DDoS koruması başvuru mimarileri

  • Makale
  • Okumak için 3 dakika

DDoS koruma standardı, sanal bir ağa dağıtılan hizmetler içintasarlanmıştır. Diğer hizmetler için, varsayılan DDoS koruması temel hizmeti geçerlidir. Aşağıdaki başvuru mimarileri, mimari desenleriyle birlikte gruplanmış senaryolar tarafından düzenlenir.

sanal makine (Windows/linux) iş yükleri

Yük dengeli VM 'lerde çalışan uygulama

bu başvuru mimarisi, kullanılabilirliği ve ölçeklenebilirliği artırmak için bir yük dengeleyicinin arkasındaki ölçek kümesinde birden çok Windows vm çalıştırmaya yönelik kanıtlanmış bir yöntemler kümesi gösterir. Bu mimari, bir Web sunucusu gibi durum bilgisi olmayan herhangi bir iş yükü için kullanılabilir.

Yük dengeli VM 'lerde çalışan bir uygulama için başvuru mimarisinin diyagramı

Bu mimaride, bir iş yükü birden çok VM örneğine dağıtılır. Tek bir genel IP adresi vardır ve internet trafiği VM 'lere yük dengeleyici aracılığıyla dağıtılır. DDoS koruma standardı, ortak IP ile ilişkili olan Azure (internet) yük dengeleyicinin sanal ağı üzerinde etkinleştirilmiştir.

Yük dengeleyici, gelen internet isteklerini VM örneklerine dağıtır. Sanal Makine Ölçek Kümeleri, sanal makinelerin sayısının el ile veya dışarı veya ön tanımlı kurallara göre otomatik olarak ölçeklendirilmesine olanak tanır. Kaynak DDoS saldırısının altındaysa bu önemlidir. Bu başvuru mimarisi hakkında daha fazla bilgi için Bu makaleyebakın.

Windows N katmanında çalışan uygulama

N katmanlı mimari uygulamanın birçok yolu vardır. Aşağıdaki diyagramda tipik bir üç katmanlı Web uygulaması gösterilmektedir. Bu mimari, ölçeklenebilirlik ve kullanılabilirlik için yük dengeli VM 'Ler çalıştırmamakalesinde oluşturulur. Web ve iş katmanları yük dengeli VM’leri kullanır.

Windows N katmanında çalışan bir uygulama için başvuru mimarisinin diyagramı

Bu mimaride, DDoS koruma standardı sanal ağ üzerinde etkinleştirilmiştir. Sanal ağdaki tüm genel IP 'Ler 3 ve 4. katman için DDoS koruması 'nı alır. Katman 7 koruması için WAF SKU 'sunda Application Gateway dağıtın. Bu başvuru mimarisi hakkında daha fazla bilgi için Bu makaleyebakın.

Not

Tek bir VM 'nin genel IP 'nin arkasında çalıştığı senaryolar desteklenmez.

PaaS web uygulaması

Bu başvuru mimarisi, tek bir bölgede Azure App Service uygulamasının çalıştığını gösterir. bu mimari, Azure App Service ve Azure SQL Veritabanıkullanan bir web uygulaması için kanıtlanmış bir yöntemler kümesi gösterir. Yük devretme senaryoları için bir bekleme bölgesi ayarlanır.

PaaS Web uygulaması için başvuru mimarisinin diyagramı

Azure Traffic Manager, gelen istekleri bölgelerden birinde Application Gateway yönlendirir. Normal işlemler sırasında, istekleri etkin bölgede Application Gateway yönlendirir. bu bölge kullanılamaz duruma gelirse, Traffic Manager bekleme bölgesinde Application Gateway devreder.

İnternet 'ten Web uygulamasına giden tüm trafik, Traffic Manager üzerinden Application Gateway genel IP adresine yönlendirilir. Bu senaryoda, App Service (Web App) doğrudan dışarıdan verilmez ve Application Gateway tarafından korunur.

Katman 7 (HTTP/HTTPS/WebSocket) saldırılarına karşı korumaya yardımcı olmak için Application Gateway WAF SKU 'SU (mod engelleme) yapılandırmanızı öneririz. Ayrıca, Web Apps yalnızca Application Gateway IP adresinden gelen trafiği kabul edecek şekilde yapılandırılmıştır.

Bu başvuru mimarisi hakkında daha fazla bilgi için Bu makaleyebakın.

Şirket içi kaynakları koruma

Azure 'da genel bir IP adresi barındırarak ve trafiği şirket içi ortamınıza arka uç kaynağına yönlendirerek şirket içi kaynaklarınızı korumak için Azure DDoS koruma standardı 'nın ölçeklendirilmesi, kapasitesi ve verimliliğinden yararlanabilirsiniz.

Şirket içi kaynakları koruma

Internet 'ten trafik alan bir web uygulamanız varsa, web uygulamasını Application Gateway arkasında barındırabilirsiniz ve sonra da SQL ekleme gibi katman 7 web saldırılarına karşı dosyayı waf ile koruyabilirsiniz. Uygulamanızın arka uç kaynakları, VPN üzerinden bağlanan şirket içi ortamınızda yer alır.

Şirket içi ortamdaki arka uç kaynakları, genel İnternet 'e gösterilmez. Yalnızca AppGW/WAF genel IP 'si Internet 'e açıktır ve uygulamanızın DNS adı bu genel IP adresine eşlenir.

DDoS koruma standardı, AppGW/WAF içeren sanal ağ üzerinde etkinleştirildiğinde, DDoS koruma standardı, hatalı trafiği azaltarak uygulamanızı savunarak uygulamanıza gereken Temizleme trafiğini yönlendirerek uygulamanızı savunacaktır.

Bu makalede , Azure VMware çözümünde çalışan bir Web uygulamasını korumak için Application Gateway birlikte DDoS koruma standardı 'nı nasıl kullanabileceğiniz gösterilmektedir.

Web dışı PaaS hizmetleri için risk azaltma

Azure 'da HDInsight

Bu başvuru mimarisinde, Azure HDInsight kümesiIçin DDoS koruma standardı yapılandırma gösterilmektedir. HDInsight kümesinin bir sanal ağa bağlı olduğundan ve sanal ağ üzerinde DDoS korumasının etkinleştirildiğinden emin olun.

Sanal ağ ayarlarına sahip "HDInsight" ve "Gelişmiş ayarlar" bölmeleri

DDoS korumasını etkinleştirme seçimi

Bu mimaride, Internet 'ten HDInsight kümesine giden trafik, HDInsight ağ geçidi yük dengeleyicisiyle ilişkili genel IP 'ye yönlendirilir. Ağ Geçidi yük dengeleyici daha sonra trafiği baş düğümlere veya çalışan düğümlerine doğrudan gönderir. HDInsight sanal ağında DDoS koruması standardı etkinleştirildiğinden, sanal ağdaki tüm genel IP 'Ler 3. ve 4. katman için DDoS koruması 'nı alır. Bu başvuru mimarisi, N katmanlı ve çok bölgeli başvuru mimarileri ile birleştirilebilir.

Bu başvuru mimarisi hakkında daha fazla bilgi için Azure sanal ağ kullanarak Azure HDInsight 'ı genişletme bölümüne bakın.

Not

genel ıp 'si olan bir sanal ağda Power Apps veya apı yönetimi için Azure App Service Ortamı, yerel olarak desteklenmez.

Sonraki adımlar