الأسئلة المتداولة حول Azure DDoS Protection

تجيب هذه المقالة على الأسئلة الشائعة حول Azure DDoS Protection.

ما هي الهجمات الموزعة لحجب الخدمة (DDoS)؟

حجب الخدمة الموزع أو DDoS، هو نوع من الهجمات حيث يرسل المهاجم طلبات إلى تطبيق أكثر مما يستطيع التطبيق معالجته. التأثير الناتج هو استنفاد الموارد، مما يؤثر على توفر التطبيق وقدرته على خدمة عملائه. وعلى مدى السنوات القليلة الماضية، شهدت الصناعة زيادة حادة في الهجمات، حيث أصبحت الهجمات أكثر تطوراً وأكبر حجماً. يمكن استهداف هجمات DDoS في أي نقطة نهاية يمكن الوصول إليها بشكل عام عبر الإنترنت.

ما هي خدمة Azure DDoS Protection؟

توفر Azure DDoS Protection، جنبا إلى جنب مع أفضل ممارسات تصميم التطبيق، ميزات تخفيف DDoS محسنة للدفاع ضد هجمات DDoS. يتم ضبطها تلقائيًا للمساعدة في حماية موارد Azure المحددة في شبكة افتراضية. الحماية بسيطة لتمكين على أي شبكة ظاهرية جديدة أو موجودة، ولا تتطلب إجراء لأي تغييرات في التطبيق أو الموارد. لمزيد من المعلومات، راجع نظرة عامة على Azure DDoS Protection

كيف يعمل التسعير؟

تحتوي خطط حماية DDoS على رسوم شهرية ثابتة تغطي ما يصل إلى 100 عنوان IP عام. الحماية لموارد إضافية متاحة.

بموجب المستأجر، يمكن استخدام خطة حماية DDoS واحدة عبر اشتراكات متعددة، لذلك ليست هناك حاجة لإنشاء أكثر من خطة حماية DDoS واحدة.

عند توزيع Application Gateway مع WAF في شبكة VNet محمية ضد DDoS، لا توجد رسوم إضافية لـ WAF - أنت تدفع مقابل بوابة التطبيق بمعدل أقل بخلاف WAF. ينطبق هذا النهج على كل من وحدات SKU الخاصة بـ Application بوابة v1 وv2.

راجع تسعير Azure DDoS Protection للحصول على الأسعار والمزيد من التفاصيل.

ما هي طبقة حماية Azure DDoS التي يجب أن أختارها؟

إذا كنت بحاجة إلى حماية أقل من 15 من موارد IP العامة، فإن مستوى حماية IP هو الخيار الأكثر فعالية من حيث التكلفة. إذا كان لديك أكثر من 15 من موارد IP العامة للحماية، فإن مستوى حماية الشبكة أكثر فعالية من حيث التكلفة. توفر Network Protection أيضا ميزات إضافية، بما في ذلك الاستجابة السريعة لحماية DDoS (DRR)، وضمانات حماية التكلفة، وخصومات جدار حماية تطبيق الويب (WAF).

هل الخدمة مرنة في المنطقة؟

نعم. Azure DDoS Protection هي منطقة مرنة بشكل افتراضي.

كيف يمكنني تكوين الخدمة لكي تكون مرنة في المنطقة؟

لا يلزم تكوين العميل لتمكين المرونة. تتوفر المرونة في المنطقة لموارد Azure DDoS Protection بشكل افتراضي وتتم إدارتها من قبل الخدمة نفسها.

ماذا عن الحماية في طبقة الخدمة (الطبقة 7)؟

يمكن للعملاء استخدام خدمة Azure DDoS Protection بالاشتراك مع جدار حماية تطبيق الويب (WAF) للحماية في كل من طبقة الشبكة (الطبقة 3 و4، التي تقدمها Azure DDoS Protection) وفي طبقة التطبيق (الطبقة 7، التي تقدمها WAF). تشتمل عروض WAF على Azure Application بوابة WAF SKU وعروض جدار حماية تطبيقات الويب التابعة لجهات خارجية المتوفرة في Azure Marketplace.

هل الخدمات غير آمنة في Azure بدون الخدمة؟

الخدمات التي تعمل على Azure محمية بطبيعتها بواسطة حماية DDoS على مستوى البنية الأساسية الافتراضية. ومع ذلك، فإن الحماية التي تحمي البنية الأساسية لها حد أعلى بكثير من قدرة معظم التطبيقات على التعامل معها، ولا توفر القياس عن بُعد أو التنبيه، لذلك بينما قد يُنظر إلى حجم نسبة استخدام الشبكة على أنه غير ضار من قبل النظام الأساسي، فقد يكون مدمراً لـ التطبيق الذي يستقبلها.

من خلال الإلحاق بخدمة حماية Azure DDoS، يحصل التطبيق على مراقبة مخصصة للكشف عن الهجمات والحدود الخاصة بالتطبيق. سيتم حماية الخدمة بملف تعريف يتم ضبطه مع حجم نسبة استخدام الشبكة المتوقع، مما يوفر دفاعاً أكثر إحكاماً ضد هجمات DDoS.

ما هي أنواع الموارد المحمية المدعومة؟

تعد عناوين IP العامة في الشبكات الظاهرية المستندة إلى ARM حالياً النوع الوحيد من أنواع الموارد المحمية. تتضمن الموارد المحمية عناوين IP العامة المرفقة بجهاز IaaS الظاهري أو موازن التحميل (موازنات التحميل الكلاسيكية والقياسية) أو مجموعة بوابة التطبيق (بما في ذلك WAF) أو جدار الحماية أو Bastion أو بوابة VPN أو Service Fabric أو الجهاز الظاهري للشبكة المستند إلى IaaS (NVA). تشمل الحماية أيضاً نطاقات IP العامة التي يتم إحضارها إلى Azure عبر بادئات IP المخصصة (BYOIPs).

للتعرف على القيود، راجع البنى المرجعية ل Azure DDoS Protection.

هل الموارد المحمية الكلاسيكية/RDFE مدعومة؟

يتم دعم الموارد المحمية المستندة إلى ARM فقط في المعاينة. لا يتم اعتماد الأجهزة الظاهرية في عمليات التوزيع الكلاسيكية/RDFE. الدعم غير مخطط حالياً للموارد الكلاسيكية/RDFE. لمزيد من المعلومات، راجع البنى المرجعية ل Azure DDoS Protection.

هل يمكنني حماية موارد PaaS الخاصة بي باستخدام DDoS Protection؟

لا يتم دعم برامج عناوين IP العامة المرفقة بخدمات VIP PaaS الفردية ومتعددة المستأجرين في الوقت الحالي. تتضمن أمثلة الموارد غير المدعومة التخزين المهمين وكبار الشخصيات لمراكز الأحداث وتطبيقات التطبيقات/الخدمات السحابية. لمزيد من المعلومات، راجع البنى المرجعية ل Azure DDoS Protection.

هل يمكنني حماية الموارد المحلية الخاصة بي باستخدام حماية DDoS؟

تحتاج إلى أن تكون نقاط النهاية العامة للخدمة المقترنة إلى شبكة ظاهرية في Azure ليتم تمكينها لـ DDoS protection. وتشمل الأمثلة على التصاميم ما يلي:

  • مواقع الويب (IaaS) في قواعد بيانات Azure والخلفية في مركز البيانات المحلي.
  • بوابة التطبيق في Azure (تم تمكين حماية DDoS على بوابة التطبيق/WAF) ومواقع الويب في مراكز البيانات المحلية.

لمزيد من المعلومات، راجع البنى المرجعية ل Azure DDoS Protection.

هل يمكنني تسجيل مجال خارج Azure وربطه بموارد محمية مثل جهاز ظاهري أو ELB؟

بالنسبة لسيناريوهات IP العامة، ستدعم خدمة DDoS Protection أي تطبيق بغض النظر عن مكان تسجيل المجال المرتبط أو استضافته طالما أن عنوان IP العام المرتبط مستضاف على Azure.

هل يمكنني تكوين نهج DDoS المطبق على الشبكات الظاهرية/عناوين IP العامة يدوياً؟

لا، لسوء الحظ تخصيص النهج غير متوفر في هذه اللحظة.

هل يمكنني سماح/حظر قائمة عناوين IP المحددة؟

لا، لسوء الحظ التكوين اليدوي غير متوفر في هذه اللحظة.

كيف يمكنني اختبار DDoS Protection؟

كم من الوقت يستغرق تحميل المقاييس على المدخل؟

يجب أن تكون المقاييس مرئية على المدخل في غضون 5 دقائق. إذا تعرض المورد للهجوم، ستبدأ المقاييس الأخرى في الظهور على المدخل في غضون 5-7 دقائق.

هل تخزن الخدمة بيانات العملاء؟

لا، لا تخزن خدمة Azure DDoS protection بيانات العميل.

هل يتم دعم توزيع VM واحد خلف IP العام؟

يتم دعم السيناريوهات التي يتم فيها تشغيل جهاز ظاهري واحد خلف IP عام ولكن لا يوصى بها. قد لا يبدأ تخفيف DDoS على الفور عند اكتشاف هجوم DDoS. ونتيجة لذلك، فإن عملية توزيع VM واحدة لا يمكن توسيع نطاقها ستنخفض في مثل هذه الحالات. لمزيد من المعلومات، راجع أفضل الممارسات الأساسية.