موزع Microsoft Cloud: استخدام Azure Front Door لتحقيق تسريع عالمي في تطبيقات الويب وحماية WAF

عندما تم طرح تطبيق الويب الخاص بك في السوق العالمية ، تبعت سلسلة من المشاكل الواقعية المزعجة واحدة تلو الأخرى: اشتكى المستخدمون الأوروبيون من أن صفحات الويب يتم تحميلها مثل سلحفاة ، وأن المستخدمين في الأمريكتين واجهوا هجمات DDoS المفاجئة التي تسببت في شل موقع الويب ، بينما الفريق الآسيوي يبقى مستيقظًا كل يوم لإصلاح الثغرات الأمنية في طبقات التطبيق المختلفة (Layer 7).

في الماضي ، قد تحتاج إلى إلقاء مجموعة كاملة من الهياكل المعقدة: شراء مجموعة من CDN العالمية ، ونشر جدران الحماية المادية باهظة الثمن ، وتكوين توازن تحميل إقليمي معقد (GSLB).

ولكن في Azure Ecology ، هناك خدمة تسمى "Ultimate Umother King"-

Azure Front Door (AFD للاختصار)

. انها وضعت

تسريع المحتوى العالمي (CDN) ، وموازنة التحميل العالمية ، وحماية أمن الشبكات (WAF) ، وتوجيه طبقة التطبيق

مزيج مثالي معا. اليوم ، يأخذك هذا البرنامج التعليمي المتعمق من الصفر ووضع "سترة عالمية متسارعة مضادة للرصاص" على تطبيق الويب الخاص بك.

1. المفهوم الأساسي: ما هو Azure Front Door ؟

يمكنك التفكير في Azure Front Door كمدير لوبي ذكي للغاية تنشره Microsoft على Edge.

تمتلك Microsoft شبكة أساسية كبيرة جدًا من الألياف الضوئية المخصصة حول العالم ، وقد رتبت عقد حافة Anycast في مئات المدن حول العالم.

[المستخدمون في جميع أنحاء العالم] ───> أقرب عقدة أزور (AFD) ─ (شبكة العمود الفقري للألياف الضوئية من Microsoft) ──> [خادم موقع المصدر الخاص بك]

│

(القيام بذلك هنا)

▼ ▼

[حماية أمان WAF] [ذاكرة التخزين المؤقت للمحتوى الثابت]

عندما يزور المستخدمون في جميع أنحاء العالم موقع الويب الخاص بك:

الوصول القريب: لن يتم توجيه حركة المرور ببطء على الشبكة العامة ، ولكن مباشرة من خلال تقنية Anycast ، تدخل مرحلة ثانية إلى العقدة الحافة الأقرب إلى المستخدم.

الطريق السريع: بعد الدخول إلى العقدة الهامشية ، ستذهب حركة المرور عبر "السكك الحديدية عالية السرعة" (شبكة العمود الفقري للألياف الضوئية الاحتكارية) داخل Microsoft مباشرة إلى خادم المصدر (بغض النظر عن مكان المصدر ، أو حتى على Azure).

تصفية الأمان: في عقدة الحافة ، سيمنع WAF (جدار حماية تطبيق الويب) الاختراق في 0.001 ثانية قبل أن تصل حركة المرور إلى الخادم الخاص بك.

ثانياً-المرحلة الأولى: إنشاء مثال لـ Azure Front Door

أولاً ، قم بتسجيل الدخول إلى Azure Portal ، أدخل في شريط البحث

"Front D

Oor"

، انقر فوق "إنشاء".

تقدم Microsoft نسختين:

Standard (الإصدار القياسي)

و

Premium (الإصدار المميز)

.

💡توصيات الاختيار: يوصى بشدة باختيار Premium في بيئة الإنتاج. لأن الإصدار المتقدم يتضمن الحماية من الروبوتات الضارة (Bot) ، وأفضل قواعد استضافة WAF في الصناعة (Microsoft Default Rule Set) ، وتحليل أمان أكثر قوة.

1-التكوين الأساسي

مجموعة الموارد: حدد أو أنشئ مجموعة موارد جديدة ، مثل Global-Web-RG.

Endpoint: هذا هو اسم المجال العام الذي يتم تعيينه تلقائيًا من قبل AFD ، مثل my-global-app-xxxx.azurefd.net (يمكنك ربط اسم المجال المستقل الخاص بك لاحقًا).

2. تكوين محطة المصدر (Origin)

الموقع المصدر هو الخادم الخلفي الذي تقوم بتشغيل موقع الويب الخاص بك بالفعل.

نوع المصدر (النوع الأصلي): يدعم خدمة التطبيقات داخل Azure ، والأجهزة الافتراضية ، وعناوين IP العامة ، وحتى Alibaba Cloud أو Tencent Cloud أو خوادم غرفة الكمبيوتر ذاتية البناء في بيئة غير Azure.

اسم المضيف: أدخل عنوان IP الحقيقي أو اسم المجال العام لخادم الموقع المصدر.

منفذ HTTPS: الافتراضي 443 (يوصى باستخدام قناة تشفير HTTPS طوال العملية).

3. تكوين قواعد التوجيه

بروتوكول إعادة التوجيه: يوصى بتحديد "HTTPS فقط" أو إعداد "إعادة توجيه HTTP إلى HTTPS".

ذاكرة التخزين المؤقت (Caching): افتح. بهذه الطريقة ، سيتم تخزين الصور و CSS و JS وغيرها من الموارد الثابتة لموقع الويب الخاص بك مباشرة في العقد الهامشية العالمية. عندما يصل المستخدم إليها ، "يستلم البضائع" مباشرة من المنطقة المحلية ، وتكون المحطة المصدر خالية تمامًا من الضغط.

انقر فوق "عرض إنشاء" وانتظر 2-3 دقائق ، وتم تهيئة شبكة التسارع العالمية الخاصة بك.

3. المرحلة الثانية: نشر سترة واقية من الرصاص WAF (حقن ضد SQL مع XSS)

من الجيد أن يعمل الموقع بسرعة ، لكن عليك البقاء على قيد الحياة أولاً. الآن نأتي لارتداء معطف WAF (جدار حماية تطبيق الويب) لـ Front Door.

في بوابة Azure ، ابحث عن "سياسات جدار حماية تطبيقات الويب (سياسات WAF)".

انقر على "إنشاء" ، يجب أن تختار "تطبيق السياسة" "Azure Front Door".

نقطة النهاية ذات الصلة: حدد مثيل Front Door الذي قمت بإنشائه للتو والطريق المقابل.

1-فتح قواعد الاستضافة الرسمية الشاملة

أدخل صفحة استراتيجية WAF

"قواعد الاستضافة"

علامات التبويب:

بشكل افتراضي ، سيقوم Azure تلقائيًا بالتحقق من أحدث

Microsof

T_DefaultRuleSet (DRS)

. هذه المجموعة من القواعد هي جوهر خبراء الأمن في Microsoft استنادًا إلى عدة تريليونات من الهجمات الإلكترونية في جميع أنحاء العالم كل يوم. يتم استخدامه خارج الصندوق ويعترض تلقائيًا السلوكيات عالية الخطورة التالية:

حقن SQL (SQLi): حاول سرقة أذونات قاعدة البيانات الخاصة بك من خلال النموذج.

البرامج النصية عبر المواقع (XSS): قم بحقن البرامج النصية الضارة في صفحة الويب الخاصة بك.

تنفيذ التعليمات البرمجية عن بعد (RCE): يستغل ثغرة أمنية في الخادم لتنفيذ أوامر الباب الخلفي مباشرة.

2. اعتراض الزواحف الخبيثة والروبوتات (Bot Protection)

انقر فوق "إضافة مجموعة قواعد الاستضافة" ، ضع علامة

Microsoft_BotManager RuleSet

.

يمكنه تحديد الزواحف الصديقة لمحركات البحث (مثل Googlebot و Bingbot) ، والتي هي برامج سرقة التذاكر الخبيثة ، أو مرسلي البريد العشوائي ، أو الروبوتات الضارة التي تقوم بتمرير حركة المرور ، ومنعها مباشرة على الخط الأمامي.

3-قواعد التخصيص: العقوبات الدقيقة

في بعض الأحيان تكون قواعد الاستضافة عامة جدًا ، فأنت تريد أن تكون شخصية. انقر

"قواعد مخصصة"

-> "إضافة قواعد مخصصة".

🛠مشهد القتال الفعلي: قم بسحب عنوان IP أو مقطع IP ضار من بلد/منطقة ضارة تمامًا. اسم القاعدة: BlockMaliciousGeo العملية: Deny. نوع المطابقة: الموقع الجغرافي (Geo-الموقع). قيمة المطابقة: حدد البلد أو المنطقة المحددة التي تتعرض لهجمات متكررة عليك. بعد الحفظ ، ستتلقى جميع الزيارات الخبيثة في المنطقة خطأ رفض 403 كبير في العقد الهامشية من Microsoft ، ولن تتمكن حتى من لمس مكان فتح باب الخادم الخاص بك.

4. المرحلة الثالثة: الاختبار القتالي الفعلي والتحقق من التأثير

بعد اكتمال التكوين ، انتظر حوالي 5 دقائق لإكمال التوجيه والاستراتيجية العالمية في وقت واحد. بعد ذلك ، نذهب لاختباره مثل المتسللين الحقيقيين والمستخدمين العالميين الحقيقيين.

1-التحقق من أثر التعجيل العالمي

افتح أداة اختبار السرعة العالمية متعددة العقدة/موقع الويب (مثل ITDOG أو Pingdom) وأدخل اسم المجال المخصص لـ Front Door.

ستندهش عندما تجد أنه سواء كان ذلك في نيويورك أو لندن أو طوكيو أو فرانكفورت ، فإن التأخير في جميع أنحاء العالم أصبح "قطعة خضراء" جميلة جدًا (عادة ما بين بضعة ميلي ثانية وعشرات من المللي ثانية).

السبب: صافح المستخدم مباشرة عقدة الحافة مباشرة من العمود الفقري لشركة Microsoft محليًا.

2. التظاهر بالقرصنة: إطلاق اعتراض WAF

نحن نطلق هجوم حقن SQL التناظري على موقع الويب الخاص بك في متصفحنا.

خلف نطاق Front Door الخاص بك ، قم فقط بتوضيح معلمة خبيثة مع ميزة حقن SQL:

[هت

Tps: // my-global-app-xxxx.azurefd.net/index.html? Id = 1] (ht

Tps: // my-

-أجل- Id = 1)'AND '1' = '1

في تلك اللحظة التي تضغط فيها على السيارة ، لن ترى صفحة الويب الخاصة بك ، ولكن بدلاً من ذلك سترى تلميحًا جليديًا:

HTTP Error 403. تم وضع علامة

انتقل إلى سجل Azure Monitor للتحقق ، وسترى بوضوح: طلب من عنوان IP العام الحالي الخاص بك ، لأنه تم تشغيله

SQLi

وفقًا للقواعد ، يتم إطلاق النار على العقدة الهامشية بواسطة WAF بشكل نظيف. خادم محطة المصدر الخاص بك لا يعرف حتى أن هناك من يمزح عليه.

5. متقدم: تكوين محطة متعددة المصادر للاستعداد للكوارث العالمية (Active-Active)

إذا كنت قويًا ، فقد قمت بنشر خادم ويب متماثلًا في كل من East US و Hong Kong. يمكن أن تساعدك Front Door مباشرة على تحقيق ذلك

الاستعداد العالمي للكوارث الحية المزدوجة

.

أدخل "مجموعة المصدر" الخاصة بـ AFD.

إضافة اثنين من الخوادم في غرب الولايات المتحدة وهونغ كونغ.

Probes Health: قم بإعداد إرسال طلب HTTPS كل 30 ثانية للتحقق مما إذا كانت محطة المصدر على قيد الحياة.

التأثير: عندما يزور المستخدمون الأوروبيون ، يقوم AFD تلقائيًا بتوجيه حركة المرور إلى غرفة الكمبيوتر الأمريكية الغربية القريبة ؛ عندما يزور المستخدمون الآسيويون ، يذهبون تلقائيًا إلى غرفة الكمبيوتر في هونغ كونغ. بمجرد تعليق غرفة الكمبيوتر في هونغ كونغ بسبب انقطاع التيار الكهربائي أو الفشل المفاجئ ، سيتم اكتشاف الكشف الصحي لـ AFD في غضون ثوانٍ قليلة ، وسيتم تحويل التدفق الكامل بسلاسة إلى غرفة الكمبيوتر الغربية الأمريكية على الفور. المستخدمون في جميع أنحاء العالم ، باستثناء الشعور بالتباطؤ قليلاً ، لن تنقطع الأعمال على الإطلاق!

تجنب الحفرة والملخص

عند الاستمتاع بالسرعة والأمان اللذين يجلبان Azure Front Door ، تأكد من تذكر الحركتين الرئيسيتين التاليتين:

قفل أمان الموقع المصدر (حد IP): بعد نشر AFD ، تأكد من الذهاب إلى خادم الموقع المصدر (أو جدار الحماية) لإعداداته: يُسمح فقط بالوصول إلى IP من علامة خدمة Azure Front Door (علامة الخدمة: AzureFrontDoor.Backend)! خلاف ذلك ، إذا كان المتسلل يعرف عنوان IP الحقيقي لمحطة المصدر الخاصة بك وتجاوز Front Door مباشرة للوصول إلى محطة المصدر الخاصة بك ، فسيكون WAF الخاص بك غير مجدي.

Detection Mode (Detection Mode): عند فتح قواعد استضافة WAF لأول مرة ، يوصى بأن يتم تعيين وضع السياسة أولاً على "Detection" لمراقبة السجلات لبضعة أيام. بعد التأكد من عدم وجود قتل غير صحيح (إنذار كاذب) لطلب المستخدم العادي ، قم بتبديله إلى وضع "منع" لاعتراضه تمامًا.

الخلاصة:

Azure Front Door هو تحديث الويب العالمي

سلاح مطلق للهندسة المعمارية. يبسط تحسين الشبكة العالمية المعقدة في الأصل وأمن الشبكة المتقدم في العديد من بطاقات التكوين الواضحة في السحابة. بالاستفادة منها بشكل جيد ، يمكن أن يحقق تطبيقك حقًا "سرعة عالمية ، مستقرة مثل جبل تاي".