. Wybierz 1 minutę czasu trwania limitu szybkości.
8. Wpisz wartość 100 w polu Próg limitu szybkości (żądania).
9. Wybierz pozycję Brak dla pozycji Ograniczanie liczby grup ruchu według.
10. W obszarze Warunki wybierz pozycję Ciąg dla pozycji Typ dopasowania.
11. W sekcji Dopasowywanie zmiennych wybierz pozycję RequestUri dla zmiennej Dopasowania.
12. Wybierz pozycję Nie dotyczy operacji.
13. W obszarze Operator wybierz pozycję Zawiera.
14. Wybranie przekształcenia opcjonalnego.
15. Wprowadź ścieżkę strony logowania, aby uzyskać wartość dopasowania. W tym przykładzie używamy /login.
16. Pozostaw ustawienie akcji Na odmów ruchu.
17. Wybierz pozycję Dodaj , aby dodać regułę niestandardową do zasad
18. Wybierz pozycję Zapisz , aby zapisać konfigurację i ustawić regułę niestandardową jako aktywną dla zasad zapory aplikacji internetowej.

Program PowerShell

$variable = New-AzApplicationGatewayFirewallMatchVariable -VariableName RequestUri  
$condition = New-AzApplicationGatewayFirewallCondition -MatchVariable $variable -Operator Contains -MatchValue "/login" -NegationCondition $True  
$groupByVariable = New-AzApplicationGatewayFirewallCustomRuleGroupByVariable -VariableName None       
$groupByUserSession = New-AzApplicationGatewayFirewallCustomRuleGroupByUserSession -GroupByVariable $groupByVariable 
$ratelimitrule = New-AzApplicationGatewayFirewallCustomRule -Name LoginRateLimitRule -Priority 99 -RateLimitDuration OneMin -RateLimitThreshold 100 -RuleType RateLimitRule -MatchCondition $condition -GroupByUserSession $groupByUserSession -Action Block -State Enabled 

Interfejs wiersza polecenia

az network application-gateway waf-policy custom-rule create --policy-name ExamplePolicy --resource-group ExampleRG --action Block --name LoginRateLimitRule --priority 99 --rule-type RateLimitRule --rate-limit-threshold 100 --group-by-user-session '[{'"groupByVariables"':[{'"variableName"':'"None"'}]}]'
az network application-gateway waf-policy custom-rule match-condition add --match-variables RequestUri --operator Contains --policy-name ExamplePolicy --name LoginRateLimitRule --resource-group ExampleRG --value '/login'

Następne kroki

Dostosowywanie reguł zapory aplikacji internetowej