Поделиться через


Что такое ограничение скорости для Брандмауэр веб-приложений на Шлюз приложений?

Ограничение скорости для Брандмауэр веб-приложений на Шлюз приложений позволяет обнаруживать и блокировать ненормально высокий уровень трафика, предназначенный для вашего приложения. Используя ограничение скорости на Шлюз приложений WAF_v2, вы можете устранить многие типы атак типа "отказ в обслуживании", защитить от клиентов, которые случайно были неправильно настроены для отправки больших объемов запросов за короткий период времени, или управлять скоростями трафика на ваш сайт из определенных географических регионов.

Политики ограничения скорости

Ограничение скорости настраивается с помощью пользовательских правил WAF в политике.

Примечание.

Правила ограничения скорости поддерживаются только в Брандмауэр веб-приложений, на которых запущен последний модуль WAF. Чтобы убедиться, что вы используете последнюю версию подсистемы, выберите CRS 3.2 для набора правил по умолчанию.

При настройке правила ограничения скорости необходимо указать пороговое значение: количество запросов, разрешенных в течение указанного периода времени. Ограничение скорости на Шлюз приложений WAF_v2 использует алгоритм скользящего окна, чтобы определить, когда трафик нарушил пороговое значение и должен быть удален. Во время первого окна, когда пороговое значение правила нарушается, все больше трафика, соответствующего правилу ограничения скорости, удаляется. Во втором окне трафик до порогового значения в настроенном окне допускается, создавая эффект регулирования.

Необходимо также указать условие соответствия, указывающее WAF при активации ограничения скорости. Можно настроить несколько правил ограничения скорости, которые соответствуют различным переменным и путям в политике.

Шлюз приложений WAF_v2 также представляет собой GroupByUserSession, который необходимо настроить. GroupByUserSession указывает, как группируются и учитываются запросы для правила ограничения скорости сопоставления.

В настоящее время доступны следующие три группы GroupByVariable:

  • ClientAddr — это параметр по умолчанию, и это означает, что каждое пороговое значение ограничения скорости и устранение рисков применяется независимо к каждому уникальному исходному IP-адресу.
  • GeoLocation — трафик группируется по географическому расположению на основе географического сопоставления по IP-адресу клиента. Поэтому для правила ограничения скорости трафик из одной географической области сгруппирован вместе.
  • Нет . Весь трафик сгруппирован и учитывается в пороговое значение правила ограничения скорости. Если пороговое значение нарушено, действие активируется для всех трафика, соответствующего правилу, и не поддерживает независимые счетчики для каждого IP-адреса или географического адреса клиента. Рекомендуется использовать None с определенными условиями соответствия, такими как страница входа или список подозрительных агентов пользователей.

Сведения об ограничении скорости

Пороговые значения настроенного ограничения скорости учитываются и отслеживаются независимо для каждой конечной точки, к Брандмауэр веб-приложений подключена политика. Например, одна политика WAF, присоединенная к пяти разным прослушивателям, поддерживает независимые счетчики и принудительное применение пороговых значений для каждого прослушивателя.

Пороговые значения ограничения скорости не всегда применяются точно так же, как определено, поэтому его не следует использовать для точного управления трафиком приложения. Вместо этого рекомендуется смягчить аномальные показатели трафика и поддерживать доступность приложений.

Алгоритм скользящего окна блокирует весь соответствующий трафик для первого окна, в котором превышен порог, а затем регулирует трафик в будущих окнах. Используйте осторожность при определении пороговых значений для настройки правил с широким соответствием с помощью GeoLocation или None в качестве groupByVariables. Неправильно настроенные пороговые значения могут привести к частым коротким сбоям для сопоставления трафика.

Следующий шаг