Criar regras personalizadas de limitação de taxa para o Application Gateway WAF v2

A limitação de taxa permite detetar e bloquear níveis anormalmente altos de tráfego destinado ao seu aplicativo. A Limitação de Taxa funciona contando todo o tráfego que corresponde à regra de Limite de Taxa configurada e executando a ação configurada para o tráfego correspondente a essa regra que excede o limite configurado. Para obter mais informações, consulte Visão geral da limitação de taxa.

Configurar regras personalizadas de limite de taxa

Use as informações a seguir para configurar as Regras de Limite de Taxa para o Application Gateway WAFv2.

Cenário Um - Crie uma regra para limitar a taxa de tráfego por IP do Cliente que exceda o limite configurado, correspondendo a todo o tráfego.

Portal

1. Abra uma política WAF do Application Gateway existente.
2. Selecione Regras personalizadas.
3. Selecione Adicionar regra personalizada.
4. Digite um nome para a regra personalizada.
5. Para o Tipo de regra, selecione Limite de taxa.
6. Digite uma Prioridade para a regra.
7. Escolha 1 minuto para Duração do limite de taxa.
8. Digite 200 para Limite de taxa (solicitações).
9. Selecione Endereço do cliente para Limite de tráfego de taxa de grupo por.
10. Em Condições, escolha Endereço IP para Tipo de correspondência.
11. Em Operação, selecione Não contém.
12. Para a condição de correspondência, em Endereço IP ou intervalo, digite 255.255.255.255/32.
13. Deixe a configuração de ação para Negar tráfego.
14. Selecione Adicionar para adicionar a regra personalizada à política.
15. Selecione Salvar para salvar a configuração e tornar a regra personalizada ativa para a política WAF.

PowerShell

$variable = New-AzApplicationGatewayFirewallMatchVariable -VariableName RemoteAddr 
$condition = New-AzApplicationGatewayFirewallCondition -MatchVariable $variable -Operator IPMatch -MatchValue 255.255.255.255/32 -NegationCondition $True      
$groupByVariable = New-AzApplicationGatewayFirewallCustomRuleGroupByVariable -VariableName ClientAddr      
$groupByUserSession = New-AzApplicationGatewayFirewallCustomRuleGroupByUserSession -GroupByVariable $groupByVariable
$ratelimitrule = New-AzApplicationGatewayFirewallCustomRule -Name ClientIPRateLimitRule -Priority 90 -RateLimitDuration OneMin -RateLimitThreshold 100 -RuleType RateLimitRule -MatchCondition $condition -GroupByUserSession $groupByUserSession -Action Block -State Enabled 

CLI

az network application-gateway waf-policy custom-rule create --policy-name ExamplePolicy --resource-group ExampleRG --action Block --name ClientIPRateLimitRule --priority 90 --rule-type RateLimitRule --rate-limit-threshold 100 --group-by-user-session '[{'"groupByVariables"':[{'"variableName"':'"ClientAddr"'}]}]'
az network application-gateway waf-policy custom-rule match-condition add --match-variables RemoteAddr --operator IPMatch --policy-name ExamplePolicy --name ClientIPRateLimitRule --resource-group ExampleRG --value 255.255.255.255/32 --negate true

Cenário Dois - Crie uma Regra Personalizada de Limite de Taxa para corresponder a todo o tráfego, exceto o tráfego originado dos Estados Unidos. O tráfego é agrupado, contado e limitado com base na GeoLocalização do endereço IP de origem do cliente

Portal

1. Abra uma política WAF do Application Gateway existente.
2. Selecione Regras personalizadas.
3. Selecione Adicionar regra personalizada.
4. Digite um nome para a regra personalizada.
5. Para o Tipo de regra, selecione Limite de taxa.
6. Digite uma Prioridade para a regra.
7. Escolha 1 minuto para Duração do limite de taxa.
8. Digite 500 para Limite de taxa (solicitações).
9. Selecione Localização geográfica para Limite de tráfego de taxa de grupo.
10. Em Condições, escolha Localização geográfica para Tipo de correspondência.
11. Na seção **Corresponder variáveis, selecione RemoteAddr para Corresponder variável.
12. Selecione Não é para operação.
13. Selecione Estados Unidos para País/Região.
14. Deixe a configuração de ação para Negar tráfego.
15. Selecione Adicionar para adicionar a regra personalizada à política.
16. Selecione Salvar para salvar a configuração e tornar a regra personalizada ativa para a política WAF.

PowerShell

$variable = New-AzApplicationGatewayFirewallMatchVariable -VariableName RemoteAddr 
$condition = New-AzApplicationGatewayFirewallCondition -MatchVariable $variable -Operator GeoMatch -MatchValue "US" -NegationCondition $True
$groupByVariable = New-AzApplicationGatewayFirewallCustomRuleGroupByVariable -VariableName GeoLocation 
$groupByUserSession = New-AzApplicationGatewayFirewallCustomRuleGroupByUserSession -GroupByVariable $groupByVariable 
$ratelimitrule = New-AzApplicationGatewayFirewallCustomRule -Name GeoRateLimitRule -Priority 95 -RateLimitDuration OneMin -RateLimitThreshold 500 -RuleType RateLimitRule -MatchCondition $condition -GroupByUserSession $groupByUserSession -Action Block -State Enabled  

CLI

az network application-gateway waf-policy custom-rule create --policy-name ExamplePolicy --resource-group ExampleRG --action Block --name GeoRateLimitRule --priority 95 --rule-type RateLimitRule --rate-limit-threshold 500 --group-by-user-session '[{'"groupByVariables"':[{'"variableName"':'"GeoLocation"'}]}]'
az network application-gateway waf-policy custom-rule match-condition add --match-variables RemoteAddr --operator GeoMatch --policy-name ExamplePolicy --name GeoRateLimitRule --resource-group ExampleRG --value US --negate true

Cenário Três - Criar Regra Personalizada de Limite de Taxa que corresponda a todo o tráfego da página de login e use a variável GroupBy None. Isso agrupará e contará todo o tráfego que corresponde à regra como um e aplicará a ação em todo o tráfego correspondente à regra (/login).

Portal

1. Abra uma política WAF do Application Gateway existente.
2. Selecione Regras personalizadas.
3. Selecione Adicionar regra personalizada.
4. Digite um nome para a regra personalizada.
5. Para o Tipo de regra, selecione Limite de taxa.
6. Digite uma Prioridade para a regra.
7. Escolha 1 minuto para Duração do limite de taxa.
8. Digite 100 para Limite de taxa (solicitações).
9. Selecione Nenhum para Limitar o tráfego da taxa de grupo.
10. Em Condições, escolha String para o tipo de correspondência.
11. Na seção Corresponder variáveis, selecione RequestUri para a variável Corresponder .
12. Selecione Não é para operação.
13. Em Operador, selecione Contém.
14. A seleção de uma transformação é opcional.
15. Insira o caminho da página de login para corresponder ao valor. Neste exemplo, usamos /login.
16. Deixe a configuração de ação para Negar tráfego.
17. Selecione Adicionar para adicionar a regra personalizada à política
18. Selecione Salvar para salvar a configuração e tornar a regra personalizada ativa para a política WAF.

PowerShell

$variable = New-AzApplicationGatewayFirewallMatchVariable -VariableName RequestUri  
$condition = New-AzApplicationGatewayFirewallCondition -MatchVariable $variable -Operator Contains -MatchValue "/login" -NegationCondition $True  
$groupByVariable = New-AzApplicationGatewayFirewallCustomRuleGroupByVariable -VariableName None       
$groupByUserSession = New-AzApplicationGatewayFirewallCustomRuleGroupByUserSession -GroupByVariable $groupByVariable 
$ratelimitrule = New-AzApplicationGatewayFirewallCustomRule -Name LoginRateLimitRule -Priority 99 -RateLimitDuration OneMin -RateLimitThreshold 100 -RuleType RateLimitRule -MatchCondition $condition -GroupByUserSession $groupByUserSession -Action Block -State Enabled 

CLI

az network application-gateway waf-policy custom-rule create --policy-name ExamplePolicy --resource-group ExampleRG --action Block --name LoginRateLimitRule --priority 99 --rule-type RateLimitRule --rate-limit-threshold 100 --group-by-user-session '[{'"groupByVariables"':[{'"variableName"':'"None"'}]}]'
az network application-gateway waf-policy custom-rule match-condition add --match-variables RequestUri --operator Contains --policy-name ExamplePolicy --name LoginRateLimitRule --resource-group ExampleRG --value '/login'

Próximos passos

Personalizar regras de firewall de aplicativos Web