Che cos'è la limitazione della velocità per il Web Application Firewall nel Gateway Applicazione?

La limitazione della frequenza per il Web Application Firewall su Application Gateway consente di rilevare e bloccare livelli di traffico insolitamente elevati destinati alla tua applicazione. Usando la limitazione della frequenza in WAF v2 del gateway applicazione, è possibile mitigare molti tipi di attacchi Denial of Service, proteggersi dai client che sono stati configurati in modo errato per inviare grandi volumi di richieste in un breve periodo di tempo o controllare le velocità di traffico verso il sito da aree geografiche specifiche.

Criteri di limitazione della velocità

La limitazione della frequenza viene configurata utilizzando regole WAF personalizzate in una policy.

Quando si configura una regola di limite di velocità, è necessario specificare la soglia, ovvero il numero di richieste consentite entro il periodo di tempo specificato. La limitazione di frequenza su Application Gateway WAF v2 utilizza un algoritmo di finestra scorrevole per determinare quando il traffico ha superato la soglia e deve essere bloccato. Durante la prima finestra in cui viene superata la soglia per la regola, viene eliminato tutto il traffico corrispondente alla regola del limite di velocità. A partire dalla seconda finestra, il traffico fino alla soglia prevista dalla finestra configurata è consentito, comportando un effetto di limitazione.

È inoltre necessario specificare una condizione di corrispondenza, che indica al WAF quando attivare il limite di frequenza. È possibile configurare più regole di limite di velocità che corrispondono a variabili e percorsi diversi all'interno della policy.

Anche il gateway applicativo WAF v2 introduce un GroupByUserSession, che deve essere configurato. GroupByUserSession specifica il modo in cui le richieste vengono raggruppate e conteggiate per una regola di limite di frequenza corrispondente.

Attualmente sono disponibili le tre GroupByVariables seguenti:

• ClientAddr : questa è l'impostazione predefinita e significa che ogni soglia di limite di velocità e mitigazione si applica in modo indipendente a ogni indirizzo IP di origine univoco.
• Geolocalizzazione : il traffico viene raggruppato in base all'area geografica in base a un Geo-Match sull'indirizzo IP del client. Pertanto, per una regola di limite di velocità, il traffico proveniente dalla stessa area geografica viene raggruppato.
• Nessuno : tutto il traffico viene raggruppato e conteggiato in base alla soglia della regola del limite di velocità. Quando la soglia viene superata, l'azione viene attivata su tutto il traffico corrispondente alla regola e non mantiene contatori indipendenti per ogni indirizzo IP client o area geografica. È consigliabile usare Nessuno con condizioni di corrispondenza specifiche, ad esempio una pagina di accesso o un elenco di User-Agent sospetti.

Dettagli sulla limitazione della frequenza

Le soglie del limite di velocità configurate vengono conteggiate e monitorate indipendentemente per ogni endpoint a cui è associato il criterio del Web Application Firewall. Ad esempio, un singolo criterio WAF collegato a cinque listener diversi mantiene contatori indipendenti e l'applicazione delle soglie per ognuno dei listener.

Le soglie del limite di velocità non vengono sempre applicate esattamente come definito, quindi non devono essere usate per il controllo granulare del traffico dell'applicazione. È invece consigliata per mitigare le velocità anomale del traffico e per mantenere la disponibilità delle applicazioni.

L'algoritmo della finestra scorrevole blocca tutto il traffico corrispondente per la prima finestra in cui viene superata la soglia e quindi limita il traffico nelle finestre future. Prestare attenzione quando si definiscono le soglie per la configurazione delle regole di corrispondenza estesa con GeoLocation o None come GroupByVariables. Soglie configurate in modo errato potrebbero causare frequenti interruzioni brevi per il traffico corrispondente.

Passo successivo