Что такое ограничение скорости для брандмауэра веб-приложений в шлюзе приложений?

Ограничение скорости брандмауэра веб-приложений в шлюзе приложений позволяет обнаруживать и блокировать ненормально высокий уровень трафика, предназначенный для приложения. Используя ограничение скорости для шлюза приложений WAF_v2, вы можете устранить множество типов атак типа "отказ в обслуживании", защитить от клиентов, которые случайно были неправильно настроены для отправки больших объемов запросов за короткий период времени или контролировать частоту трафика на ваш сайт из определенных географических регионов.

Политики ограничения скорости

Ограничение скорости настраивается с помощью пользовательских правил WAF в политике.

При настройке правила ограничения скорости необходимо указать пороговое значение: количество запросов, разрешенных в течение указанного периода времени. Ограничение скорости для шлюза приложений WAF_v2 использует алгоритм скользящего окна, чтобы определить, когда трафик нарушил пороговое значение и должен быть удален. Во время первого окна, когда пороговое значение правила нарушается, все больше трафика, соответствующего правилу ограничения скорости, удаляется. Начиная со второго окна, трафик до порогового значения в пределах настроенного окна допускается, что создает эффект ограничения.

Необходимо также указать условие соответствия, которое указывает WAF, когда активировать ограничение скорости. Можно настроить несколько правил ограничения скорости, которые соответствуют различным переменным и путям в политике.

Шлюз приложений WAF_v2 также вводит GroupByUserSession, который необходимо настроить. GroupByUserSession указывает, как группируются и учитываются запросы для правила ограничения скорости сопоставления.

В настоящее время доступны следующие три GroupByVariables:

• ClientAddr — это параметр по умолчанию, и это означает, что каждое пороговое значение ограничения скорости и устранение рисков применяется независимо к каждому уникальному исходному IP-адресу.
• GeoLocation — трафик группируется по их географическому расположению на основе Geo-Match на IP-адресе клиента. Поэтому для правила ограничения скорости трафик из одной географической области сгруппирован вместе.
• Нет . Весь трафик сгруппирован и учитывается в пороговое значение правила ограничения скорости. Если пороговое значение нарушено, действие активируется для всех трафика, соответствующего правилу, и не поддерживает независимые счетчики для каждого IP-адреса или географического адреса клиента. Рекомендуется использовать None с определенными условиями соответствия, такими как страница входа или список подозрительных пользовательских агентов.

Сведения об ограничении скорости

Пороговые значения настроенного ограничения скорости учитываются и отслеживаются независимо для каждой конечной точки, к каждой конечной точке подключена политика брандмауэра веб-приложений. Например, одна политика WAF, присоединенная к пяти разным прослушивателям, поддерживает независимые счетчики и принудительное применение пороговых значений для каждого прослушивателя.

Пороговые значения ограничения скорости не всегда применяются точно так же, как определено, поэтому его не следует использовать для точного управления трафиком приложения. Вместо этого рекомендуется смягчить аномальные показатели трафика и поддерживать доступность приложений.

Алгоритм скользящего окна блокирует весь соответствующий трафик для первого окна, в котором превышен порог, а затем регулирует трафик в будущих окнах. Проявляйте осторожность при определении пороговых значений для конфигурирования правил с широким соответствием с помощью GeoLocation или "None" в качестве GroupByVariables. Неправильно настроенные пороговые значения могут привести к частым коротким сбоям для сопоставления трафика.

Следующий шаг

• Создание настраиваемых правил ограничения скорости для Шлюз приложений WAF версии 2