Создание настраиваемых правил ограничения скорости для Шлюз приложений WAF версии 2

Ограничение скорости позволяет обнаруживать и блокировать ненормально высокий уровень трафика, предназначенный для приложения. Ограничение скорости работает путем подсчета всего трафика, соответствующего заданному правилу ограничения скорости, и выполнения настроенного действия для сопоставления трафика, которое превышает настроенное пороговое значение. Дополнительные сведения см. в обзоре ограничения скорости.

Настройка настраиваемых правил ограничения скорости

Используйте следующие сведения, чтобы настроить правила ограничения скорости для Шлюз приложений WAFv2.

Сценарий. Создание правила для ограничения скорости трафика по IP-адресу клиента, превышающего заданное пороговое значение, соответствующее всему трафику.

Портал

1. Откройте существующую политику WAF Шлюз приложений.
2. Выберите настраиваемые правила.
3. Выберите " Добавить настраиваемое правило".
4. Введите имя настраиваемого правила.
5. Для типа правила выберите ограничение скорости.
6. Введите приоритет правила.
7. Выберите 1 минуту для длительности ограничения скорости.
8. Введите 200 для порогового значения ограничения скорости (запросы).
9. Выберите адрес клиента для ограничения скорости группы по трафику.
10. В разделе "Условия" выберите IP-адрес для типа match.
11. Для операции выберите "Не содержит".
12. Для условия соответствия в ip-адресе или диапазоне введите 255.255.255.255/32.
13. Оставьте параметр действия для запрета трафика.
14. Нажмите кнопку "Добавить ", чтобы добавить настраиваемое правило в политику.
15. Нажмите кнопку "Сохранить", чтобы сохранить конфигурацию и сделать настраиваемое правило активным для политики WAF.

PowerShell

$variable = New-AzApplicationGatewayFirewallMatchVariable -VariableName RemoteAddr 
$condition = New-AzApplicationGatewayFirewallCondition -MatchVariable $variable -Operator IPMatch -MatchValue 255.255.255.255/32 -NegationCondition $True      
$groupByVariable = New-AzApplicationGatewayFirewallCustomRuleGroupByVariable -VariableName ClientAddr      
$groupByUserSession = New-AzApplicationGatewayFirewallCustomRuleGroupByUserSession -GroupByVariable $groupByVariable
$ratelimitrule = New-AzApplicationGatewayFirewallCustomRule -Name ClientIPRateLimitRule -Priority 90 -RateLimitDuration OneMin -RateLimitThreshold 100 -RuleType RateLimitRule -MatchCondition $condition -GroupByUserSession $groupByUserSession -Action Block -State Enabled 

CLI

az network application-gateway waf-policy custom-rule create --policy-name ExamplePolicy --resource-group ExampleRG --action Block --name ClientIPRateLimitRule --priority 90 --rule-type RateLimitRule --rate-limit-threshold 100 --group-by-user-session '[{'"groupByVariables"':[{'"variableName"':'"ClientAddr"'}]}]'
az network application-gateway waf-policy custom-rule match-condition add --match-variables RemoteAddr --operator IPMatch --policy-name ExamplePolicy --name ClientIPRateLimitRule --resource-group ExampleRG --value 255.255.255.255/32 --negate true

Сценарий Два. Создание настраиваемого правила ограничения скорости для сопоставления всего трафика, за исключением трафика, исходя из США. Трафик группируется, учитывается и ограничивается скоростью на основе географического расположения IP-адреса источника клиента.

Портал

1. Откройте существующую политику WAF Шлюз приложений.
2. Выберите настраиваемые правила.
3. Выберите " Добавить настраиваемое правило".
4. Введите имя настраиваемого правила.
5. Для типа правила выберите ограничение скорости.
6. Введите приоритет правила.
7. Выберите 1 минуту для длительности ограничения скорости.
8. Введите 500 для порогового значения ограничения скорости (запросы).
9. Выберите географическое расположение для ограничения скорости групп по трафику.
10. В разделе "Условия" выберите географическое расположение для типа Match.
11. В разделе **Сопоставление переменных выберите RemoteAddr для переменной Match.
12. Выбор не предназначен для операции.
13. Выберите США для страны или региона.
14. Оставьте параметр действия для запрета трафика.
15. Нажмите кнопку "Добавить ", чтобы добавить настраиваемое правило в политику.
16. Нажмите кнопку "Сохранить", чтобы сохранить конфигурацию и сделать настраиваемое правило активным для политики WAF.

PowerShell

$variable = New-AzApplicationGatewayFirewallMatchVariable -VariableName RemoteAddr 
$condition = New-AzApplicationGatewayFirewallCondition -MatchVariable $variable -Operator GeoMatch -MatchValue "US" -NegationCondition $True
$groupByVariable = New-AzApplicationGatewayFirewallCustomRuleGroupByVariable -VariableName GeoLocation 
$groupByUserSession = New-AzApplicationGatewayFirewallCustomRuleGroupByUserSession -GroupByVariable $groupByVariable 
$ratelimitrule = New-AzApplicationGatewayFirewallCustomRule -Name GeoRateLimitRule -Priority 95 -RateLimitDuration OneMin -RateLimitThreshold 500 -RuleType RateLimitRule -MatchCondition $condition -GroupByUserSession $groupByUserSession -Action Block -State Enabled  

CLI

az network application-gateway waf-policy custom-rule create --policy-name ExamplePolicy --resource-group ExampleRG --action Block --name GeoRateLimitRule --priority 95 --rule-type RateLimitRule --rate-limit-threshold 500 --group-by-user-session '[{'"groupByVariables"':[{'"variableName"':'"GeoLocation"'}]}]'
az network application-gateway waf-policy custom-rule match-condition add --match-variables RemoteAddr --operator GeoMatch --policy-name ExamplePolicy --name GeoRateLimitRule --resource-group ExampleRG --value US --negate true

Сценарий 3 . Создание настраиваемого правила ограничения скорости, соответствующего всему трафику страницы входа и использованию переменной GroupBy None. Это будет группировать и подсчитывать весь трафик, соответствующий правилу как одному, и применять действие ко всему трафику, соответствующему правилу (/login).

Портал

1. Откройте существующую политику WAF Шлюз приложений.
2. Выберите настраиваемые правила.
3. Выберите " Добавить настраиваемое правило".
4. Введите имя настраиваемого правила.
5. Для типа правила выберите ограничение скорости.
6. Введите приоритет правила.
7. Выберите 1 минуту для длительности ограничения скорости.
8. Введите 100 для порогового значения ограничения скорости (запросы).
9. Выберите none for Group rate limit traffic by.
10. В разделе "Условия" выберите "Строка " для типа "Совпадение".
11. В разделе "Переменные сопоставления" выберите RequestUri для переменной Match.
12. Выбор не предназначен для операции.
13. Для оператора выберите "Содержит".
14. Выбор преобразования необязательный.
15. Введите путь страницы входа для сопоставления значения. В этом примере используется /login.
16. Оставьте параметр действия для запрета трафика.
17. Нажмите кнопку "Добавить ", чтобы добавить настраиваемое правило в политику
18. Нажмите кнопку "Сохранить", чтобы сохранить конфигурацию и сделать настраиваемое правило активным для политики WAF.

PowerShell

$variable = New-AzApplicationGatewayFirewallMatchVariable -VariableName RequestUri  
$condition = New-AzApplicationGatewayFirewallCondition -MatchVariable $variable -Operator Contains -MatchValue "/login" -NegationCondition $True  
$groupByVariable = New-AzApplicationGatewayFirewallCustomRuleGroupByVariable -VariableName None       
$groupByUserSession = New-AzApplicationGatewayFirewallCustomRuleGroupByUserSession -GroupByVariable $groupByVariable 
$ratelimitrule = New-AzApplicationGatewayFirewallCustomRule -Name LoginRateLimitRule -Priority 99 -RateLimitDuration OneMin -RateLimitThreshold 100 -RuleType RateLimitRule -MatchCondition $condition -GroupByUserSession $groupByUserSession -Action Block -State Enabled 

CLI

az network application-gateway waf-policy custom-rule create --policy-name ExamplePolicy --resource-group ExampleRG --action Block --name LoginRateLimitRule --priority 99 --rule-type RateLimitRule --rate-limit-threshold 100 --group-by-user-session '[{'"groupByVariables"':[{'"variableName"':'"None"'}]}]'
az network application-gateway waf-policy custom-rule match-condition add --match-variables RequestUri --operator Contains --policy-name ExamplePolicy --name LoginRateLimitRule --resource-group ExampleRG --value '/login'

Следующие шаги

Настройка правил брандмауэра веб-приложения