الأسئلة المتداولة حول Azure DDoS Protection

حجب الخدمة الموزع أو DDoS، هو نوع من الهجمات حيث يرسل المهاجم طلبات إلى تطبيق أكثر مما يستطيع التطبيق معالجته. التأثير الناتج هو استنفاد الموارد، مما يؤثر على توفر التطبيق وقدرته على خدمة عملائه. وعلى مدى السنوات القليلة الماضية، شهدت الصناعة زيادة حادة في الهجمات، حيث أصبحت الهجمات أكثر تطوراً وأكبر حجماً. يمكن استهداف هجمات DDoS في أي نقطة نهاية يمكن الوصول إليها بشكل عام عبر الإنترنت.

توفر Azure DDoS Protection، جنبا إلى جنب مع أفضل ممارسات تصميم التطبيق، ميزات تخفيف DDoS محسنة للدفاع ضد هجمات DDoS. يتم ضبطها تلقائيًا للمساعدة في حماية موارد Azure المحددة في شبكة افتراضية. الحماية بسيطة لتمكين على أي شبكة ظاهرية جديدة أو موجودة، ولا تتطلب إجراء لأي تغييرات في التطبيق أو الموارد. لمزيد من المعلومات، راجع نظرة عامة على Azure DDoS Protection. 

تحتوي خطط حماية DDoS على رسوم شهرية ثابتة تغطي ما يصل إلى 100 عنوان IP عام. الحماية لموارد إضافية متاحة.

بموجب المستأجر، يمكن استخدام خطة حماية DDoS واحدة عبر اشتراكات متعددة، لذلك ليست هناك حاجة لإنشاء أكثر من خطة حماية DDoS واحدة.

عند توزيع Application Gateway مع WAF في شبكة VNet محمية ضد DDoS، لا توجد رسوم إضافية لـ WAF - أنت تدفع مقابل بوابة التطبيق بمعدل أقل بخلاف WAF. ينطبق هذا النهج على كل من وحدات SKU الخاصة بـ Application بوابة v1 وv2.

راجع تسعير Azure DDoS Protection للحصول على الأسعار والمزيد من التفاصيل.

إذا كنت بحاجة إلى حماية أقل من 15 من موارد IP العامة، فإن مستوى حماية IP هو الخيار الأكثر فعالية من حيث التكلفة. إذا كان لديك أكثر من 15 من موارد IP العامة للحماية، فإن مستوى حماية الشبكة أكثر فعالية من حيث التكلفة. توفر Network Protection أيضا ميزات إضافية، بما في ذلك الاستجابة السريعة لحماية DDoS (DRR)، وضمانات حماية التكلفة، وخصومات جدار حماية تطبيق الويب (WAF).

نعم. Azure DDoS Protection هي منطقة مرنة بشكل افتراضي.

لا يلزم تكوين العميل لتمكين المرونة. تتوفر المرونة في المنطقة لموارد Azure DDoS Protection بشكل افتراضي وتتم إدارتها من قبل الخدمة نفسها.

يمكن للعملاء استخدام خدمة Azure DDoS Protection بالاشتراك مع جدار حماية تطبيق الويب (WAF) للحماية في كل من طبقة الشبكة (الطبقة 3 و4، التي تقدمها Azure DDoS Protection) وفي طبقة التطبيق (الطبقة 7، التي تقدمها WAF). تشتمل عروض WAF على Azure Application بوابة WAF SKU وعروض جدار حماية تطبيقات الويب التابعة لجهات خارجية المتوفرة في Azure Marketplace.

الخدمات التي تعمل على Azure محمية بطبيعتها بواسطة حماية DDoS على مستوى البنية الأساسية الافتراضية. ومع ذلك، فإن الحماية التي تحمي البنية الأساسية لها حد أعلى بكثير من قدرة معظم التطبيقات على التعامل معها، ولا توفر القياس عن بُعد أو التنبيه، لذلك بينما قد يُنظر إلى حجم نسبة استخدام الشبكة على أنه غير ضار من قبل النظام الأساسي، فقد يكون مدمراً لـ التطبيق الذي يستقبلها.

من خلال الإلحاق بخدمة حماية Azure DDoS، يحصل التطبيق على مراقبة مخصصة للكشف عن الهجمات والحدود الخاصة بالتطبيق. سيتم حماية الخدمة بملف تعريف يتم ضبطه مع حجم نسبة استخدام الشبكة المتوقع، مما يوفر دفاعاً أكثر إحكاماً ضد هجمات DDoS.

تعد عناوين IP العامة في الشبكات الظاهرية المستندة إلى ARM حالياً النوع الوحيد من أنواع الموارد المحمية. تتضمن الموارد المحمية عناوين IP العامة المرفقة بجهاز IaaS الظاهري أو موازن التحميل (موازنات التحميل الكلاسيكية والقياسية) أو مجموعة بوابة التطبيق (بما في ذلك WAF) أو جدار الحماية أو Bastion أو بوابة VPN أو Service Fabric أو الجهاز الظاهري للشبكة المستند إلى IaaS (NVA). تشمل الحماية أيضاً نطاقات IP العامة التي يتم إحضارها إلى Azure عبر بادئات IP المخصصة (BYOIPs).

للتعرف على القيود، راجع البنى المرجعية ل Azure DDoS Protection.

يتم دعم الموارد المحمية المستندة إلى ARM فقط في المعاينة. لا يتم اعتماد الأجهزة الظاهرية في عمليات التوزيع الكلاسيكية/RDFE. الدعم غير مخطط حالياً للموارد الكلاسيكية/RDFE. لمزيد من المعلومات، راجع البنى المرجعية ل Azure DDoS Protection.

لا يتم دعم برامج عناوين IP العامة المرفقة بخدمات VIP PaaS الفردية ومتعددة المستأجرين في الوقت الحالي. تتضمن أمثلة الموارد غير المدعومة التخزين المهمين وكبار الشخصيات لمراكز الأحداث وتطبيقات التطبيقات/الخدمات السحابية. لمزيد من المعلومات، راجع البنى المرجعية ل Azure DDoS Protection.

تحتاج إلى أن تكون نقاط النهاية العامة للخدمة المقترنة إلى شبكة ظاهرية في Azure ليتم تمكينها لـ DDoS protection. وتشمل الأمثلة على التصاميم ما يلي:

• مواقع الويب (IaaS) في قواعد بيانات Azure والخلفية في مركز البيانات المحلي.
• بوابة التطبيق في Azure (تم تمكين حماية DDoS على بوابة التطبيق/WAF) ومواقع الويب في مراكز البيانات المحلية.

لمزيد من المعلومات، راجع البنى المرجعية ل Azure DDoS Protection.

بالنسبة لسيناريوهات IP العامة، ستدعم خدمة DDoS Protection أي تطبيق بغض النظر عن مكان تسجيل المجال المرتبط أو استضافته طالما أن عنوان IP العام المرتبط مستضاف على Azure.

لا، لسوء الحظ تخصيص النهج غير متوفر في هذه اللحظة.

لا، لسوء الحظ التكوين اليدوي غير متوفر في هذه اللحظة.

راجع الاختبار من خلال عمليات المحاكاة.

يجب أن تكون المقاييس مرئية على المدخل في غضون 5 دقائق. إذا تعرض المورد للهجوم، ستبدأ المقاييس الأخرى في الظهور على المدخل في غضون 5-7 دقائق.

لا، لا تخزن خدمة Azure DDoS protection بيانات العميل.

يتم دعم السيناريوهات التي يتم فيها تشغيل جهاز ظاهري واحد خلف IP عام ولكن لا يوصى بها. قد لا يبدأ تخفيف DDoS على الفور عند اكتشاف هجوم DDoS. ونتيجة لذلك، فإن عملية توزيع VM واحدة لا يمكن توسيع نطاقها ستنخفض في مثل هذه الحالات. لمزيد من المعلومات، راجع أفضل الممارسات الأساسية.