넷스케일러는 Rate Limiting이란 새로운 기능을 통해 어플리케이션의 Request 뿐만 아니라 Connection 수 또는 bandwidth 설정까지도 제어할 수 있다.
우선 특정 사용자의 Request / sec수를 5개로 제한하는 설정에 대해서 한번 살펴보면 다음과 같이 설정할 수 있다.
- LimitSelector정책 생성
add ns limitSelector ip_limit_selector http.req.url "client.ip.src" - 트래픽 rate에 대한 thresthold 설정이 포함된 LimitIdentifier를 생성
add ns limitIdentifier ip_limit_identifier -threshold 4 -timeSlice 3600 -mode request_rate -limitType smooth -selectorName ip_limit_selector - 해당 사용자의 request를 redirect하기 위한 responder action 생성
add responder action my_web_site_redirect_action redirect "\http://www.mycompany.com/\" - Limit 설정이 포함된 내용을 적용할 responder 정책을 생성
add responder policy ip_limit_responder_policy "http.req.url.contains(\"myasp.asp\") && sys.check_limit(\"ip_limit_identifier\")" my_web_site_redirect_action - 생성된 정책을 global로 설정
bind responder global ip_limit_responder_policy 100 END -type default
해당 설정을 통해 특정 대상의 어플리케이션으로 유입되는 F5 공격에 대한 방어를 아주 유연하게 대응할 수 있다.
댓글 없음:
댓글 쓰기