Application Gateway の Web アプリケーション ファイアウォールのレート制限を使用すると、アプリケーション宛ての異常に高いレベルのトラフィックを検出してブロックできます。 Application Gateway WAF v2 でレート制限を使用すると、さまざまな種類のサービス拒否攻撃を軽減したり、短時間に大量の要求を送信するように誤って構成されたクライアントから保護したり、特定の地域からサイトへのトラフィック レートを制御したりできます。
レート制限ポリシー
レート制限は、ポリシー内のカスタム WAF ルールを使用して構成されます。
注
レート制限ルールは、 最新の WAF エンジンを実行している Web アプリケーション ファイアウォールでのみサポートされます。 最新のエンジンを使用していることを確認するには、デフォルトのルールセットとしてCRS 3.2を選択します。
レート制限ルールを設定するときは、しきい値 (指定した期間内に許可される要求の数) を指定する必要があります。 Application Gateway WAF v2 のレート制限では、スライディング ウィンドウ アルゴリズムを使用して、トラフィックがしきい値を超え、ドロップする必要があるタイミングを判断します。 ルールのしきい値を超過した最初のウィンドウでは、レート制限ルールに一致するトラフィックはドロップされます。 2 番目のウィンドウ以降は、設定されたウィンドウ内のしきい値までのトラフィックが許可され、スロットリング効果が生じます。
また、レート制限をいつアクティブにするかを WAF に指示する一致条件も指定する必要があります。 ポリシー内の異なる変数とパスに一致する複数のレート制限ルールを設定できます。
Application Gateway WAF v2 では、 構成する必要がある GroupByUserSession も導入されています。 GroupByUserSession は、一致するレート制限ルールで要求をグループ化してカウントする方法を指定します。
現在、次の 3 つの GroupByVariables を使用できます。
- ClientAddr – これはデフォルト設定であり、各レート制限のしきい値と軽減策がすべての一意の送信元 IP アドレスに独立して適用されることを意味します。
- ジオロケーション - トラフィックは、クライアント IP アドレスの Geo-Match に基づいて、地域別にグループ化されます。 そのため、レート制限ルールの場合、同じ地域からのトラフィックはグループ化されます。
- なし - すべてのトラフィックがグループ化され、レート制限ルールのしきい値に対してカウントされます。 しきい値を超えると、ルールに一致するすべてのトラフィックに対してアクションがトリガーされ、クライアントの IP アドレスまたは地域ごとに独立したカウンタは保持されません。 None は、サインイン ページや疑わしい User-Agent のリストなど、特定の一致条件で使用することをお勧めします。
レート制限の詳細
設定されたレート制限しきい値は、Web Application Firewall ポリシーがアタッチされているエンドポイントごとに個別にカウントおよび追跡されます。 たとえば、5 つの異なるリスナーにアタッチされた 1 つの WAF ポリシーでは、リスナーごとに独立したカウンタとしきい値の適用が維持されます。
レート制限のしきい値は、常に定義されたとおりに適用されるとは限らないため、アプリケーション トラフィックをきめ細かく制御するために使用しないでください。 代わりに、異常なトラフィック率を軽減し、アプリケーションの可用性を維持するために推奨されます。
スライディング ウィンドウ アルゴリズムは、しきい値を超えた最初のウィンドウで一致するすべてのトラフィックをブロックし、その後のウィンドウでトラフィックをスロットルします。 GroupByVariables として GeoLocation または None を使用してワイド一致ルールを構成するためのしきい値を定義する場合は注意してください。 しきい値が正しく設定されていないと、一致するトラフィックが頻繁に短時間停止する可能性があります。