Criar regras personalizadas de limite de taxa do WAF do Gateway de Aplicativo v2

Artigo
01/30/2025

A limitação de taxa permite que você detecte e bloqueie níveis de tráfego anormalmente altos destinados ao seu aplicativo. A Limitação de Taxa funciona contando todo o tráfego que corresponde à regra de Limite de Taxa configurada e executando a ação configurada da correspondência de tráfego que excede o limite configurado. Para obter mais informações, confira Visão geral de limitação de taxa.

Configurar Regras de Limite de Taxa Personalizadas

Use as informações a seguir para configurar Regras de Limite de Taxa para o WAF do Gateway de Aplicativo v2.

Cenário Um: Criar uma regra para limitar a taxa de tráfego por IP de Cliente que exceder o limite configurado, equiparando todo o tráfego.

Abra uma política existente do WAF do Gateway de Aplicativo.
Selecione Regras Personalizadas.
Selecione Adicionar Regra Personalizada.
Digite um nome para a regra personalizada.
Em Tipo de regra, selecione Limite de taxa.
Digite uma Prioridade para a regra.
Escolha 1 minuto como a duração do Limite de Taxa.
Digite 200 para Classificar o limite de taxa (solicitações).
Selecione o Endereço do cliente para Limitar a taxa de tráfego do grupo por.
Em Condições, escolha Endereço IP como Tipo de equiparação.
Em Operação, selecione Não contém.
Como condição de equiparação, em Endereço ou intervalo de IP digite 255.255.255.255/32.
Deixe a configuração da ação como Negar tráfego.
Selecione Adicionar para adicionar a regra personalizada à política.
Selecione Salvar para salvar a configuração e ativar a regra personalizada para a política do WAF.

$variable = New-AzApplicationGatewayFirewallMatchVariable -VariableName RemoteAddr 
$condition = New-AzApplicationGatewayFirewallCondition -MatchVariable $variable -Operator IPMatch -MatchValue 255.255.255.255/32 -NegationCondition $True      
$groupByVariable = New-AzApplicationGatewayFirewallCustomRuleGroupByVariable -VariableName ClientAddr      
$groupByUserSession = New-AzApplicationGatewayFirewallCustomRuleGroupByUserSession -GroupByVariable $groupByVariable
$ratelimitrule = New-AzApplicationGatewayFirewallCustomRule -Name ClientIPRateLimitRule -Priority 90 -RateLimitDuration OneMin -RateLimitThreshold 100 -RuleType RateLimitRule -MatchCondition $condition -GroupByUserSession $groupByUserSession -Action Block -State Enabled

az network application-gateway waf-policy custom-rule create --policy-name ExamplePolicy --resource-group ExampleRG --action Block --name ClientIPRateLimitRule --priority 90 --rule-type RateLimitRule --rate-limit-threshold 100 --group-by-user-session '[{'"groupByVariables"':[{'"variableName"':'"ClientAddr"'}]}]'
az network application-gateway waf-policy custom-rule match-condition add --match-variables RemoteAddr --operator IPMatch --policy-name ExamplePolicy --name ClientIPRateLimitRule --resource-group ExampleRG --value 255.255.255.255/32 --negate true

Cenário Dois: Criar uma regra personalizada para limitar a taxa de modo a equiparar todo o tráfego, exceto o tráfego proveniente do Estados Unidos. O tráfego será agrupado, contabilizado e sua taxa limitada com base na Localização Geográfica do endereço IP de Origem do Cliente

Abra uma política existente do WAF do Gateway de Aplicativo.
Selecione Regras Personalizadas.
Selecione Adicionar Regra Personalizada.
Digite um nome para a regra personalizada.
Em Tipo de regra, selecione Limite de taxa.
Digite uma Prioridade para a regra.
Escolha 1 minuto como a duração do Limite de Taxa.
Digite 500 para Classificar o limite de taxa (solicitações).
Selecione Localização geográfica para Limitar a taxa de tráfego do grupo por.
Em Condições, escolha Localização geográfica como Tipo de equiparação.
Na seção **Equiparar variáveis, selecione RemoteAddr para Equiparar variável.
Selecione Não em Operação.
Selecione Estados Unidos para País/Região.
Deixe a configuração da ação como Negar tráfego.
Selecione Adicionar para adicionar a regra personalizada à política.
Selecione Salvar para salvar a configuração e ativar a regra personalizada para a política do WAF.

$variable = New-AzApplicationGatewayFirewallMatchVariable -VariableName RemoteAddr 
$condition = New-AzApplicationGatewayFirewallCondition -MatchVariable $variable -Operator GeoMatch -MatchValue "US" -NegationCondition $True
$groupByVariable = New-AzApplicationGatewayFirewallCustomRuleGroupByVariable -VariableName GeoLocation 
$groupByUserSession = New-AzApplicationGatewayFirewallCustomRuleGroupByUserSession -GroupByVariable $groupByVariable 
$ratelimitrule = New-AzApplicationGatewayFirewallCustomRule -Name GeoRateLimitRule -Priority 95 -RateLimitDuration OneMin -RateLimitThreshold 500 -RuleType RateLimitRule -MatchCondition $condition -GroupByUserSession $groupByUserSession -Action Block -State Enabled

az network application-gateway waf-policy custom-rule create --policy-name ExamplePolicy --resource-group ExampleRG --action Block --name GeoRateLimitRule --priority 95 --rule-type RateLimitRule --rate-limit-threshold 500 --group-by-user-session '[{'"groupByVariables"':[{'"variableName"':'"GeoLocation"'}]}]'
az network application-gateway waf-policy custom-rule match-condition add --match-variables RemoteAddr --operator GeoMatch --policy-name ExamplePolicy --name GeoRateLimitRule --resource-group ExampleRG --value US --negate true

Cenário Três: Criar uma regra personalizada para limitar a taxa equiparando todo o tráfego para a página de login e usando a variável GroupBy None. Isso irá agrupar e contabilizar todo o tráfego que corresponder à regra como um único e aplicar a ação em todo o tráfego correspondente à regra (/login).

Abra uma política existente do WAF do Gateway de Aplicativo.
Selecione Regras Personalizadas.
Selecione Adicionar Regra Personalizada.
Digite um nome para a regra personalizada.
Em Tipo de regra, selecione Limite de taxa.
Digite uma Prioridade para a regra.
Escolha 1 minuto como a duração do Limite de Taxa.
Digite 100 para Classificar o limite de taxa (solicitações).
Selecione Nenhum para Limitar a taxa de tráfego do grupo por.
Em Condições, escolha Cadeia de Caracteres como Tipo de equiparação.
Na seção Equiparar variáveis, selecione RequestUri para Equiparar variável.
Selecione Não em Operação.
Para Operador, selecione Contém.
Selecionar uma transformação é opcional.
Insira o caminho da página de Login para equiparar o Valor. Nesse exemplo, usamos /login.
Deixe a configuração da ação como Negar tráfego.
Selecione Adicionar para adicionar a regra personalizada à política
Selecione Salvar para salvar a configuração e ativar a regra personalizada para a política do WAF.

$variable = New-AzApplicationGatewayFirewallMatchVariable -VariableName RequestUri  
$condition = New-AzApplicationGatewayFirewallCondition -MatchVariable $variable -Operator Contains -MatchValue "/login" -NegationCondition $True  
$groupByVariable = New-AzApplicationGatewayFirewallCustomRuleGroupByVariable -VariableName None       
$groupByUserSession = New-AzApplicationGatewayFirewallCustomRuleGroupByUserSession -GroupByVariable $groupByVariable 
$ratelimitrule = New-AzApplicationGatewayFirewallCustomRule -Name LoginRateLimitRule -Priority 99 -RateLimitDuration OneMin -RateLimitThreshold 100 -RuleType RateLimitRule -MatchCondition $condition -GroupByUserSession $groupByUserSession -Action Block -State Enabled

az network application-gateway waf-policy custom-rule create --policy-name ExamplePolicy --resource-group ExampleRG --action Block --name LoginRateLimitRule --priority 99 --rule-type RateLimitRule --rate-limit-threshold 100 --group-by-user-session '[{'"groupByVariables"':[{'"variableName"':'"None"'}]}]'
az network application-gateway waf-policy custom-rule match-condition add --match-variables RequestUri --operator Contains --policy-name ExamplePolicy --name LoginRateLimitRule --resource-group ExampleRG --value '/login'

Próximas etapas

Personalizar as regras de firewall do aplicativo Web

Compartilhar via

Criar regras personalizadas de limite de taxa do WAF do Gateway de Aplicativo v2

Configurar Regras de Limite de Taxa Personalizadas

Próximas etapas

Comentários

Recursos adicionais