Erstellen benutzerdefinierter Regeln zur Ratenbegrenzung für Application Gateway WAF v2

Durch die Ratenbegrenzung können Sie ungewöhnlich hohe Datenverkehrsmengen für Ihre Anwendung erkennen und blockieren. Bei der Ratenbegrenzung wird der gesamte Datenverkehr gezählt, der der konfigurierten Ratenbegrenzungsregel entspricht, und die konfigurierte Aktion für den Datenverkehr durchgeführt, der dieser Regel entspricht und den konfigurierten Schwellenwert überschreitet. Weitere Informationen finden Sie in der Übersicht zur Ratenbegrenzung.

Konfigurieren benutzerdefinierter Ratenbegrenzungsregeln

Verwenden Sie die folgenden Informationen, um Ratenbegrenzungsregeln für Application Gateway WAFv2 zu konfigurieren.

Szenario 1: Erstellen Sie eine Regel zur Ratenbegrenzung des Datenverkehrs nach Client-IP-Adressen, der den konfigurierten Schwellenwert überschreitet. Dabei wird der gesamte Datenverkehr abgeglichen.

Portal

1. Öffnen Sie eine vorhandene Application Gateway WAF-Richtlinie.
2. Wählen Sie „Benutzerdefinierte Regeln“ aus.
3. Fügen Sie eine benutzerdefinierte Regel hinzu.
4. Fügen Sie einen Namen für die benutzerdefinierte Regel hinzu.
5. Wählen Sie das Optionsfeld für den Typ der Ratenbegrenzungsregel aus.
6. Geben Sie eine Priorität für die Regel ein.
7. Wählen Sie „1 Minute“ für „Dauer der Ratenbegrenzung“ aus.
8. Geben Sie für den Schwellenwert der Ratenbegrenzung (Anforderungen) „200“ ein.
9. Wählen Sie die Clientadresse für „Ratenbegrenzung für Datenverkehr gruppieren nach“ aus.
10. Wählen Sie unter „Bedingungen“ die Option „IP-Adresse“ für „Übereinstimmungstyp“ aus.
11. Wählen Sie unter „Vorgang“ das Optionsfeld „Enthält nicht“ aus.
12. Geben Sie als Übereinstimmungsbedingung für die IP-Adresse oder den IP-Bereich 255.255.255.255.255/32 ein.
13. Übernehmen Sie die Aktionseinstellung „Datenverkehr ablehnen“
14. Wählen Sie „Hinzufügen“ aus, um die benutzerdefinierte Regel zur Richtlinie hinzuzufügen.
15. Wählen Sie „Speichern“ aus, um die Konfiguration zu speichern und die benutzerdefinierte Regel für die WAF-Richtlinie zu aktivieren.

PowerShell

$variable = New-AzApplicationGatewayFirewallMatchVariable -VariableName RemoteAddr 
$condition = New-AzApplicationGatewayFirewallCondition -MatchVariable $variable -Operator IPMatch -MatchValue 255.255.255.255/32 -NegationCondition $True      
$groupByVariable = New-AzApplicationGatewayFirewallCustomRuleGroupByVariable -VariableName ClientAddr      
$groupByUserSession = New-AzApplicationGatewayFirewallCustomRuleGroupByUserSession -GroupByVariable $groupByVariable
$ratelimitrule = New-AzApplicationGatewayFirewallCustomRule -Name ClientIPRateLimitRule -Priority 90 -RateLimitDuration OneMin -RateLimitThreshold 100 -RuleType RateLimitRule -MatchCondition $condition -GroupByUserSession $groupByUserSession -Action Block -State Enabled 

BEFEHLSZEILENSCHNITTSTELLE (CLI)

az network application-gateway waf-policy custom-rule create --policy-name ExamplePolicy --resource-group ExampleRG --action Block --name ClientIPRateLimitRule --priority 90 --rule-type RateLimitRule --rate-limit-threshold 100 --group-by-user-session '[{'"groupByVariables"':[{'"variableName"':'"ClientAddr"'}]}]'
az network application-gateway waf-policy custom-rule match-condition add --match-variables RemoteAddr --operator IPMatch --policy-name ExamplePolicy --name ClientIPRateLimitRule --resource-group ExampleRG --value 255.255.255.255/32 --negate true

Szenario 2: Erstellen Sie eine benutzerdefinierte Ratenbegrenzungsregel, die den gesamten Datenverkehr mit Ausnahme des Datenverkehrs abgleicht, der aus den USA stammt. Der Datenverkehr wird basierend auf dem geografischen Standort der IP-Quelladresse des Clients gruppiert, gezählt und begrenzt.

Portal

1. Öffnen Sie eine vorhandene Application Gateway WAF-Richtlinie.
2. Wählen Sie „Benutzerdefinierte Regeln“ aus.
3. Fügen Sie eine benutzerdefinierte Regel hinzu.
4. Fügen Sie einen Namen für die benutzerdefinierte Regel hinzu.
5. Wählen Sie das Optionsfeld für den Typ der Ratenbegrenzungsregel aus.
6. Geben Sie eine Priorität für die Regel ein.
7. Wählen Sie „1 Minute“ für „Dauer der Ratenbegrenzung“ aus.
8. Geben Sie für den Schwellenwert der Ratenbegrenzung (Anforderungen) „500“ ein.
9. Wählen Sie den geografischen Standort für „Ratenbegrenzung für Datenverkehr gruppieren nach“ aus.
10. Wählen Sie unter „Bedingungen“ die Option „Geografischer Standort“ für „Übereinstimmungstyp“ aus.
11. Wählen Sie im Abschnitt „Übereinstimmungsvariablen“ unter „Übereinstimmungsvariable“ die Option „RemoteAddr“ aus.
12. Wählen Sie für den Vorgang das Optionsfeld „Ist nicht“ aus.
13. Wählen Sie „USA“ für „Land/Region“ aus.
14. Übernehmen Sie die Aktionseinstellung „Datenverkehr ablehnen“
15. Wählen Sie „Hinzufügen“ aus, um die benutzerdefinierte Regel zur Richtlinie hinzuzufügen.
16. Wählen Sie „Speichern“ aus, um die Konfiguration zu speichern und die benutzerdefinierte Regel für die WAF-Richtlinie zu aktivieren.

PowerShell

$variable = New-AzApplicationGatewayFirewallMatchVariable -VariableName RemoteAddr 
$condition = New-AzApplicationGatewayFirewallCondition -MatchVariable $variable -Operator GeoMatch -MatchValue "US" -NegationCondition $True
$groupByVariable = New-AzApplicationGatewayFirewallCustomRuleGroupByVariablde -VariableName GeoLocation 
$groupByUserSession = New-AzApplicationGatewayFirewallCustomRuleGroupByUserSession -GroupByVariable $groupByVariable 
$ratelimitrule = New-AzApplicationGatewayFirewallCustomRule -Name GeoRateLimitRule -Priority 95 -RateLimitDuration OneMin -RateLimitThreshold 500 -RuleType RateLimitRule -MatchCondition $condition -GroupByUserSession $groupByUserSession -Action Block -State Enabled  

BEFEHLSZEILENSCHNITTSTELLE (CLI)

az network application-gateway waf-policy custom-rule create --policy-name ExamplePolicy --resource-group ExampleRG --action Block --name GeoRateLimitRule --priority 95 --rule-type RateLimitRule --rate-limit-threshold 500 --group-by-user-session '[{'"groupByVariables"':[{'"variableName"':'"GeoLocation"'}]}]'
az network application-gateway waf-policy custom-rule match-condition add --match-variables RemoteAddr --operator GeoMatch --policy-name ExamplePolicy --name GeoRateLimitRule --resource-group ExampleRG --value US --negate true

Szenario 3: Erstellen Sie eine benutzerdefinierte Ratenbegrenzungsregel, die den gesamten Datenverkehr für die Anmeldeseite abgleicht und die Variable „GroupBy None“ verwendet. Dadurch wird der gesamte Datenverkehr, der mit der Regel übereinstimmt, gruppiert und gezählt, und die Aktion wird auf den gesamten Datenverkehr angewendet, der mit der Regel (/login) übereinstimmt.

Portal

1. Öffnen Sie eine vorhandene Application Gateway WAF-Richtlinie.
2. Wählen Sie „Benutzerdefinierte Regeln“ aus.
3. Fügen Sie eine benutzerdefinierte Regel hinzu.
4. Fügen Sie einen Namen für die benutzerdefinierte Regel hinzu.
5. Wählen Sie das Optionsfeld für den Typ der Ratenbegrenzungsregel aus.
6. Geben Sie eine Priorität für die Regel ein.
7. Wählen Sie „1 Minute“ für „Dauer der Ratenbegrenzung“ aus.
8. Geben Sie für den Schwellenwert der Ratenbegrenzung (Anforderungen) „100“ ein.
9. Wählen Sie „Keine“ für „Ratenbegrenzung für Datenverkehr gruppieren nach“ aus.
10. Wählen Sie unter „Bedingungen“ die Option „Zeichenfolge“ für „Übereinstimmungstyp“ aus.
11. Wählen Sie im Abschnitt „Übereinstimmungsvariablen“ unter „Übereinstimmungsvariable“ die Option „RequestUri“ aus.
12. Wählen Sie für den Vorgang das Optionsfeld „Ist nicht“ aus.
13. Wählen Sie als Operator „Enthält“ aus.
14. Geben Sie den Pfad der Anmeldeseite für den Übereinstimmungswert ein. In diesem Beispiel wird „/login“ verwendet.
15. Übernehmen Sie die Aktionseinstellung „Datenverkehr ablehnen“
16. Wählen Sie „Hinzufügen“ aus, um die benutzerdefinierte Regel zur Richtlinie hinzuzufügen.
17. Wählen Sie „Speichern“ aus, um die Konfiguration zu speichern und die benutzerdefinierte Regel für die WAF-Richtlinie zu aktivieren.

PowerShell

$variable = New-AzApplicationGatewayFirewallMatchVariable -VariableName RequestUri  
$condition = New-AzApplicationGatewayFirewallCondition -MatchVariable $variable -Operator Contains -MatchValue "/login" -NegationCondition $True  
$groupByVariable = New-AzApplicationGatewayFirewallCustomRuleGroupByVariable -VariableName None       
$groupByUserSession = New-AzApplicationGatewayFirewallCustomRuleGroupByUserSession -GroupByVariable $groupByVariable 
$ratelimitrule = New-AzApplicationGatewayFirewallCustomRule -Name LoginRateLimitRule -Priority 99 -RateLimitDuration OneMin -RateLimitThreshold 100 -RuleType RateLimitRule -MatchCondition $condition -GroupByUserSession $groupByUserSession -Action Block -State Enabled 

BEFEHLSZEILENSCHNITTSTELLE (CLI)

az network application-gateway waf-policy custom-rule create --policy-name ExamplePolicy --resource-group ExampleRG --action Block --name LoginRateLimitRule --priority 99 --rule-type RateLimitRule --rate-limit-threshold 100 --group-by-user-session '[{'"groupByVariables"':[{'"variableName"':'"None"'}]}]'
az network application-gateway waf-policy custom-rule match-condition add --match-variables RequestUri --operator Contains --policy-name ExamplePolicy --name LoginRateLimitRule --resource-group ExampleRG --value '/login'

Nächste Schritte

Anpassen von Web Application Firewall-Regeln mit dem Azure-Portal