Vad är hastighetsbegränsning för brandväggen för webbaserade program på Application Gateway?
Med hastighetsbegränsning för brandväggen för webbaserade program på Application Gateway kan du identifiera och blockera onormalt höga trafiknivåer som är avsedda för ditt program. Genom att använda hastighetsbegränsning på Application Gateway-WAF_v2 kan du minimera många typer av överbelastningsattacker, skydda mot klienter som av misstag har felkonfigurerats för att skicka stora mängder begäranden under en kort tidsperiod eller kontrollera trafikhastigheter till din webbplats från specifika geografiska områden.
Principer för hastighetsbegränsning
Hastighetsbegränsning konfigureras med hjälp av anpassade WAF-regler i en princip.
Kommentar
Regler för hastighetsbegränsning stöds endast i brandväggar för webbprogram som kör den senaste WAF-motorn. För att säkerställa att du använder den senaste motorn väljer du CRS 3.2 som standardregeluppsättning.
När du konfigurerar en frekvensgränsregel måste du ange tröskelvärdet: antalet begäranden som tillåts inom den angivna tidsperioden. Hastighetsbegränsning för Application Gateway-WAF_v2 använder en algoritm för skjutfönster för att avgöra när trafiken har överskridit tröskelvärdet och måste tas bort. Under det första fönstret där tröskelvärdet för regeln överskrids tas all trafik som matchar hastighetsbegränsningsregeln bort. Från det andra fönstret och framåt tillåts trafik upp till tröskelvärdet i det konfigurerade fönstret, vilket ger en begränsningseffekt.
Du måste också ange ett matchningsvillkor som talar om för WAF när hastighetsgränsen ska aktiveras. Du kan konfigurera flera regler för hastighetsbegränsning som matchar olika variabler och sökvägar i din princip.
Application Gateway-WAF_v2 introducerar också en GroupByUserSession som måste konfigureras. GroupByUserSession anger hur begäranden grupperas och räknas för en matchande frekvensgränsregel.
Följande tre GroupByVariables är för närvarande tillgängliga:
- ClientAddr – Det här är standardinställningen och det innebär att varje tröskelvärde och åtgärd för hastighetsbegränsning gäller oberoende av varje unik käll-IP-adress.
- GeoLocation – Trafiken grupperas efter deras geografiska område baserat på en geo-matchning på klientens IP-adress. För en hastighetsbegränsningsregel grupperas därför trafik från samma geografiska område.
- Ingen – All trafik grupperas tillsammans och räknas mot tröskelvärdet för regeln Hastighetsgräns. När tröskelvärdet överskrids utlöses åtgärden mot all trafik som matchar regeln och underhåller inte oberoende räknare för varje klient-IP-adress eller geografi. Vi rekommenderar att du använder Ingen med specifika matchningsvillkor, till exempel en inloggningssida eller en lista över misstänkta användaragenter.
Information om hastighetsbegränsning
De konfigurerade tröskelvärdena för hastighetsbegränsning räknas och spåras separat för varje slutpunkt som brandväggsprincipen för webbprogram är kopplad till. En enda WAF-princip som är kopplad till fem olika lyssnare upprätthåller till exempel oberoende räknare och tröskeltillämpning för var och en av lyssnarna.
Tröskelvärdena för hastighetsbegränsning tillämpas inte alltid exakt enligt definitionen, så de bör inte användas för detaljerad kontroll av programtrafik. I stället rekommenderas det för att minska avvikande trafikhastigheter och för att upprätthålla programmets tillgänglighet.
Algoritmen för skjutfönster blockerar all matchande trafik för det första fönstret där tröskelvärdet överskrids och begränsar sedan trafiken i framtida fönster. Var försiktig när du definierar tröskelvärden för att konfigurera regler för bred matchning med antingen GeoLocation eller None som GroupByVariables. Felaktigt konfigurerade tröskelvärden kan leda till frekventa korta avbrott för matchande trafik.