ما هو تحديد المعدل ل Azure Front Door؟

يتيح لك تحديد المعدل اكتشاف وحظر مستويات عالية بشكل غير طبيعي من نسبة استخدام الشبكة من أي عنوان IP للمأخذ. باستخدام Azure Web Application Firewall في Azure Front Door، يمكنك التخفيف من بعض أنواع هجمات رفض الخدمة. كما يحميك تحديد المعدل من العملاء الذين تم تكوينهم بشكل خاطئ عن طريق الخطأ لإرسال كميات كبيرة من الطلبات في فترة زمنية قصيرة.

عنوان IP للمأخذ هو عنوان العميل الذي بدأ اتصال TCP ب Azure Front Door. عادة ما يكون عنوان IP للمأخذ هو عنوان IP للمستخدم، ولكنه قد يكون أيضا عنوان IP لخادم وكيل أو جهاز آخر يقع بين المستخدم وAzure Front Door إذا كان لديك العديد من العملاء الذين يصلون إلى Azure Front Door من عناوين IP مختلفة للمأخذ، فإن لكل منهم حدود معدل خاصة به مطبقة.

تكوين نهج تحديد معدل

يتم تكوين تحديد المعدل باستخدام قواعد WAF المخصصة.

عند تكوين قاعدة حد السعر، يمكنك تحديد الحد. الحد هو عدد طلبات الويب المسموح بها من كل عنوان IP للمأخذ في غضون فترة زمنية من دقيقة واحدة أو خمس دقائق.

يجب عليك أيضا تحديد شرط مطابقة واحد على الأقل، والذي يخبر Azure Front Door متى يتم تنشيط حد المعدل. يمكنك تكوين حدود أسعار متعددة تنطبق على مسارات مختلفة داخل التطبيق الخاص بك.

إذا كنت بحاجة إلى تطبيق قاعدة حد السعر على جميع طلباتك، ففكر في استخدام شرط مطابقة مثل المثال التالي:

يحدد شرط المطابقة السابق جميع الطلبات ذات Host الرأس الذي يزيد 0طوله عن . نظرا لأن جميع طلبات HTTP الصالحة ل Azure Front Door تحتوي على Host عنوان، فإن شرط المطابقة هذا له تأثير مطابقة جميع طلبات HTTP.

حدود المعدل وخوادم Azure Front Door

غالبا ما تصل الطلبات من نفس العميل إلى نفس خادم Azure Front Door. في هذه الحالة، ترى أن الطلبات محظورة بمجرد الوصول إلى حد المعدل لكل عنوان IP للعميل.

من الممكن أن تصل الطلبات من نفس العميل إلى خادم Azure Front Door مختلف لم يحدث عدادات حد المعدل حتى الآن. على سبيل المثال، قد يفتح العميل اتصال TCP جديدا لكل طلب، ويمكن توجيه كل اتصال TCP إلى خادم Azure Front Door مختلف.

إذا كان الحد منخفضا بما فيه الكفاية، يمكن أن يجتاز الطلب الأول إلى خادم Azure Front Door الجديد فحص حد المعدل. لذلك، بالنسبة إلى حد منخفض (على سبيل المثال، أقل من حوالي 200 طلب في الدقيقة)، قد ترى أن بعض الطلبات أعلى من الحد تمر.

بعض الاعتبارات التي يجب أخذها في الاعتبار أثناء تحديد قيم الحد ونوافذ الوقت للحد من المعدل:

• حجم النافذة الأكبر مع أصغر حد مقبول لعدد الطلبات هو التكوين الأكثر فعالية لمنع هجمات DDoS. هذا التكوين أكثر فعالية لأنه عندما يصل المهاجم إلى الحد الأدنى يتم حظره لبقية نافذة حد المعدل. لذلك، إذا تم حظر مهاجم في أول 30 ثانية من نافذة مدتها دقيقة واحدة، فإن معدله محدود فقط للثوان الثلاثين المتبقية. إذا تم حظر مهاجم في الدقيقة الأولى من نافذة مدتها خمس دقائق، فإن معدله محدود للدقائق الأربع المتبقية.
• تعيين أحجام نافذة زمنية أكبر (على سبيل المثال، خمس دقائق على دقيقة واحدة) وقيم الحد الأكبر (على سبيل المثال، 200 أكثر من 100) تميل إلى أن تكون أكثر دقة في فرض حدود الحد الأدنى للمعدل من استخدام أحجام النافذة الزمنية الأقصر وقيم الحد الأدنى.
• يعمل الحد من معدل جدار حماية تطبيق الويب ل Azure Front Door في فترة زمنية محددة. بمجرد خرق حد المعدل، يتم حظر جميع مطابقة نسبة استخدام الشبكة لقاعدة تحديد المعدل لبقية النافذة الثابتة.

الخطوات التالية

• تكوين تحديد المعدل على Azure Front Door WAF.
• مراجعة المعدل الذي يحد من أفضل الممارسات.