适用于: ✔️应用程序网关 V2
通过速率限制,您可以检测并阻止发往您的应用程序的异常高流量。 速率限制的工作原理是:统计所有与已配置的速率限制规则匹配的流量,并对匹配该规则且超出已配置阈值的流量执行已配置的操作。 有关详细信息,请参阅速率限制概述。
使用以下信息为应用程序网关 WAFv2 配置速率限制规则。
方案一 - 创建一条规则,对超过已配置阈值的客户端 IP 流量进行速率限制,并匹配所有流量。
- 打开现有的应用程序网关 WAF 策略。
- 选择 “自定义规则”。
- 选择 “添加自定义规则”。
- 键入自定义规则的名称。
- 对于 规则类型,请选择 “速率限制”。
- 键入规则的 优先级 。
- 为速率限制持续时间选择 1 分钟。
- 为速率限制阈值(请求)输入200。
- 选择客户端地址作为对速率限制流量进行分组的依据。
- 在“条件”下,为匹配类型选择 IP 地址。
- 对于 操作,请选择 “不包含”。
- 对于匹配条件,请在 IP 地址或范围下键入 255.255.255.255/32。
- 将操作设置保留为 “拒绝流量”。
- 选择 “添加” ,将自定义规则添加到策略。
- 选择 “保存” 以保存配置,并使自定义规则对 WAF 策略处于活动状态。
$variable = New-AzApplicationGatewayFirewallMatchVariable -VariableName RemoteAddr
$condition = New-AzApplicationGatewayFirewallCondition -MatchVariable $variable -Operator IPMatch -MatchValue 255.255.255.255/32 -NegationCondition $True
$groupByVariable = New-AzApplicationGatewayFirewallCustomRuleGroupByVariable -VariableName ClientAddr
$groupByUserSession = New-AzApplicationGatewayFirewallCustomRuleGroupByUserSession -GroupByVariable $groupByVariable
$ratelimitrule = New-AzApplicationGatewayFirewallCustomRule -Name ClientIPRateLimitRule -Priority 90 -RateLimitDuration OneMin -RateLimitThreshold 100 -RuleType RateLimitRule -MatchCondition $condition -GroupByUserSession $groupByUserSession -Action Block -State Enabled
az network application-gateway waf-policy custom-rule create --policy-name ExamplePolicy --resource-group ExampleRG --action Block --name ClientIPRateLimitRule --priority 90 --rule-type RateLimitRule --rate-limit-threshold 100 --group-by-user-session '[{'"groupByVariables"':[{'"variableName"':'"ClientAddr"'}]}]'
az network application-gateway waf-policy custom-rule match-condition add --match-variables RemoteAddr --operator IPMatch --policy-name ExamplePolicy --name ClientIPRateLimitRule --resource-group ExampleRG --value 255.255.255.255/32 --negate true
方案二 - 创建速率限制自定义规则以匹配所有流量,但源自美国的流量除外。 根据客户端源 IP 地址的地理位置对流量进行分组、计数和速率限制
- 打开现有的应用程序网关 WAF 策略。
- 选择 “自定义规则”。
- 选择 “添加自定义规则”。
- 键入自定义规则的名称。
- 对于 规则类型,请选择 “速率限制”。
- 键入规则的 优先级 。
- 为速率限制持续时间选择 1 分钟。
- 为速率限制阈值(请求)输入500。
- 为速率限制流量分组依据选择地理位置。
- 在“条件”下,选择“匹配”类型的地理位置。
- 在“匹配变量”部分中,为“匹配变量”选择“RemoteAddr”。
- 为 操作 选择 “不是”。
- 为国家/地区选择“美国”。
- 将操作设置保持为 拒绝流量。
- 选择 “添加” ,将自定义规则添加到策略。
- 选择 “保存” 以保存配置,并使自定义规则对 WAF 策略处于活动状态。
$variable = New-AzApplicationGatewayFirewallMatchVariable -VariableName RemoteAddr
$condition = New-AzApplicationGatewayFirewallCondition -MatchVariable $variable -Operator GeoMatch -MatchValue "US" -NegationCondition $True
$groupByVariable = New-AzApplicationGatewayFirewallCustomRuleGroupByVariable -VariableName GeoLocation
$groupByUserSession = New-AzApplicationGatewayFirewallCustomRuleGroupByUserSession -GroupByVariable $groupByVariable
$ratelimitrule = New-AzApplicationGatewayFirewallCustomRule -Name GeoRateLimitRule -Priority 95 -RateLimitDuration OneMin -RateLimitThreshold 500 -RuleType RateLimitRule -MatchCondition $condition -GroupByUserSession $groupByUserSession -Action Block -State Enabled
az network application-gateway waf-policy custom-rule create --policy-name ExamplePolicy --resource-group ExampleRG --action Block --name GeoRateLimitRule --priority 95 --rule-type RateLimitRule --rate-limit-threshold 500 --group-by-user-session '[{'"groupByVariables"':[{'"variableName"':'"GeoLocation"'}]}]'
az network application-gateway waf-policy custom-rule match-condition add --match-variables RemoteAddr --operator GeoMatch --policy-name ExamplePolicy --name GeoRateLimitRule --resource-group ExampleRG --value US --negate true
方案三 - 创建速率限制自定义规则,匹配登录页的所有流量,并使用 GroupBy None 变量。 这将把所有匹配该规则(/login)的流量视为一个整体进行分组和计数,并将该操作应用于所有匹配该规则的流量。
- 打开现有的应用程序网关 WAF 策略。
- 选择 “自定义规则”。
- 选择 “添加自定义规则”。
- 键入自定义规则的名称。
- 对于 规则类型,请选择 “速率限制”。
- 键入规则的 优先级 。
- 为速率限制持续时间选择 1 分钟。
- 为速率限制阈值(请求)输入100。
- 对于组速率限制流量,请选择“无”。
- 在“条件”下,为匹配类型选择“字符串”。
- 在“Match 变量”部分中,为 Match 变量选择 RequestUri。
- 选择是用于操作。
- 对于 运算符 ,请选择 “包含”。
- 选择转换是可选的。
- 输入匹配值的登录页路径。 在此示例中,我们使用 /login。
- 将操作设置保持为 拒绝流量。
- 选择 “添加 ”以将自定义规则添加到策略
- 选择 “保存” 以保存配置,并使自定义规则对 WAF 策略处于活动状态。
$variable = New-AzApplicationGatewayFirewallMatchVariable -VariableName RequestUri
$condition = New-AzApplicationGatewayFirewallCondition -MatchVariable $variable -Operator Contains -MatchValue "/login" -NegationCondition $True
$groupByVariable = New-AzApplicationGatewayFirewallCustomRuleGroupByVariable -VariableName None
$groupByUserSession = New-AzApplicationGatewayFirewallCustomRuleGroupByUserSession -GroupByVariable $groupByVariable
$ratelimitrule = New-AzApplicationGatewayFirewallCustomRule -Name LoginRateLimitRule -Priority 99 -RateLimitDuration OneMin -RateLimitThreshold 100 -RuleType RateLimitRule -MatchCondition $condition -GroupByUserSession $groupByUserSession -Action Block -State Enabled
az network application-gateway waf-policy custom-rule create --policy-name ExamplePolicy --resource-group ExampleRG --action Block --name LoginRateLimitRule --priority 99 --rule-type RateLimitRule --rate-limit-threshold 100 --group-by-user-session '[{'"groupByVariables"':[{'"variableName"':'"None"'}]}]'
az network application-gateway waf-policy custom-rule match-condition add --match-variables RequestUri --operator Contains --policy-name ExamplePolicy --name LoginRateLimitRule --resource-group ExampleRG --value '/login'
后续步骤
自定义 Web 应用程序防火墙规则