مشاركة عبر

حماية DDoS على Azure Front Door

  • مقالة

Azure Front Door هي شبكة تسليم المحتوى (CDN) التي تساعد على حماية أصولك من هجمات HTTP(S) DDoS من خلال توزيع نسبة استخدام الشبكة عبر نقاط التواجد المتطورة (POPs) في جميع أنحاء العالم. تستخدم هذه الملوثات العضوية الثابتة شبكة WAN الخاصة الكبيرة من Azure لتقديم تطبيقات وخدمات الويب الخاصة بك بشكل أسرع وأكثر أمانا للمستخدمين النهائيين. يتضمن Azure Front Door حماية DDoS من الطبقة 3 و4 و7 وجدار حماية تطبيق الويب (WAF) لحماية تطبيقاتك من عمليات الاستغلال والثغرات الأمنية الشائعة.

حماية DDoS للبنية الأساسية

يستفيد Azure Front Door من حماية DDoS الافتراضية للبنية الأساسية ل Azure. تراقب هذه الحماية هجمات طبقة الشبكة وتخفف منها في الوقت الفعلي باستخدام النطاق العالمي وسعة شبكة Azure Front Door. لديها سجل حافل بحماية خدمات Microsoft للمؤسسات والمستهلكين من الهجمات واسعة النطاق.

حظر البروتوكول

يدعم Azure Front Door بروتوكولات HTTP وHTTPS فقط ويتطلب عنوانا صالحا Host لكل طلب. يساعد هذا السلوك على منع أنواع هجمات DDoS الشائعة مثل الهجمات الحجمية باستخدام بروتوكولات ومنافذ مختلفة وهجمات تضخيم DNS وهجمات تسمم TCP.

امتصاص السعة

Azure Front Door هي خدمة واسعة النطاق وموزعة عالميا تخدم العديد من العملاء، بما في ذلك منتجات Microsoft السحابية الخاصة، والتي تتعامل مع مئات الآلاف من الطلبات في الثانية. يمكن ل Azure Front Door، الذي يتم وضعه على حافة شبكة Azure، اعتراض الهجمات الكبيرة الحجم وعزلها جغرافيا، مما يمنع نسبة استخدام الشبكة الضارة من الوصول إلى ما وراء حافة شبكة Azure.

التخزين المؤقت

يمكنك استخدام قدرات التخزين المؤقت ل Azure Front Door لحماية الواجهات الخلفية من وحدات تخزين نسبة استخدام الشبكة الكبيرة التي تم إنشاؤها بواسطة هجوم. ترجع عقد حافة Azure Front Door الموارد المخزنة مؤقتا، وتجنب إعادة توجيهها إلى الواجهة الخلفية. حتى أوقات انتهاء صلاحية ذاكرة التخزين المؤقت القصيرة (بالثوان أو الدقائق) على الاستجابات الديناميكية يمكن أن تقلل بشكل كبير من الحمل على خدمات الواجهة الخلفية. لمزيد من المعلومات حول مفاهيم وأنماط التخزين المؤقت، اطلع على اعتبارات التخزين المؤقت ونمط التخزين المؤقت.

جدار حماية تطبيقات الويب (WAF)

يمكنك استخدام Azure Web Application Firewall (WAF) للتخفيف من أنواع مختلفة من الهجمات:

  • تحمي مجموعة القواعد المدارة تطبيقك من العديد من الهجمات الشائعة. لمزيد من المعلومات، راجع القواعد المدارة.
  • حظر حركة المرور أو إعادة توجيهها من مناطق جغرافية معينة إلى صفحة ويب ثابتة. لمزيد من المعلومات، اطلع على التصفية الجغرافية.
  • حظر عناوين IP والنطاقات المحددة على أنها ضارة. لمزيد من المعلومات، راجع قيود IP.
  • تطبيق تحديد المعدل لمنع عناوين IP من الاتصال بالخدمة بشكل متكرر جدا. لمزيد من المعلومات، راجع تحديد المعدل.
  • إنشاء قواعد WAF مخصصة لحظر هجمات HTTP أو HTTPS والحد من المعدل تلقائيا بالتوقيعات المعروفة.
  • تحمي مجموعة القواعد المدارة لحماية الروبوت تطبيقك من الروبوتات السيئة المعروفة. لمزيد من المعلومات، راجع تكوين حماية الروبوت.

راجع حماية تطبيق DDoS للحصول على إرشادات حول استخدام Azure WAF للحماية من هجمات DDoS.

حماية أصول الشبكة الظاهرية

تمكين حماية Azure DDoS على الشبكة الظاهرية الأصلية لحماية عناوين IP العامة من هجمات DDoS. تقدم هذه الخدمة المزيد من الفوائد مثل حماية التكلفة وضمان اتفاقية مستوى الخدمة والوصول إلى فريق الاستجابة السريعة DDoS للحصول على مساعدة الخبراء أثناء الهجوم.

تحسين أمان الأصول المستضافة على Azure باستخدام Azure Private Link لتقييد الوصول إلى Azure Front Door. تنشئ هذه الميزة اتصال شبكة خاصة بين Azure Front Door وخوادم التطبيقات الخاصة بك، مما يلغي الحاجة إلى عرض أصولك على الإنترنت العام.

الخطوات التالية