重要
Azure 应用程序网关 Web 应用程序防火墙 (WAF) v2 中的 Microsoft HTTP DDoS 规则集目前为预览版。 有关适用于 Beta 版、预览版或尚未正式发布的 Azure 功能的法律条款,请参阅 Azure 预览版补充使用条款 。
HTTP 层洪水仍然是应用程序可用性事件的最频繁驱动因素,静态控制(IP/地理筛选器、固定速率限制)通常无法跟上分布式僵尸网络的速度。 新的 HTTP DDoS 规则集是 Azure Web 应用程序防火墙(WAF)的第一个自动化第 7 层保护模型,该模型通过最少的用户配置来学习、检测和防御。 分配后,规则集会持续建立每个应用程序网关正常流量的基准,当流量激增指示攻击时,有选择地阻止恶意客户,无需进行应急调整。
HTTP DDoS 规则集的工作原理
将 HTTP DDoS 规则集应用于附加到网关的策略后,至少会学习流量基线 24 小时。 规则集在完成 24 小时学习阶段之前不会检测或阻止攻击。
请求阈值在全局网关的层面被学习。 如果将配置了 HTTP DDoS 规则集的单个 WAF 策略分配给多个网关,则会为策略附加到的每个网关单独计算流量阈值。
HTTP DDoS 规则集了解全局网关阈值和基于 IP 的单个阈值。 仅当请求超出全局网关阈值时,才实施基于 IP 的阈值。 一旦突破网关阈值,任何超出其学习基线的 IP 地址都会被放置在惩罚区域。 此设计可确保当网关的总请求速率未超过阈值时,规则集不会因单个 IP 地址的流量剧增而采取阻止措施。
HTTP DDoS 规则集中的每个规则都提供三个敏感度级别,每个级别对应于不同的阈值。 较高的敏感度设置为该规则应用较低的阈值,而较低的敏感度设置则应用更高的阈值。 中等敏感度是默认设置和建议的设置。
HTTP DDoS 规则集是 Azure WAF 评估的第一个规则集,甚至在自定义规则之前也是如此。
重要
使用 “允许” 作配置的任何自定义规则都不会绕过 HTTP DDoS 规则集,但会绕过所有其他 WAF 检查。
规则集规则
HTTP DDoS 规则集目前有两个规则,每个规则都可以使用不同的敏感度和作设置进行配置。 每个规则为符合规则条件的流量维护不同的流量基线。
规则 500100:检测到客户端请求速率过高的异常: 此规则跟踪并建立附加到策略的应用程序网关上所有流量的基线。 当客户端超过已建立的阈值时,它将放置在处罚框中,并被阻止在定义的时间(15 分钟)。
规则 501100:可疑机器人发送高请求率: 此规则根据Microsoft威胁情报跟踪和建立来自可疑机器人的流量的基线。 通常,此流量的阈值比规则 500100 中的流量阈值要严格得多。 当机器人的请求超过已建立的阈值时,它会被放置在惩罚区,并在定义的时间(15分钟)内被阻止。 当全局网关阈值被突破时,此规则将立即阻止被归类为高风险的机器人。
点球框
一旦来自客户端的流量超过 HTTP DDoS 规则集中其中一个规则的阈值,它们就会在一段时间内(15 分钟)置于惩罚框中,在此期间,客户端 IP 会被 WAF 阻止。 当处罚时间结束时,IP 将被允许访问该站点,除非它再次超过阈值,这将导致其回到处罚框。
当 IP 地址超过阈值时,将记录 HTTP DDoS 规则集的规则命中,并将该 IP 置于处罚框中。 该 IP 处于罚单期间的额外拦截未被记录。
监视 HTTP DDoS 规则集
- ** 当 IP 地址超过阈值时,日志条目会记录为 HTTP DDoS 规则集的 阻止 动作,并且 WAF 托管规则匹配指标增加 1。 记录来自惩罚区中 IP 的每个后续阻止请求,并递增 WAF 托管规则匹配指标。
- 还为 Azure Monitor 引入了两个新指标:惩罚框大小和惩罚框块。 这些指标跟踪当前处于禁区的 IP 数量以及由于处于禁区的 IP 而发生的封锁数量。
局限性
在预览期间,无法让来自特定 IP 地址的流量绕过 DDoS 规则集或处罚框。