Share via

البنى المرجعية لحماية Azure DDoS

  • مقالة

تم تصميم Azure DDoS Protection للخدمات التي يتم نشرها في شبكة ظاهرية. يتم ترتيب البنى المرجعية التالية حسب السيناريوهات، مع تجميع أنماط البنية معاً.

الموارد المحمية

تتضمن الموارد المدعومة ما يلي:

  • عناوين IP العامة المرفقة ب:
    • جهاز ظاهري IaaS.
    • نظام مجموعة Application Gateway (بما في ذلك WAF).
    • إدارة واجهة برمجة تطبيقات Azure (الطبقة المتميزة فقط).
    • Bastion.
    • الاتصال إلى شبكة ظاهرية (VNet) في الوضع الخارجي.
    • جدار الحماية.
    • الأجهزة الظاهرية للشبكة المستندة إلى IaaS (NVA).
    • موازن التحميل (موازنات التحميل الكلاسيكية والقياسية).
    • Service Fabric.
    • بوابة VPN.
  • تشمل الحماية أيضاً نطاقات IP العامة التي يتم إحضارها إلى Azure عبر بادئات IP المخصصة (BYOIPs).

تتضمن الموارد غير المدعومة ما يلي:

  • Azure Virtual WAN.
  • إدارة واجهة برمجة تطبيقات Azure في أوضاع النشر بخلاف الأوضاع المدعومة.
  • خدمات PaaS (متعددة المستأجرين) بما في ذلك Azure App Service Environment ل Power Apps.
  • الموارد المحمية التي تتضمن عناوين IP العامة التي تم إنشاؤها من بادئة عنوان IP العام.
  • بوابة NAT.

إشعار

بالنسبة لأحمال عمل الويب، نوصي بشدة باستخدام حماية Azure DDoS وجدار حماية تطبيق الويب للحماية من هجمات DDoS الناشئة. خيار آخر هو استخدام Azure Front Door جنبا إلى جنب مع جدار حماية تطبيق الويب. يوفر Azure Front Door حماية على مستوى النظام الأساسي ضد هجمات DDoS على مستوى الشبكة. لمزيد من المعلومات، راجع أساس الأمان لخدمات Azure.

أحمال عمل الجهاز الظاهري (لنظام التشغيل Windows/Linux)

التطبيق الذي يعمل على أجهزة ظاهرية متوازنة التحميل

تعرض هذه البنية المرجعية مجموعة من الممارسات المثبتة لتشغيل أجهزة Windows الظاهرية المتعددة في مجموعة مقياس خلف موازن التحميل، لتحسين التوفر وقابلية التوسع. يمكن استخدام هذه البنية لأي حمل عمل عديم الحالة، مثل خادم ويب.

في هذه البنية، يتم توزيع حمل العمل عبر مثيلات جهاز ظاهري متعددة. هناك عنوان IP عام واحد، ويتم توزيع حركة مرور الإنترنت على الجهاز الظاهري من خلال موازن التحميل.

يوزع موازن التحميل طلبات الإنترنت الواردة إلى مثيلات الجهاز الظاهري. تسمح تعيينات مقاييس الجهاز الظاهري بتحجيم عدد الأجهزة الظاهرية يدوياً أو تلقائياً استناداً إلى قواعد محددة مسبقاً. هذا مهم إذا كان المورد يتعرض لهجوم موزع لحجب الخدمة. لمزيد من المعلومات حول هذه البنية المرجعية، راجع تطبيق المستوى N في Windows على Azure.

بنية الجهاز الظاهري لحماية شبكة DDoS

رسم تخطيطي للبنية المرجعية DDoS Network Protection لتطبيق يعمل على أجهزة ظاهرية متوازنة التحميل.

يتم تمكين حماية شبكة DDoS على الشبكة الظاهرية لموازن تحميل Azure (الإنترنت) الذي يحتوي على IP العام المرتبط به.

بنية الجهاز الظاهري ل DDoS IP Protection

رسم تخطيطي للبنية المرجعية DDoS IP Protection لتطبيق يعمل على أجهزة ظاهرية متوازنة التحميل.

يتم تمكين DDoS IP Protection على عنوان IP العام للواجهة الأمامية لموازن التحميل العام.

تطبيق يعمل على المستوى N في Windows

هناك العديد من الطرق لتنفيذ بنية المستوى N. تظهر الرسومات التخطيطية التالية تطبيق ويب نموذجي من ثلاثة مستويات. تعتمد هذه البنية على المقالة تشغيل الأجهزة الظاهرية متوازنة التحميل لتوفير قابلية التوسع والتوافر. تستخدم مستويات الويب والأعمال أجهزة ظاهرية متوازنة التحميل.

بنية DDoS Network Protection Windows N-tier

رسم تخطيطي للبنية المرجعية ل DDoS Network Protection لتطبيق يعمل على Windows N-tier.

في هذا الرسم التخطيطي للبنية، يتم تمكين DDoS Network Protection على الشبكة الظاهرية. تحصل جميع عناوين IP العامة في الشبكة الظاهرية على حماية DDoS للمستويين 3 و4. لحماية الطبقة 7، انشر بوابة التطبيق في WAF SKU. لمزيد من المعلومات حول هذه البنية المرجعية، راجع تطبيق المستوى N في Windows على Azure.

بنية DDoS IP Protection Windows N-tier

رسم تخطيطي للبنية المرجعية ل DDoS IP Protection لتطبيق يعمل على Windows N-tier.

في هذا الرسم التخطيطي للبنية، يتم تمكين DDoS IP Protection على عنوان IP العام.

إشعار

لا يوصى بالسيناريوهات التي يعمل فيها جهاز ظاهري واحد خلف IP عام. قد لا يبدأ التخفيف من مخاطر DDoS على الفور عند الكشف عن هجوم موزع لحجب الخدمة. ونتيجةً لذلك، يتعطل توزيع جهاز ظاهري واحد لا يمكن توسيع نطاقه في مثل هذه الحالات.

تطبيق ويب للنظام الأساسي كخدمة

تظهِر هذه البنية المرجعية تشغيل تطبيق في خدمة تطبيقات Azure في منطقة واحدة. تعرض هذه البنية مجموعة من الممارسات مثبتة الكفاءة لتطبيق ويب يستخدم خدمة تطبيقات Azure وقاعدة بيانات Azure SQL. تم إعداد منطقة الاستعداد لسيناريوهات تجاوز الفشل.

يوجّه Azure Traffic Manager الطلبات الواردة إلى بوابة التطبيق في إحدى المناطق. أثناء العمليات العادية، يوجّه الطلبات إلى بوابة التطبيق في المنطقة النشطة. إذا أصبحت هذه المنطقة غير متوفرة، يتجاوز Traffic Manager الفشل إلى بوابة التطبيق في منطقة الاستعداد.

يتم توجيه جميع نسب استخدام الشبكة من الإنترنت الموجهة إلى تطبيق الويب إلى عنوان IP العام لبوابة التطبيق عبر Traffic Manager. في هذا السيناريو، لا تواجه خدمة التطبيق (تطبيق الويب) نفسها خارجيا مباشرة وهي محمية بواسطة بوابة التطبيق.

نوصيك بتكوين عدة تطوير البرامج لجدار حماية تطبيقات الويب في بوابة التطبيق (وضع المنع) للمساعدة في الحماية من هجمات المستوى 7 (HTTP/HTTPS/WebSocket). بالإضافة إلى ذلك، يتم تكوين تطبيقات الويب لقبول نسبة استخدام الشبكة فقط من عنوان IP لبوابة التطبيق.

لمزيد من المعلومات حول هذه البنية المرجعية، راجع تطبيق الويب عالي التوفر متعدد المناطق.

حماية شبكة DDoS مع بنية تطبيق الويب PaaS

رسم تخطيطي لبنية مرجع حماية شبكة DDoS لتطبيق ويب PaaS.

في هذا الرسم التخطيطي للبنية، يتم تمكين DDoS Network Protection على الشبكة الظاهرية لبوابة تطبيق الويب.

DDoS IP Protection مع بنية تطبيق الويب PaaS

رسم تخطيطي للبنية المرجعية ل DDoS IP Protection لتطبيق ويب PaaS.

في هذا الرسم التخطيطي للبنية، يتم تمكين DDoS IP Protection على IP العام المقترن ببوابة تطبيق الويب.

التخفيف من المخاطر لخدمات النظام الأساسي كخدمة (PaaS) غير التابعة للويب

HDInsight على Azure

توضح هذه البنية المرجعية تكوين حماية DDoS لمجموعة Azure HDInsight. تأكد من أن نظام مجموعة HDInsight مرتبط بشبكة ظاهرية وأن حماية DDoS مُمكَّنة على الشبكة الظاهرية.

جزء

التحديد لتمكين حماية DDoS

في هذه البنية، يتم توجيه نسبة استخدام الشبكة الموجهة إلى نظام مجموعة HDInsight من الإنترنت إلى عنوان IP العام المرتبط بموازن تحميل بوابة HDInsight. ثم يرسل موازن تحميل البوابة نسبة استخدام الشبكة إلى العقد الرئيسية أو عُقد العامل مباشرةً. نظرا إلى تمكين DDoS Protection على شبكة HDInsight الظاهرية، تحصل جميع عناوين IP العامة في الشبكة الظاهرية على حماية DDoS للطبقة 3 و4. يمكن دمج هذه البنية المرجعية مع المستوى N والبنى المرجعية متعددة المناطق.

لمزيد من المعلومات حول هذه البنية المرجعية، راجع وثائق توسيع HDInsight في Azure باستخدام شبكة ظاهرية من Azure.

التخطيط المحوري باستخدام Azure Firewall وAzure Bastion

توضح هذه البنية المرجعية بالتفصيل مخططاً محورياً باستخدام Azure Firewall داخل المركز كشبكة فرعية مُراقَبة للسيناريوهات التي تتطلب تحكماً مركزياً في جوانب الأمان. Azure Firewall هو جدار حماية مُدار كخدمة ويوضع في شبكته الفرعية الخاصة. يُوزَّع Azure Bastion ويوضع في شبكته الفرعية الخاصة.

هناك نوعان من المحاور المتصلة بالمركز باستخدام نظير VNet ولا يوجد اتصال بين المتحدثين. إذا كنت تحتاج إلى اتصال فيما بين المحاور، فأنت بحاجة إلى إنشاء مسارات لإعادة توجيه نسبة استخدام الشبكة من أحد المحاور إلى جدار الحماية، وثم يمكنها بعد ذلك توجيهها إلى المحور الآخر. جميع عناوين IP العامة الموجودة داخل المركز محمية بواسطة DDoS Protection. في هذا السيناريو، يساعد جدار الحماية في المركز على التحكم في نسبة استخدام الشبكة للدخول من الإنترنت، بينما تجري حماية عنوان IP العام لجدار الحماية. يحمي Azure DDoS Protection أيضا IP العام للحصن.

تم تصميم DDoS Protection للخدمات التي يتم نشرها في شبكة ظاهرية. لمزيد من المعلومات، راجع توزيع خدمة Azure المخصصة في الشبكات الظاهرية.

DDoS Network Protection hub-and-spoke network

رسم تخطيطي يوضح بنية DDoS Network Protection Hub-and-spoke مع جدار الحماية والحصن وحماية DDoS.

في هذا الرسم التخطيطي للبنية، يتم تمكين Azure DDoS Network Protection على الشبكة الظاهرية للمركز.

DDoS IP Protection hub-and-spoke network

رسم تخطيطي يوضح بنية DDoS IP Protection Hub-and-spoke مع جدار الحماية والحصن وحماية DDoS.

في هذا الرسم التخطيطي للبنية، يتم تمكين Azure DDoS IP Protection على عنوان IP العام.

إشعار

دون أي تكلفة إضافية، تحمي حماية البنية الأساسية ل Azure DDoS كل خدمة Azure تستخدم عناوين IPv4 وIPv6 العامة. تساعد خدمة حماية موزع لحجب الخدمة هذه على حماية كافة خدمات Azure، بما في ذلك النظام الأساسي كخدمة (PaaS) مثل Azure DNS. لمزيد من المعلومات، راجع نظرة عامة على Azure DDoS Protection. لمزيد من المعلومات حول التخطيط المحوري، راجع تخطيط الشبكة المحوري.

الخطوات التالية