Share via

الحماية من الهجوم الموزع لحجب الخدمة في Front Door

  • مقالة

Azure Front Door هي شبكة تسليم المحتوى (CDN) التي يمكن أن تساعدك على حماية أصولك من هجمات HTTP(S) DDoS من خلال توزيع نسبة استخدام الشبكة عبر 192 حافة الملوثات العضوية الثابتة في جميع أنحاء العالم. تستخدم هذه الملوثات العضوية الثابتة شبكة WAN الخاصة الكبيرة لتقديم تطبيقات وخدمات الويب الخاصة بك بشكل أسرع وأكثر أمانا للمستخدمين النهائيين. يتضمن Azure Front Door أيضا حماية DDoS من الطبقة 3 و4 و7 وجدار حماية تطبيق الويب (WAF) للمساعدة في حماية تطبيقاتك من عمليات الاستغلال والثغرات الأمنية الشائعة.

حماية DDoS للبنية الأساسية

يستفيد Azure Front Door من حماية DDoS الافتراضية للبنية الأساسية ل Azure. تراقب هذه الحماية هجمات طبقة الشبكة وتخفف منها في الوقت الفعلي باستخدام النطاق العالمي وسعة شبكة Front Door. تتمتع هذه الحماية بسجل حافل في حماية خدمات المؤسسات والمستهلكين من Microsoft من الهجمات واسعة النطاق.

حظر البروتوكول

يدعم Azure Front Door بروتوكولات HTTP وHTTPS فقط، ويتطلب عنوان 'Host' صالحا لكل طلب. يساعد هذا السلوك على منع بعض أنواع هجمات DDoS الشائعة مثل الهجمات الحجمية التي تستخدم بروتوكولات ومنافذ مختلفة وهجمات تضخيم DNS وهجمات تسمم TCP.

قدرة الاستيعاب

Azure Front Door هي خدمة واسعة النطاق وموزعة عالميا. وهو يخدم العديد من العملاء، بما في ذلك منتجات Microsoft السحابية التي تتعامل مع مئات الآلاف من الطلبات في الثانية. يقع Front Door على حافة شبكة Azure، حيث يمكنه اعتراض الهجمات الكبيرة الحجم وعزلها جغرافيا. لذلك، يمكن ل Front Door منع نسبة استخدام الشبكة الضارة من الوصول إلى ما وراء حافة شبكة Azure.

التخزين المؤقت

يمكنك استخدام قدرات التخزين المؤقت ل Front Door لحماية الواجهات الخلفية من وحدات تخزين نسبة استخدام الشبكة الكبيرة التي تم إنشاؤها بواسطة هجوم. ترجع عقد حافة Front Door الموارد المخزنة مؤقتا وتجنب إعادة توجيهها إلى الواجهة الخلفية. حتى أوقات انتهاء صلاحية ذاكرة التخزين المؤقت القصيرة (بالثوان أو الدقائق) على الاستجابات الديناميكية يمكن أن تقلل بشكل كبير من الحمل على خدمات الواجهة الخلفية. لمزيد من المعلومات حول مفاهيم وأنماط التخزين المؤقت، اطلع على اعتبارات التخزين المؤقت ونمط التخزين المؤقت.

جدار حماية تطبيقات الويب (WAF)

يمكنك استخدام جدار حماية تطبيق الويب ل Front Door (WAF) للتخفيف من العديد من أنواع الهجمات المختلفة:

  • تحمي مجموعة القواعد المدارة تطبيقك من العديد من الهجمات الشائعة. لمزيد من المعلومات، راجع القواعد المدارة.
  • يمكنك حظر حركة المرور أو إعادة توجيهها من خارج أو داخل منطقة جغرافية معينة إلى صفحة ويب ثابتة. لمزيد من المعلومات، اطلع على التصفية الجغرافية.
  • يمكنك حظر عناوين IP والنطاقات التي تحددها على أنها ضارة. لمزيد من المعلومات، راجع قيود IP.
  • يمكنك تطبيق تحديد المعدل لمنع عناوين IP من الاتصال بالخدمة بشكل متكرر جدا. لمزيد من المعلومات، راجع تحديد المعدل.
  • يمكنك إنشاء قواعد WAF مخصصة لحظر هجمات HTTP أو HTTPS المحددة بمعدل والتي لها تواقيع معروفة تلقائياً.
  • تحمي مجموعة القواعد المدارة لحماية الروبوت تطبيقك من الروبوتات السيئة المعروفة. لمزيد من المعلومات، راجع تكوين حماية الروبوت.

راجع حماية تطبيق DDoS للحصول على إرشادات حول كيفية استخدام Azure WAF للحماية من هجمات DDoS.

حماية أصول الشبكة الظاهرية

لحماية عناوين IP العامة من هجمات DDoS، قم بتمكين Azure DDoS Protection على الشبكة الظاهرية الأصلية. يتلقى عملاء DDoS Protection مزايا إضافية مثل حماية التكلفة وضمان اتفاقية مستوى الخدمة والوصول إلى خبراء من فريق الاستجابة السريعة DDoS للحصول على مساعدة فورية أثناء الهجوم.

تحسين أمان الأصول المستضافة على Azure عن طريق تقييد وصولها إلى Azure Front Door من خلال Azure Private Link. تتيح هذه الميزة اتصال شبكة خاصة بين Azure Front Door وخوادم التطبيقات الخاصة بك، مما يلغي الحاجة إلى عرض أصولك على الإنترنت العام.

الخطوات التالية