Skapa hastighetsbegränsning för anpassade regler för Application Gateway WAF v2

Med hastighetsbegränsning kan du identifiera och blockera onormalt höga trafiknivåer som är avsedda för ditt program. Hastighetsbegränsning fungerar genom att räkna all trafik som matchar den konfigurerade hastighetsbegränsningsregeln och utföra den konfigurerade åtgärden för trafikmatchning av regeln som överskrider det konfigurerade tröskelvärdet. Mer information finns i Översikt över hastighetsbegränsning.

Konfigurera anpassade regler för hastighetsbegränsning

Använd följande information för att konfigurera hastighetsbegränsningsregler för Application Gateway WAFv2.

Scenario ett – Skapa en regel för att hastighetsbegränsa trafik efter klientens IP-adress som överskrider det konfigurerade tröskelvärdet och som matchar all trafik.

Portal

1. Öppna en befintlig WAF-princip för Application Gateway.
2. Välj Anpassade regler.
3. Välj Lägg till anpassad regel.
4. Ange ett namn för den anpassade regeln.
5. Som Regeltyp väljer du Hastighetsgräns.
6. Ange en prioritet för regeln.
7. Välj 1 minut för Varaktighet för hastighetsbegränsning.
8. Skriv 200 för tröskelvärdet för hastighetsgräns (begäranden)..
9. Välj Klientadress för Gruppera hastighetsbegränsningstrafik efter.
10. Under Villkor väljer du IP-adress för Matchningstyp.
11. För Åtgärd väljer du Innehåller inte.
12. För matchningsvillkor skriver du 255.255.255.255.255/32 under IP-adress eller intervall.
13. Låt åtgärdsinställningen vara Neka trafik.
14. Välj Lägg till för att lägga till den anpassade regeln i principen.
15. Välj Spara för att spara konfigurationen och gör den anpassade regeln aktiv för WAF-principen.

PowerShell

$variable = New-AzApplicationGatewayFirewallMatchVariable -VariableName RemoteAddr 
$condition = New-AzApplicationGatewayFirewallCondition -MatchVariable $variable -Operator IPMatch -MatchValue 255.255.255.255/32 -NegationCondition $True      
$groupByVariable = New-AzApplicationGatewayFirewallCustomRuleGroupByVariable -VariableName ClientAddr      
$groupByUserSession = New-AzApplicationGatewayFirewallCustomRuleGroupByUserSession -GroupByVariable $groupByVariable
$ratelimitrule = New-AzApplicationGatewayFirewallCustomRule -Name ClientIPRateLimitRule -Priority 90 -RateLimitDuration OneMin -RateLimitThreshold 100 -RuleType RateLimitRule -MatchCondition $condition -GroupByUserSession $groupByUserSession -Action Block -State Enabled 

CLI

az network application-gateway waf-policy custom-rule create --policy-name ExamplePolicy --resource-group ExampleRG --action Block --name ClientIPRateLimitRule --priority 90 --rule-type RateLimitRule --rate-limit-threshold 100 --group-by-user-session '[{'"groupByVariables"':[{'"variableName"':'"ClientAddr"'}]}]'
az network application-gateway waf-policy custom-rule match-condition add --match-variables RemoteAddr --operator IPMatch --policy-name ExamplePolicy --name ClientIPRateLimitRule --resource-group ExampleRG --value 255.255.255.255/32 --negate true

Scenario två – Skapa anpassad regel för hastighetsbegränsning för att matcha all trafik förutom trafik som kommer från USA. Trafiken grupperas, räknas och hastighetsbegränsas baserat på GeoLocation för KLIENTENS KÄLL-IP-adress

Portal

1. Öppna en befintlig WAF-princip för Application Gateway.
2. Välj Anpassade regler.
3. Välj Lägg till anpassad regel.
4. Ange ett namn för den anpassade regeln.
5. Som Regeltyp väljer du Hastighetsgräns.
6. Ange en prioritet för regeln.
7. Välj 1 minut för Varaktighet för hastighetsbegränsning.
8. Skriv 500 för tröskelvärdet för hastighetsgräns (begäranden)..
9. Välj Geo-plats för Gruppera hastighetsbegränsningstrafik efter.
10. Under Villkor väljer du Geo-plats för Matchningstyp.
11. I avsnittet **Matcha variabler väljer du RemoteAddr för Match-variabel.
12. Välj Är inte för Åtgärd.
13. Välj USA för land/region.
14. Låt åtgärdsinställningen vara Neka trafik.
15. Välj Lägg till för att lägga till den anpassade regeln i principen.
16. Välj Spara för att spara konfigurationen och gör den anpassade regeln aktiv för WAF-principen.

PowerShell

$variable = New-AzApplicationGatewayFirewallMatchVariable -VariableName RemoteAddr 
$condition = New-AzApplicationGatewayFirewallCondition -MatchVariable $variable -Operator GeoMatch -MatchValue "US" -NegationCondition $True
$groupByVariable = New-AzApplicationGatewayFirewallCustomRuleGroupByVariable -VariableName GeoLocation 
$groupByUserSession = New-AzApplicationGatewayFirewallCustomRuleGroupByUserSession -GroupByVariable $groupByVariable 
$ratelimitrule = New-AzApplicationGatewayFirewallCustomRule -Name GeoRateLimitRule -Priority 95 -RateLimitDuration OneMin -RateLimitThreshold 500 -RuleType RateLimitRule -MatchCondition $condition -GroupByUserSession $groupByUserSession -Action Block -State Enabled  

CLI

az network application-gateway waf-policy custom-rule create --policy-name ExamplePolicy --resource-group ExampleRG --action Block --name GeoRateLimitRule --priority 95 --rule-type RateLimitRule --rate-limit-threshold 500 --group-by-user-session '[{'"groupByVariables"':[{'"variableName"':'"GeoLocation"'}]}]'
az network application-gateway waf-policy custom-rule match-condition add --match-variables RemoteAddr --operator GeoMatch --policy-name ExamplePolicy --name GeoRateLimitRule --resource-group ExampleRG --value US --negate true

Scenario tre – Skapa anpassad regel för hastighetsbegränsning som matchar all trafik för inloggningssidan och med hjälp av variabeln GroupBy None. Detta grupperar och räknar all trafik som matchar regeln som en och tillämpar åtgärden för all trafik som matchar regeln (/inloggning).

Portal

1. Öppna en befintlig WAF-princip för Application Gateway.
2. Välj Anpassade regler.
3. Välj Lägg till anpassad regel.
4. Ange ett namn för den anpassade regeln.
5. Som Regeltyp väljer du Hastighetsgräns.
6. Ange en prioritet för regeln.
7. Välj 1 minut för Varaktighet för hastighetsbegränsning.
8. Skriv 100 för tröskelvärdet för hastighetsgräns (begäranden)..
9. Välj Ingen för Gruppera hastighetsbegränsningstrafik efter.
10. Under Villkor väljer du Sträng för Matchningstyp.
11. I avsnittet Match variables (Matcha variabler ) väljer du RequestUri för Match-variabel.
12. Välj Är inte för Åtgärd.
13. För Operator väljer du Innehåller.
14. Det är valfritt att välja en transformering.
15. Ange sökvägen till inloggningssidan för matchningsvärde. I det här exemplet använder vi /login.
16. Låt åtgärdsinställningen vara Neka trafik.
17. Välj Lägg till för att lägga till den anpassade regeln i principen
18. Välj Spara för att spara konfigurationen och gör den anpassade regeln aktiv för WAF-principen.

PowerShell

$variable = New-AzApplicationGatewayFirewallMatchVariable -VariableName RequestUri  
$condition = New-AzApplicationGatewayFirewallCondition -MatchVariable $variable -Operator Contains -MatchValue "/login" -NegationCondition $True  
$groupByVariable = New-AzApplicationGatewayFirewallCustomRuleGroupByVariable -VariableName None       
$groupByUserSession = New-AzApplicationGatewayFirewallCustomRuleGroupByUserSession -GroupByVariable $groupByVariable 
$ratelimitrule = New-AzApplicationGatewayFirewallCustomRule -Name LoginRateLimitRule -Priority 99 -RateLimitDuration OneMin -RateLimitThreshold 100 -RuleType RateLimitRule -MatchCondition $condition -GroupByUserSession $groupByUserSession -Action Block -State Enabled 

CLI

az network application-gateway waf-policy custom-rule create --policy-name ExamplePolicy --resource-group ExampleRG --action Block --name LoginRateLimitRule --priority 99 --rule-type RateLimitRule --rate-limit-threshold 100 --group-by-user-session '[{'"groupByVariables"':[{'"variableName"':'"None"'}]}]'
az network application-gateway waf-policy custom-rule match-condition add --match-variables RequestUri --operator Contains --policy-name ExamplePolicy --name LoginRateLimitRule --resource-group ExampleRG --value '/login'

Nästa steg

Anpassa brandväggsregler för webbprogram