Erstellen benutzerdefinierter Regeln zur Ratenbegrenzung für Application Gateway WAF v2

Durch die Ratenbegrenzung können Sie ungewöhnlich hohe Datenverkehrsmengen für Ihre Anwendung erkennen und blockieren. Bei der Ratenbegrenzung wird der gesamte Datenverkehr gezählt, der der konfigurierten Ratenbegrenzungsregel entspricht, und die konfigurierte Aktion für den Datenverkehr durchgeführt, der dieser Regel entspricht und den konfigurierten Schwellenwert überschreitet. Weitere Informationen finden Sie in der Übersicht zur Ratenbegrenzung.

Konfigurieren benutzerdefinierter Ratenbegrenzungsregeln

Verwenden Sie die folgenden Informationen, um Ratenbegrenzungsregeln für Application Gateway WAFv2 zu konfigurieren.

Szenario 1: Erstellen Sie eine Regel zur Ratenbegrenzung des Datenverkehrs nach Client-IP-Adressen, der den konfigurierten Schwellenwert überschreitet. Dabei wird der gesamte Datenverkehr abgeglichen.

  1. Öffnen Sie eine vorhandene Application Gateway WAF-Richtlinie.
  2. Wählen Sie „Benutzerdefinierte Regeln“ aus.
  3. Fügen Sie eine benutzerdefinierte Regel hinzu.
  4. Fügen Sie einen Namen für die benutzerdefinierte Regel hinzu.
  5. Wählen Sie das Optionsfeld für den Typ der Ratenbegrenzungsregel aus.
  6. Geben Sie eine Priorität für die Regel ein.
  7. Wählen Sie „1 Minute“ für „Dauer der Ratenbegrenzung“ aus.
  8. Geben Sie für den Schwellenwert der Ratenbegrenzung (Anforderungen) „200“ ein.
  9. Wählen Sie die Clientadresse für „Ratenbegrenzung für Datenverkehr gruppieren nach“ aus.
  10. Wählen Sie unter „Bedingungen“ die Option „IP-Adresse“ für „Übereinstimmungstyp“ aus.
  11. Wählen Sie unter „Vorgang“ das Optionsfeld „Enthält nicht“ aus.
  12. Geben Sie als Übereinstimmungsbedingung für die IP-Adresse oder den IP-Bereich 255.255.255.255.255/32 ein.
  13. Übernehmen Sie die Aktionseinstellung „Datenverkehr ablehnen“
  14. Wählen Sie „Hinzufügen“ aus, um die benutzerdefinierte Regel zur Richtlinie hinzuzufügen.
  15. Wählen Sie „Speichern“ aus, um die Konfiguration zu speichern und die benutzerdefinierte Regel für die WAF-Richtlinie zu aktivieren.

Szenario 2: Erstellen Sie eine benutzerdefinierte Ratenbegrenzungsregel, die den gesamten Datenverkehr mit Ausnahme des Datenverkehrs abgleicht, der aus den USA stammt. Der Datenverkehr wird basierend auf dem geografischen Standort der IP-Quelladresse des Clients gruppiert, gezählt und begrenzt.

  1. Öffnen Sie eine vorhandene Application Gateway WAF-Richtlinie.
  2. Wählen Sie „Benutzerdefinierte Regeln“ aus.
  3. Fügen Sie eine benutzerdefinierte Regel hinzu.
  4. Fügen Sie einen Namen für die benutzerdefinierte Regel hinzu.
  5. Wählen Sie das Optionsfeld für den Typ der Ratenbegrenzungsregel aus.
  6. Geben Sie eine Priorität für die Regel ein.
  7. Wählen Sie „1 Minute“ für „Dauer der Ratenbegrenzung“ aus.
  8. Geben Sie für den Schwellenwert der Ratenbegrenzung (Anforderungen) „500“ ein.
  9. Wählen Sie den geografischen Standort für „Ratenbegrenzung für Datenverkehr gruppieren nach“ aus.
  10. Wählen Sie unter „Bedingungen“ die Option „Geografischer Standort“ für „Übereinstimmungstyp“ aus.
  11. Wählen Sie im Abschnitt „Übereinstimmungsvariablen“ unter „Übereinstimmungsvariable“ die Option „RemoteAddr“ aus.
  12. Wählen Sie für den Vorgang das Optionsfeld „Ist nicht“ aus.
  13. Wählen Sie „USA“ für „Land/Region“ aus.
  14. Übernehmen Sie die Aktionseinstellung „Datenverkehr ablehnen“
  15. Wählen Sie „Hinzufügen“ aus, um die benutzerdefinierte Regel zur Richtlinie hinzuzufügen.
  16. Wählen Sie „Speichern“ aus, um die Konfiguration zu speichern und die benutzerdefinierte Regel für die WAF-Richtlinie zu aktivieren.

Szenario 3: Erstellen Sie eine benutzerdefinierte Ratenbegrenzungsregel, die den gesamten Datenverkehr für die Anmeldeseite abgleicht und die Variable „GroupBy None“ verwendet. Dadurch wird der gesamte Datenverkehr, der mit der Regel übereinstimmt, gruppiert und gezählt, und die Aktion wird auf den gesamten Datenverkehr angewendet, der mit der Regel (/login) übereinstimmt.

  1. Öffnen Sie eine vorhandene Application Gateway WAF-Richtlinie.
  2. Wählen Sie „Benutzerdefinierte Regeln“ aus.
  3. Fügen Sie eine benutzerdefinierte Regel hinzu.
  4. Fügen Sie einen Namen für die benutzerdefinierte Regel hinzu.
  5. Wählen Sie das Optionsfeld für den Typ der Ratenbegrenzungsregel aus.
  6. Geben Sie eine Priorität für die Regel ein.
  7. Wählen Sie „1 Minute“ für „Dauer der Ratenbegrenzung“ aus.
  8. Geben Sie für den Schwellenwert der Ratenbegrenzung (Anforderungen) „100“ ein.
  9. Wählen Sie „Keine“ für „Ratenbegrenzung für Datenverkehr gruppieren nach“ aus.
  10. Wählen Sie unter „Bedingungen“ die Option „Zeichenfolge“ für „Übereinstimmungstyp“ aus.
  11. Wählen Sie im Abschnitt „Übereinstimmungsvariablen“ unter „Übereinstimmungsvariable“ die Option „RequestUri“ aus.
  12. Wählen Sie für den Vorgang das Optionsfeld „Ist nicht“ aus.
  13. Wählen Sie als Operator „Enthält“ aus.
  14. Geben Sie den Pfad der Anmeldeseite für den Übereinstimmungswert ein. In diesem Beispiel wird „/login“ verwendet.
  15. Übernehmen Sie die Aktionseinstellung „Datenverkehr ablehnen“
  16. Wählen Sie „Hinzufügen“ aus, um die benutzerdefinierte Regel zur Richtlinie hinzuzufügen.
  17. Wählen Sie „Speichern“ aus, um die Konfiguration zu speichern und die benutzerdefinierte Regel für die WAF-Richtlinie zu aktivieren.

Nächste Schritte

Anpassen von Web Application Firewall-Regeln mit dem Azure-Portal