Что такое ограничение скорости для Azure Front Door?
Ограничение скорости позволяет обнаруживать и блокировать ненормально высокий уровень трафика с любого IP-адреса сокета. С помощью Azure Брандмауэр веб-приложений в Azure Front Door можно устранить некоторые типы атак типа "отказ в обслуживании". Ограничение скорости также защищает вас от клиентов, которые были случайно неправильно настроены для отправки больших объемов запросов за короткий период времени.
IP-адрес сокета — это адрес клиента, инициирующего TCP-подключение к Azure Front Door. Как правило, IP-адрес сокета — это IP-адрес пользователя, но он также может быть IP-адрес прокси-сервера или другого устройства, которое находится между пользователем и Azure Front Door, если у вас есть несколько клиентов, которые обращаются к Azure Front Door из разных IP-адресов сокетов, они имеют собственные ограничения скорости.
Настройка политики ограничения скорости
Ограничение скорости настраивается с помощью настраиваемых правил WAF.
При настройке правила ограничения скорости необходимо указать пороговое значение. Пороговое значение — это количество веб-запросов, разрешенных из каждого IP-адреса сокета в течение одной минуты или пяти минут.
Кроме того, необходимо указать по крайней мере одно условие соответствия, которое сообщает Azure Front Door при активации ограничения скорости. Вы можете настроить несколько ограничений скорости, которые применяются к разным путям в приложении.
Если вам нужно применить правило ограничения скорости ко всем запросам, попробуйте использовать условие соответствия, как показано в следующем примере:
Предыдущее условие соответствия определяет все запросы с заголовком Host длины, превышающей длину 0. Так как все допустимые HTTP-запросы для Azure Front Door содержат Host заголовок, это условие соответствия влияет на соответствие всем HTTP-запросам.
Ограничения скорости и серверы Azure Front Door
Запросы от того же клиента часто приходят на тот же сервер Azure Front Door. В этом случае запросы блокируются сразу после достижения ограничения скорости для каждого IP-адреса клиента.
Возможно, что запросы от одного клиента могут поступать на другой сервер Azure Front Door, который еще не обновил счетчики ограничения скорости. Например, клиент может открыть новое TCP-подключение для каждого запроса, и каждое TCP-подключение может быть перенаправлено на другой сервер Azure Front Door.
Если пороговое значение достаточно низко, первый запрос на новый сервер Azure Front Door может пройти проверку ограничения скорости. Таким образом, для низкого порогового значения (например, менее 200 запросов в минуту), можно увидеть некоторые запросы выше порогового значения.
При определении пороговых значений и периодов времени для ограничения скорости следует учитывать несколько соображений:
- Более крупный размер окна с наименьшим допустимым порогом количества запросов является наиболее эффективной конфигурацией для предотвращения атак DDoS. Эта конфигурация более эффективна, так как когда злоумышленник достигает порогового значения, он блокируется в оставшейся части окна ограничения скорости. Таким образом, если злоумышленник блокируется в течение первых 30 секунд в течение одного минутного окна, он ограничен только в течение оставшихся 30 секунд. Если злоумышленник блокируется в первой минуте пятиминутного окна, они ограничены в течение оставшихся четырех минут.
- Установка больших размеров интервала времени (например, пять минут за одну минуту) и более крупные пороговые значения (например, 200 более 100) обычно более точны в применении пороговых значений близко к пороговым значениям ограничения скорости, чем при использовании более коротких размеров периода времени и более низких значений пороговых значений.
- Ограничение скорости WAF в Azure Front Door работает с фиксированным периодом времени. После нарушения порогового значения скорости весь трафик, соответствующий правилу ограничения скорости, блокируется для остальной части фиксированного окна.
Следующие шаги
- Настройте ограничение скорости в WAF Azure Front Door.
- Ознакомьтесь с рекомендациями по ограничению скорости.