حماية DDoS للتطبيق (الطبقة 7)

يحتوي Azure WAF على العديد من آليات الدفاع التي يمكن أن تساعد في منع هجمات رفض الخدمة الموزعة (DDoS). يمكن أن تستهدف هجمات DDoS كلا من طبقة الشبكة (L3/L4) أو طبقة التطبيق (L7). يحمي Azure DDoS العميل من الهجمات الحجمية الكبيرة لطبقة الشبكة. يحمي Azure WAF الذي يعمل في الطبقة 7 تطبيقات الويب من هجمات L7 DDoS مثل HTTP Floods. يمكن أن تمنع هذه الدفاعات المهاجمين من الوصول إلى التطبيق الخاص بك وتؤثر على توفر التطبيق وأدائه.

كيف يمكنك حماية خدماتك؟

يمكن تخفيف هذه الهجمات عن طريق إضافة Web Application Firewall (WAF) أو وضع DDoS أمام الخدمة لتصفية الطلبات السيئة. يقدم Azure WAF الذي يعمل على حافة الشبكة مع Azure Front Door وفي مراكز البيانات باستخدام Application Gateway. هذه الخطوات هي قائمة معممة وتحتاج إلى تعديلها لتناسب خدمة متطلبات التطبيق الخاص بك.

  • انشر Azure Web Application Firewall (WAF) مع Azure Front Door Premium أو Application Gateway WAF v2 SKU للحماية من هجمات طبقة تطبيق L7.
  • قم بزيادة عدد مثيلات الأصل بحيث تكون هناك سعة احتياطية كافية.
  • تمكين Azure DDoS Protection على عناوين IP العامة الأصلية لحماية عناوين IP العامة من هجمات DDoS للطبقة 3(L3) والطبقة 4(L4). يمكن لعروض DDoS من Azure حماية معظم المواقع تلقائيا من هجمات L3 وL4 الحجمية التي ترسل أعدادا كبيرة من الحزم نحو موقع ويب. يوفر Azure أيضا حماية على مستوى البنية الأساسية لجميع المواقع المستضافة على Azure بشكل افتراضي.

Azure WAF مع Azure Front Door

يحتوي Azure WAF على العديد من الميزات التي يمكن استخدامها للتخفيف من العديد من أنواع الهجمات المختلفة، مثل فيضانات HTTP وتجاوز ذاكرة التخزين المؤقت والهجمات التي تطلقها شبكات الروبوت.

  • استخدم مجموعة القواعد المدارة لحماية الروبوت للحماية من الروبوتات السيئة المعروفة. لمزيد من المعلومات، راجع تكوين حماية الروبوت.

  • تطبيق حدود المعدل لمنع عناوين IP من الاتصال بالخدمة بشكل متكرر جدا. لمزيد من المعلومات، راجع تحديد المعدل.

  • حظر عناوين IP والنطاقات التي تحددها على أنها ضارة. لمزيد من المعلومات، راجع قيود IP.

  • قم بحظر أو إعادة التوجيه إلى صفحة ويب ثابتة أي حركة مرور من خارج منطقة جغرافية محددة، أو داخل منطقة محددة لا تناسب نمط حركة مرور التطبيق. لمزيد من المعلومات، اطلع على التصفية الجغرافية.

  • إنشاء قواعد WAF مخصصة لحظر هجمات HTTP أو HTTPS التي تحتوي على تواقيع معروفة وتحديد المعدل تلقائيا. توقيع مثل عامل مستخدم معين أو نمط حركة مرور معين بما في ذلك الرؤوس أو ملفات تعريف الارتباط أو معلمات سلسلة الاستعلام أو مجموعة من التواقيع المتعددة.

بالإضافة إلى WAF، يوفر Azure Front Door أيضا حماية Azure Infrastructure DDoS الافتراضية للحماية من هجمات DDoS L3/4. يمكن أن يساعد تمكين التخزين المؤقت على Azure Front Door في استيعاب ذروة حجم حركة المرور المفاجئة على الحافة وحماية الأصول الخلفية من الهجوم أيضا.

لمزيد من المعلومات حول الميزات وحماية DDoS على Azure Front Door، راجع حماية DDoS على Azure Front Door.

Azure WAF مع بوابة تطبيق Azure

نوصي باستخدام Application Gateway WAF v2 SKU الذي يأتي مع أحدث الميزات، بما في ذلك ميزات تخفيف L7 DDoS، للدفاع ضد هجمات L7 DDoS.

يمكن استخدام وحدات SKU WAF لبوابة التطبيق للتخفيف من العديد من هجمات DDoS L7:

  • قم بتعيين Application Gateway لتوسيع نطاقها تلقائيا وعدم فرض عدد المثيلات القصوى.

  • يوفر استخدام مجموعة القواعد المدارة لحماية الروبوت الحماية من الروبوتات السيئة المعروفة. لمزيد من المعلومات، راجع تكوين حماية الروبوت.

  • تطبيق حدود المعدل لمنع عناوين IP من الاتصال بالخدمة بشكل متكرر جدا. لمزيد من المعلومات، راجع تكوين القواعد المخصصة للحد من المعدل.

  • حظر عناوين IP والنطاقات التي تحددها على أنها ضارة. لمزيد من المعلومات، راجع الأمثلة في إنشاء قواعد مخصصة v2 واستخدامها.

  • قم بحظر أو إعادة التوجيه إلى صفحة ويب ثابتة أي حركة مرور من خارج منطقة جغرافية محددة، أو داخل منطقة محددة لا تناسب نمط حركة مرور التطبيق. لمزيد من المعلومات، راجع الأمثلة في إنشاء قواعد مخصصة v2 واستخدامها.

  • إنشاء قواعد WAF مخصصة لحظر هجمات HTTP أو HTTPS التي تحتوي على تواقيع معروفة وتحديد المعدل تلقائيا. تواقيع مثل عامل مستخدم معين أو نمط حركة مرور معين بما في ذلك الرؤوس أو ملفات تعريف الارتباط أو معلمات سلسلة الاستعلام أو مجموعة من التواقيع المتعددة.

الاعتبارات الأخرى

  • تأمين الوصول إلى عناوين IP العامة على الأصل وتقييد نسبة استخدام الشبكة الواردة للسماح فقط بنسبة استخدام الشبكة من Azure Front Door أو Application Gateway إلى الأصل. راجع الإرشادات الموجودة على Azure Front Door. يتم نشر Application Gateways في شبكة ظاهرية، تأكد من عدم وجود أي عناوين IP مكشوفة للجمهور.

  • قم بتبديل نهج WAF إلى وضع الوقاية. يعمل نشر النهج في وضع الكشف في السجل فقط ولا يمنع حركة المرور. بعد التحقق من نهج WAF واختباره باستخدام حركة مرور الإنتاج والضبط الدقيق لتقليل أي إيجابيات خاطئة، يجب عليك تحويل النهج إلى وضع الوقاية (وضع الحظر/الدفاع).

  • مراقبة نسبة استخدام الشبكة باستخدام سجلات Azure WAF لأي حالات شاذة. يمكنك إنشاء قواعد مخصصة لمنع أي حركة مرور مخالفة - عناوين IP المشتبه بها التي ترسل عددا كبيرا بشكل غير عادي من الطلبات، وسلسلة وكيل المستخدم غير العادية، وأنماط سلسلة الاستعلام الشاذة وما إلى ذلك.

  • يمكنك تجاوز WAF لنسبة استخدام الشبكة المشروعة المعروفة عن طريق إنشاء مطابقة القواعد المخصصة مع إجراء السماح لتقليل الإيجابيات الخاطئة. يجب تكوين هذه القواعد بأولوية عالية (قيمة رقمية أقل) من قواعد حد الكتلة والمعدل الأخرى.

  • كحد أدنى، يجب أن يكون لديك قاعدة حد معدل تمنع معدل مرتفع من الطلبات من أي عنوان IP واحد. على سبيل المثال، يمكنك تكوين قاعدة حد السعر لعدم السماح لأي عنوان IP عميل واحد بإرسال أكثر من نسبة استخدام الشبكة XXX لكل نافذة إلى موقعك. يدعم Azure WAF نافذتين لتعقب الطلبات، دقيقة و5 دقائق. يوصى باستخدام نافذة مدتها 5 دقائق للتخفيف بشكل أفضل من هجمات طوفان HTTP. يجب أن تكون هذه القاعدة قاعدة الأولوية الأدنى (يتم ترتيب الأولوية مع 1 كأولوية قصوى)، بحيث يمكن إنشاء قواعد حد معدل أكثر تحديدا أو قواعد المطابقة لمطابقتها قبل هذه القاعدة. إذا كنت تستخدم Application Gateway WAF v2، يمكنك الاستفادة من تكوينات إضافية للحد من المعدل لتعقب العملاء وحظرهم بواسطة أساليب أخرى غير عنوان IP للعميل. يمكن العثور على مزيد من المعلومات حول حدود المعدل على بوابة التطبيق waf في نظرة عامة على تقييد المعدل.

    يمكن أن يكون استعلام Log Analytics التالي مفيدا في تحديد الحد الذي يجب استخدامه للقاعدة أعلاه. للحصول على استعلام مشابه ولكن مع Application Gateway، استبدل "FrontdoorAccessLog" ب "ApplicationGatewayAccessLog".

    AzureDiagnostics
    | where Category == "FrontdoorAccessLog"
    | summarize count() by bin(TimeGenerated, 5m), clientIp_s
    | summarize max(count_), percentile(count_, 99), percentile(count_, 95)
    
  • توفر القواعد المدارة في حين لا تستهدف بشكل مباشر الدفاعات ضد هجمات DDoS الحماية من الهجمات الشائعة الأخرى. لمزيد من المعلومات، راجع القواعد المدارة (Azure Front Door) أو القواعد المدارة (بوابة التطبيق) لمعرفة المزيد حول أنواع الهجمات المختلفة التي يمكن أن تساعد هذه القواعد في الحماية منها.

تحليل سجل WAF

يمكنك تحليل سجلات WAF في Log Analytics باستخدام الاستعلام التالي.

الواجهة الأمامية لـ Azure

AzureDiagnostics
| where Category == "FrontdoorWebApplicationFirewallLog"

لمزيد من المعلومات، راجع Azure WAF مع Azure Front Door.

Azure Application Gateway

AzureDiagnostics
| where Category == "ApplicationGatewayFirewallLog"

لمزيد من المعلومات، راجع Azure WAF مع بوابة تطبيق Azure.

الخطوات التالية