Создание настраиваемых правил ограничения скорости для Шлюз приложений WAF версии 2

Статья
11/08/2023

Ограничение скорости позволяет обнаруживать и блокировать ненормально высокий уровень трафика, предназначенный для приложения. Ограничение скорости работает путем подсчета всего трафика, соответствующего заданному правилу ограничения скорости, и выполнения настроенного действия для сопоставления трафика, которое превышает настроенное пороговое значение. Дополнительные сведения см. в обзоре ограничения скорости.

Настройка настраиваемых правил ограничения скорости

Используйте следующие сведения, чтобы настроить правила ограничения скорости для Шлюз приложений WAFv2.

Сценарий. Создайте правило для ограничения трафика по IP-адресу клиента, превышающего заданное пороговое значение, соответствующее всему трафику.

Открытие существующей политики WAF Шлюз приложений
Выбор настраиваемых правил
Добавление настраиваемого правила
Добавление имени настраиваемого правила
Переключатель "Тип правила ограничения скорости"
Введите приоритет для правила
Выберите 1 минуту для длительности ограничения скорости
Введите 200 для порогового значения ограничения скорости (запросы)
Выбор адреса клиента для ограничения скорости групп по трафику
В разделе "Условия" выберите IP-адрес для типа соответствия
Для операции выберите переключатель "Не содержит"
В качестве условия соответствия в разделе IP-адрес или диапазон введите 255.255.255.255/32
Оставьте параметр действия для запрета трафика
Нажмите кнопку "Добавить", чтобы добавить настраиваемое правило в политику
Нажмите кнопку "Сохранить", чтобы сохранить конфигурацию и сделать настраиваемое правило активным для политики WAF.

$variable = New-AzApplicationGatewayFirewallMatchVariable -VariableName RemoteAddr 
$condition = New-AzApplicationGatewayFirewallCondition -MatchVariable $variable -Operator IPMatch -MatchValue 255.255.255.255/32 -NegationCondition $True      
$groupByVariable = New-AzApplicationGatewayFirewallCustomRuleGroupByVariable -VariableName ClientAddr      
$groupByUserSession = New-AzApplicationGatewayFirewallCustomRuleGroupByUserSession -GroupByVariable $groupByVariable
$ratelimitrule = New-AzApplicationGatewayFirewallCustomRule -Name ClientIPRateLimitRule -Priority 90 -RateLimitDuration OneMin -RateLimitThreshold 100 -RuleType RateLimitRule -MatchCondition $condition -GroupByUserSession $groupByUserSession -Action Block -State Enabled

az network application-gateway waf-policy custom-rule create --policy-name ExamplePolicy --resource-group ExampleRG --action Block --name ClientIPRateLimitRule --priority 90 --rule-type RateLimitRule --rate-limit-threshold 100 --group-by-user-session '[{'"groupByVariables"':[{'"variableName"':'"ClientAddr"'}]}]'
az network application-gateway waf-policy custom-rule match-condition add --match-variables RemoteAddr --operator IPMatch --policy-name ExamplePolicy --name ClientIPRateLimitRule --resource-group ExampleRG --value 255.255.255.255/32 --negate true

Сценарий Два. Создание настраиваемого правила ограничения скорости для сопоставления всего трафика, за исключением трафика, исходя из США. Трафик будет сгруппирован, подсчитывается и ограничена скоростью на основе географического расположения IP-адреса источника клиента.

Открытие существующей политики WAF Шлюз приложений
Выбор настраиваемых правил
Добавление настраиваемого правила
Добавление имени настраиваемого правила
Переключатель "Тип правила ограничения скорости"
Введите приоритет для правила
Выберите 1 минуту для длительности ограничения скорости
Введите 500 для порогового значения ограничения скорости (запросы)
Выбор географического расположения для ограничения скорости групп по трафику
В разделе "Условия" выберите географическое расположение для типа соответствия
В разделе "Совпадение переменных" выберите RemoteAddr для переменной Match
Выберите переключатель "Не является" для операции
Выберите США для страны или региона
Оставьте параметр действия для запрета трафика
Нажмите кнопку "Добавить", чтобы добавить настраиваемое правило в политику
Нажмите кнопку "Сохранить", чтобы сохранить конфигурацию и сделать настраиваемое правило активным для политики WAF.

$variable = New-AzApplicationGatewayFirewallMatchVariable -VariableName RemoteAddr 
$condition = New-AzApplicationGatewayFirewallCondition -MatchVariable $variable -Operator GeoMatch -MatchValue "US" -NegationCondition $True
$groupByVariable = New-AzApplicationGatewayFirewallCustomRuleGroupByVariablde -VariableName GeoLocation 
$groupByUserSession = New-AzApplicationGatewayFirewallCustomRuleGroupByUserSession -GroupByVariable $groupByVariable 
$ratelimitrule = New-AzApplicationGatewayFirewallCustomRule -Name GeoRateLimitRule -Priority 95 -RateLimitDuration OneMin -RateLimitThreshold 500 -RuleType RateLimitRule -MatchCondition $condition -GroupByUserSession $groupByUserSession -Action Block -State Enabled

az network application-gateway waf-policy custom-rule create --policy-name ExamplePolicy --resource-group ExampleRG --action Block --name GeoRateLimitRule --priority 95 --rule-type RateLimitRule --rate-limit-threshold 500 --group-by-user-session '[{'"groupByVariables"':[{'"variableName"':'"GeoLocation"'}]}]'
az network application-gateway waf-policy custom-rule match-condition add --match-variables RemoteAddr --operator GeoMatch --policy-name ExamplePolicy --name GeoRateLimitRule --resource-group ExampleRG --value US --negate true

Сценарий 3 . Создание настраиваемого правила ограничения скорости, соответствующего всему трафику страницы входа и использованию переменной GroupBy None. Это будет группировать и подсчитывать весь трафик, соответствующий правилу как одному, и применять действие ко всему трафику, соответствующему правилу (/login).

Открытие существующей политики WAF Шлюз приложений
Выбор настраиваемых правил
Добавление настраиваемого правила
Добавление имени настраиваемого правила
Переключатель "Тип правила ограничения скорости"
Введите приоритет для правила
Выберите 1 минуту для длительности ограничения скорости
Введите 100 для порогового значения ограничения скорости (запросы)
Выберите "Нет" для ограничения скорости группы по трафику
В разделе "Условия" выберите "Строка для типа соответствия"
В разделе "Переменные сопоставления" выберите RequestUri для переменной Match
Выберите переключатель "Не является" для операции
Для выбора оператора содержится
Введите путь страницы входа для сопоставления значения. В этом примере мы используем /login
Оставьте параметр действия для запрета трафика
Нажмите кнопку "Добавить", чтобы добавить настраиваемое правило в политику
Нажмите кнопку "Сохранить", чтобы сохранить конфигурацию и сделать настраиваемое правило активным для политики WAF.

$variable = New-AzApplicationGatewayFirewallMatchVariable -VariableName RequestUri  
$condition = New-AzApplicationGatewayFirewallCondition -MatchVariable $variable -Operator Contains -MatchValue "/login" -NegationCondition $True  
$groupByVariable = New-AzApplicationGatewayFirewallCustomRuleGroupByVariable -VariableName None       
$groupByUserSession = New-AzApplicationGatewayFirewallCustomRuleGroupByUserSession -GroupByVariable $groupByVariable 
$ratelimitrule = New-AzApplicationGatewayFirewallCustomRule -Name LoginRateLimitRule -Priority 99 -RateLimitDuration OneMin -RateLimitThreshold 100 -RuleType RateLimitRule -MatchCondition $condition -GroupByUserSession $groupByUserSession -Action Block -State Enabled

az network application-gateway waf-policy custom-rule create --policy-name ExamplePolicy --resource-group ExampleRG --action Block --name LoginRateLimitRule --priority 99 --rule-type RateLimitRule --rate-limit-threshold 100 --group-by-user-session '[{'"groupByVariables"':[{'"variableName"':'"None"'}]}]'
az network application-gateway waf-policy custom-rule match-condition add --match-variables RequestUri --operator Contains --policy-name ExamplePolicy --name LoginRateLimitRule --resource-group ExampleRG --value '/login'

Следующие шаги

Настройка правил брандмауэра веб-приложения

Создание настраиваемых правил ограничения скорости для Шлюз приложений WAF версии 2

Настройка настраиваемых правил ограничения скорости

Следующие шаги

Дополнительные ресурсы