راهنمای استفاده از سرویس CDN آبالون

شبکه توزیع محتوای آبالون، با پاپ‌سایت‌های توزیع شده در ۵ قاره جهان، از اپلیکیشن‌ها و وب‌سایت شما در مقابل انواع تهدیدات سایبری از جمله شدیدترین حملات DDOS محافظت می‌کند. علاوه بر این محتوای شما بهینه‌تر، به‌صرفه‌تر و با سرعت بالاتر به دست کاربران می‌رسد و از DNS ابری سریع و همیشه در دسترس بهره‌مند می‌شوید. در این راهنما به شما کمک می‌کنیم با استفاده از سرویس CDN آبالون، کارایی و امنیت وب‌سایت‌ها و وب‌اپلیکیشن‌های خود را در سطح جهانی بهینه کنید.

مرحله ۱: مقدمات راه‌اندازی CDN

برای راه‌اندازی سرویس شبکه توزیع محتوا در آبالون، لازم است ابتدا یک حساب کاربری در آبالون ایجاد کنید. پس از ورود به کنسول مدیریت، به منوی «شبکه توزیع محتوا» مراجعه کرده و گزینه‌ «افزودن دامنه جدید» را انتخاب کنید. در این مرحله، دامنه‌ مورد نظر به‌عنوان یک منبع جدید ثبت می‌شود و آماده‌ پیکربندی برای توزیع بهینه‌ محتوا خواهد بود.

در مرحله‌ ثبت دامنه، کافی است نام دامنه‌ موردنظر را در فرم مربوط وارد کنید.

مرحله ۲: انتخاب بسته‌ سرویس

در این مرحله، کاربر پس از افزودن دامنه وارد صفحه‌ انتخاب بسته می‌شود. پلتفرم آبالون چند گزینه‌ برای استفاده از شبکه توزیع محتوا ارائه می‌دهد:

بسته‌ رایگان برای پروژه‌های شخصی و سبک در نظر گرفته شده و تنها امکانات پایه مانند فعال‌سازی CDN، کش فایل‌ها و برخی تنظیمات ابتدایی را شامل می‌شود. این بسته فاقد قابلیت‌هایی مانند WAF یا IP اختصاصی است.
بسته‌ استاندارد مناسب وب‌سایت‌هایی با نیاز متوسط است که به قابلیت‌هایی مانند تنظیمات DNS، کنترل ترافیک و فایروال کاربردی نیاز دارند.
بسته‌ پیشرفته با امکان فعال‌سازی SSL و Name Server اختصاصی، برای کسب‌وکارهایی با ترافیک بالاتر پیشنهاد می‌شود.
در نهایت، بسته‌ سازمانی که در این مستند بر اساس آن ادامه می‌دهیم، بالاترین سطح خدمات را ارائه می‌دهد و شامل IP اختصاصی، تنظیمات امنیتی کامل و قابلیت‌های ویژه برای سازمان‌های بزرگ است. در صورتی که بسته‌ی سازمانی را انتخاب کنید، امکان فعال‌سازی آن به‌صورت مستقیم از طریق پنل وجود ندارد. برای استفاده از این سطح خدمات، ابتدا باید درخواست فعال‌سازی ثبت شود. پس از ثبت درخواست، تیم پشتیبانی آبالون درخواست را بررسی کرده و برای هماهنگی‌های لازم، از طریق تماس تلفنی یا سایر کانال‌های ارتباطی با شما در ارتباط خواهند بود. فرآیند فعال‌سازی این بسته ممکن است شامل ارزیابی نیازمندی‌های فنی، ارائه پیشنهاد فنی متناسب با زیرساخت شما و تعریف سطح دسترسی سفارشی باشد.

پس از انتخاب این بسته، کاربر می‌تواند با کلیک روی دکمه‌ «ادامه»، وارد مرحله‌ بعدی راه‌اندازی شود.

مرحله ۳: ثبت دامنه و مدیریت رکوردهای DNS

پس از وارد کردن نام دامنه در پنل آبالون و کلیک روی گزینه‌ «افزودن دامنه»، سیستم به‌صورت خودکار اقدام به ایجاد رکوردهای A برای دامنه‌ی اصلی و زیر‌دامنه‌ی www می‌کند. این رکوردها در بخش «رکوردهای DNS» مربوط به شبکه توزیع محتوا ثبت می‌شوند.

رکوردهای ایجادشده باید به IP سروری اشاره داشته باشند که میزبانی اصلی وب‌سایت شما را برعهده دارد. برای اطمینان از صحت این تنظیمات، به مسیر «شبکه توزیع محتوا» ← «رکوردهای DNS» در پنل کاربری مراجعه کرده و مقدار ثبت‌شده در هر رکورد A را با IP واقعی سرور خود مطابقت دهید. در صورتی که IP درج‌شده با آدرس سرور اصلی شما مغایرت داشت، می‌توانید از طریق گزینه‌ «ویرایش» نسبت به اصلاح آن اقدام کنید.

نکته مهم: توجه داشته باشید که حذف یا تغییر بی‌دلیل این رکوردهای پیش‌فرض ممکن است موجب اختلال در عملکرد سرویس شود.

در شرایطی که به هر دلیل هیچ رکوردی به‌صورت خودکار ثبت نشود، لازم است رکوردهای A را به‌صورت دستی در همین بخش تعریف و تنظیم کنید.

مرحله ۴: تنظیم Name Server برای دامنه

پس از ثبت دامنه و بررسی رکوردهای DNS، لازم است Name Serverهای اختصاص‌یافته به دامنه‌ خود را در پنل رجیسترار (ثبت‌کننده‌ دامنه) تنظیم کنید. در این مرحله، آبالون دو مقدار NS را نمایش می‌دهد که باید به‌عنوان Name Server اصلی و ثانویه در تنظیمات دامنه رجیسترار ثبت شوند. NSهای آبالون به این شرح است:

ns1.abaloncdn.com
ns2.abaloncdn.com

برای اعمال این تنظیمات، به پنل مدیریت دامنه‌ای که نزد رجیسترار ثبت کرده‌اید (مانند ایرنیک یا سایر سرویس‌دهندگان) مراجعه کرده و Name Serverهای پیش‌فرض را با مقادیر ارائه‌شده در سامانه آبالون جایگزین کنید. این بخش را در مراحل بعدی توضیح می‌دهیم.

نکته مهم: توجه داشته باشید که می‌توانید از این مرحله گذر کنید و تنظیمات مرتبط با رجیسترار را پس از طی کردن خرید سرویس CDN نیز اعمال کنید. اما در صورت گذر از این مرحله، دامنه شما تحت پوشش سرویس CDN قرار نمی‌گیرد و به این منظور، لازم است مراحل ثبت NSها در رجیسترار را از طریق بخش «رکوردهای دامنه» طی کنید.

با کلیک روی گزینه‌ «ادامه»، وارد مرحله‌ بعدی خواهید شد.

نکته: بدون تنظیم صحیح NS در پنل رجیسترار، ترافیک دامنه از CDN گذر نخواهد کرد؛‌ اما می‌توانید فرایند خرید بررسی، تایید و خرید سرویس CDN را ادامه دهید و پس از آن اقدام به تغییر تنظیمات مرتبط با رجیسترار کنید.

مرحله ۵: بررسی نهایی و تأیید سرویس

در این مرحله، اطلاعات واردشده برای دامنه و جزئیات بسته‌ انتخابی مرور می‌شوند تا قبل از نهایی‌سازی، امکان بررسی و اعمال اصلاحات احتمالی وجود داشته باشد. در این بخش موارد زیر به‌صورت شفاف نمایش داده می‌شود:

نام دامنه: دامنه‌ای که در مراحل قبلی تعریف شده است.
بسته انتخابی: نام پلن فعال‌شده (در این تصویر: پیشرفته)، همراه با مدت زمان اشتراک (مثلاً یک‌ماهه یا شش‌ماهه).
ویژگی‌های فنی بسته: شامل مواردی مثل پوشش جهانی CDN، حفاظت در برابر حملات DDoS، امکان استفاده از NS اختصاصی و قابلیت Rate Limit.
جزئیات مالی: شامل هزینه پایه سرویس، میزان تخفیف (در صورت درج کد) و مبلغ نهایی قابل پرداخت.

در صورتی که کد تخفیف در اختیار دارید، می‌توانید آن را در بخش مربوط وارد کرده و با انتخاب گزینه «اعمال کد تخفیف» از اعتبار آن استفاده کنید. همچنین امکان دریافت پیش‌فاکتور برای بررسی و ارسال به واحدهای مالی نیز فراهم است. پس از اطمینان از درستی اطلاعات نمایش‌داده‌شده، با کلیک روی دکمه‌ی «تأیید و ادامه» وارد مرحله‌ پایانی فعال‌سازی خواهید شد.

مرحله ۶: جزئیات دامنه

در منوی جزئیات دامنه موارد زیر در دسترس هستند:

جزئیات دامنه: شامل اطلاعات بسته سرویس CDN و امکان تغییر بسته فعلی
افزایش منابع: برای خرید منابع اضافه از جمله ترافیک یا قوانین صفحه
تمدید بسته: برای تمدید بسته فعلی سرویس CDN
پرداخت خودکار: برای فعال‌سازی تمدید خودکار دوره مصرف و خرید خودکار ترافیک مصرفی
تاریخچه سرویس: برای نمایش تاریخچه تغییرات سرویس CDN

سربرگ جزئیات دامنه

در بالای صفحه، وضعیت بسته‌ CDN نمایش داده می‌شود. در صورتی که بسته فعال باشد یا تمدید خودکار آن فعال شده باشد، این موضوع از همین بخش قابل‌مشاهده است. سمت راست صفحه، مشخصات دامنه، تاریخ شروع و تاریخ پایان بسته را نمایش می‌دهد. اطلاعات مربوط به میزان مصرف بسته در بخش سمت چپ قرار دارد. در این قسمت می‌توانید میزان ترافیک بسته و نیز ترافیک، قوانین صفحه و مجموع لاگ‌های خریداری شده را مشاهده کنید. برای تغییر بسته، کافی است روی گزینه «بررسی و تغییر بسته» کلیک کنید. در این بخش می‌توانید مقایسه کاملی از بسته‌های سرویس CDN را مشاهده کرده و بسته‌ موردنظر خود را تغییر دهید.

افزایش منابع

در این بخش می‌توانید منابع بسته را افزایش دهید. کافی است مقدار ترافیک مورد نظر را بر حسب گیگابایت وارد کنید و در صورت نیاز، تعداد قوانین صفحه را هم مشخص کنید. در سمت چپ صفحه، هزینه‌ مربوط به ترافیک وقوانین صفحه به‌صورت لحظه‌ای محاسبه و نمایش داده می‌شود.

تمدید بسته CDN

در این بخش می‌توانید مدت‌زمان موردنظر برای تمدید بسته را انتخاب کنید. بسته به نیاز خود، یکی از گزینه‌های یک‌ماهه، سه‌ماهه یا شش‌ماهه را فعال کنید. گزینه‌ انتخاب‌شده به‌صورت رنگی مشخص می‌شود. هزینه‌ تمدید بر اساس دوره‌ انتخابی در سمت چپ صفحه نمایش داده می‌شود.

پرداخت خودکار

در این بخش می‌توانید پرداخت خودکار را برای تمدید سرویس یا افزایش ترافیک فعال کنید. در صورت فعال‌سازی این گزینه‌ها، سیستم به‌صورت خودکار و بر اساس تنظیمات واردشده، عملیات موردنظر را انجام خواهد داد. با فعال‌کردن گزینه‌ تمدید خودکار مصرف CDN، در صورت پایان سرویس، تمدید آن بدون نیاز به تأیید دستی و بر اساس مشخصات قبلی انجام می‌شود. همچنین در صورت فعال‌سازی گزینه‌ افزایش ترافیک سرویس CDN به‌صورت خودکار، زمانی که مصرف ترافیک به ۹۰ درصد برسد، میزان مشخصی ترافیک جدید به بسته اضافه خواهد شد. مقدار ترافیک قابل‌افزایش در همین بخش قابل تنظیم است. توجه داشته باشید که فرایند تمدید خودکار دوره مصرف و افزایش خودکار ترافیک تنها در صورتی انجام می‌شود که کیف‌پول پنل کاربری شما به میزان کافی شارژ داشته باشد. همچنین این دو قابلیت به طور جداگانه برای هر دامنه قابل تنظیم است.

تاریخچه سرویس

در این بخش می‌توانید تاریخچه‌ سرویس‌ خود را مشاهده کنید. هر رکورد شامل اطلاعات مربوط به نام دامنه، تاریخ شروع، نوع بسته، میزان ترافیک خریداری‌شده، تعداد قوانین صفحه و وضعیت تمدید است.

مرحله ۷:‌ وایت‌لیست کردن IPهای CDN

پس از ثبت دامنه در پنل کاربری آبالون و تنظیم NameServerهای مربوطه، مرحله‌ بعد برای فعال‌سازی کامل سرویس CDN و وایت‌لیست کردن IP سرورهای لبه‌ CDN آبالون روی سرور اصلی میزبان وب‌سایت است. زمانی که سایت شما از شبکه توزیع محتوای آبالون استفاده می‌کند، تمامی ترافیک‌های کش نشده شما، از طریق IPهای زیرساخت CDN آبالون به سرور اصلی سایت منتقل می‌شوند.

در صورتی‌که سرور اصلی (یا هاست اشتراکی مورد استفاده شما) مجهز به فایروال عمومی یا سیستم‌های امنیتی باشد، ممکن است این ترافیک را به‌عنوان حمله شناسایی کرده و IPهای آبالون را مسدود کند. در نتیجه، سرور هیچ پاسخی به درخواست‌های دریافتی از سرورهای لبه‌ی آبالون نخواهد داد و سایت بارگذاری نخواهد شد. برای جلوگیری از این مشکل، لازم است تمامی IPهای اختصاصی آبالون در فایروال سرور اصلی یا هاست اشتراکی، به‌عنوان منابع مجاز (Whitelist) تعریف شوند.

لیست IPهای سرورهای لبه‌ CDN آبالون به شرح زیر است. می‌توانید لیست IPها را در اختیار شرکت میزبان یا تیم فنی خود قرار دهید تا در تنظیمات امنیتی سرور اعمال شود.

138.128.227.0/24

مرحله ۸: تنظیم رکوردهای NS پس از ثبت دامنه

پس از ثبت دامنه در پنل کاربری آبالون، در بخش «رکوردهای DNS»، دو رکورد Name Server برای دامنه‌ی شما نمایش داده می‌شود. این رکوردها باید در پنل رجیسترر دامنه (یا وب‌سایتی که دامنه را از آن تهیه کرده‌اید) جایگزین رکوردهای NS قبلی شوند.

نکته: ترتیب وارد کردن رکوردهای NS در پنل رجیسترر هیچ تفاوتی ایجاد نمی‌کند و اهمیتی ندارد.

با انجام این مرحله، اتصال دامنه شما به زیرساخت DNS آبالون برقرار شده و مراحل فعال‌سازی CDN و سایر خدمات به‌درستی ادامه خواهد یافت.

آموزش تغییر رکورد NS در پنل ایرنیک برای اتصال به آبالون

در ادامه در مورد نحوه تغییر رکورد NS در پنل ایرنیک توضیح می‌دهیم. این تنظیمات برای سایر پنل‌ها از جمله name.com هم کم‌وبیش مشابه است و از طریق بخش به نام Current Nameservers یا موارد مشابه انجام می‌شود.

وارد سایت ایرنیک شوید:
از منوی بالای صفحه، روی گزینه‌ «دامنه‌ها» کلیک کرده و سپس «دامنه‌های من» را انتخاب کنید.

با وارد کردن نام کاربری و رمز عبور وارد حساب کاربری خود شوید.

در لیست دامنه‌ها، روی نام دامنه‌ای که می‌خواهید NS آن را تغییر دهید، کلیک کنید. گزینه‌ «ویرایش ردیف‌های کارگزاری نام و میزبانی دامنه» را انتخاب کنید.

رکوردهای NS ارائه‌شده توسط آبالون را به‌جای رکوردهای قبلی وارد کنید. (نیازی به وارد کردن IP کارگزار نیست، این بخش اختیاری است.)
روی دکمه‌ی «اعمال» یا «ذخیره» کلیک کنید تا تغییرات ثبت شوند.

نکته مهم: توجه داشته باشید که اعمال این تغییرات ممکن است بسته به رجیسترار شما، بین چند دقیقه تا چند ساعت طول بکشد تا در سطح جهانی به‌روزرسانی شود.

مرحله ۹: انتقال ساختار DNS به آبالون با فایل Zone

مدیریت رکوردهای DNS در ابعاد حرفه‌ای، به ابزاری نیاز دارد که سریع، دقیق و قابل اطمینان باشد. فایل DNS Zone دقیقاً برای همین منظور طراحی شده است. این فایل متنی ساده، شامل اطلاعات کامل تمامی رکوردهای مربوط به دامنه و زیردامنه‌ها در یک ناحیه مشخص است. زمانی که قصد دارید دامنه‌ای را به DNS آبالون منتقل کنید، به‌جای ثبت دستی رکوردها، می‌توانید با بارگذاری فایل Zone، تمام تنظیمات را به صورت یکپارچه وارد پنل آبالون کنید.

پیش از شروع، فایل Zone را تهیه کنید

برای بارگذاری اطلاعات DNS در آبالون، ابتدا باید به فایل Zone دامنه‌تان دسترسی داشته باشید. بسیاری از سرویس‌های ارائه‌دهنده DNS این امکان را از طریق پنل مدیریتی در اختیار شما قرار می‌دهند. اگر DNS فعلی شما مبتنی بر BIND است، این فایل معمولاً در تنظیمات named.conf یا مسیرهای مشابه در دسترس قرار دارد. دقت داشته باشید که فایل باید ساختاری منطبق با استاندارد BIND داشته باشد تا بدون خطا در سامانه بارگذاری شود.

نکاتی مهم هنگام بارگذاری فایل Zone

فایل DNS Zone باید شرایط زیر را داشته باشد تا در آبالون پذیرفته شود:

عبارت‌هایی مانند $ORIGIN ،$INCLUDE و $GENERATE در فایل نادیده گرفته خواهند شد. اگر رکوردی فاقد مقدار TTL باشد، مقدار پیش‌فرض ۱۲۰ ثانیه برای آن اعمال می‌شود. همچنین تنها نوع خاصی از رکوردها در هنگام بارگذاری پشتیبانی می‌شوند. این رکوردها شامل A ،AAAA ،CNAME ،MX ،NS ،SOA ،PTR ،TXT ،SRV و CAA هستند.

در صورتی که فایل Zone شامل رکوردهای SOA یا NS باشد، این موارد توسط آبالون نادیده گرفته شده و نسخه‌ استاندارد و بهینه‌ آن‌ها به‌صورت خودکار جایگزین می‌شود.

بارگذاری فایل در پنل آبالون

برای شروع فرآیند، وارد پنل آبالون شوید و از منوی سمت راست، بخش «شبکه توزیع محتوا (CDN)» را انتخاب کنید. سپس به قسمت «رکوردهای DNS» بروید. در این بخش می‌توانید فایل DNS Zone خود را انتخاب کرده و بارگذاری کنید. پس از پردازش فایل، تمامی رکوردهای معتبر به صورت خودکار در زیرساخت DNS آبالون ثبت و فعال می‌شوند.

پس از ورود به بخش «رکوردهای DNS» در پنل آبالون، گزینه‌ای با عنوان «وارد کردن DNS» نمایش داده می‌شود. با انتخاب این گزینه، پنجره‌ای جدید باز خواهد شد که امکان انتخاب فایل DNS Zone ذخیره‌شده روی سیستم شما را فراهم می‌کند. در این مرحله کافی است فایل مربوط به دامنه‌تان را انتخاب کرده و برای بارگذاری تأیید کنید. با انجام این کار، رکوردهای موجود در فایل به‌صورت خودکار به ساختار DNS دامنه در آبالون منتقل می‌شوند.

مرحله ۱۰:‌ افزودن رکوردهای DNS در پنل آبالون

زمانی که مقادیر Name Server دامنه به آدرس‌هایی که توسط آبالون ارائه شده‌اند تغییر پیدا می‌کند، سامانه‌ DNS آبالون به‌عنوان سرویس‌دهنده‌ی اصلی دامنه فعال می‌شود. از این مرحله به بعد، تمامی رکوردهای مربوط به دامنه باید به‌صورت دقیق در پنل کاربری تعریف شوند تا نام دامنه و کلیه‌ی زیردامنه‌های آن به درستی پاسخ‌ داده شوند و وب‌سایت بدون اختلال در دسترس قرار گیرد.

برای پیکربندی صحیح، ضروری است با انواع مختلف رکوردهای DNS و مقادیر موردنیاز برای هرکدام آشنا باشید. آشنایی با ساختار هر رکورد به شما کمک می‌کند تا تنظیمات دامنه را به‌شکلی دقیق و پایدار انجام دهید.

رکوردهای A و AAAA

رکورد A به‌منظور اتصال یک نام دامنه به یک آدرس IP نسخه چهارم (IPv4) تعریف می‌شود. در مقابل، رکورد AAAA امکان ثبت آدرس‌های IP نسخه ششم (IPv6) را فراهم می‌کند. هر دو نوع رکورد برای هدایت ترافیک کاربران به سمت سروری استفاده می‌شوند که مسئول ارائه‌ محتوای وب‌سایت است. این سرور، همان سرور اصلی میزبان دامنه‌ شما محسوب می‌شود.

برای افزودن این رکوردها، کافی است نام دامنه یا زیردامنه‌ مورد نظر را مشخص کرده و مقدار IP مربوط به سرور میزبان را وارد کنید. با ثبت این اطلاعات، هر درخواست DNS به‌درستی به سمت زیرساخت میزبان هدایت خواهد شد.

مشخصات فیلدهای مربوط به رکوردهای DNS

هنگام تعریف یک رکورد DNS در پنل آبالون، لازم است سه بخش اصلی را با دقت تکمیل کنید: عنوان (نام رکورد)، مقدار (مقصد) و مدت‌ زمان اعتبار (TTL). در ادامه نحوه‌ تنظیم هر بخش توضیح داده شده است.

عنوان

در این فیلد، نام دامنه یا زیردامنه‌ای وارد می‌شود که رکورد به آن مربوط است. اگر از نماد @ استفاده کنید، به معنای ارجاع به دامنه‌ اصلی شما خواهد بود.

برای ثبت صحیح عنوان، رعایت قواعد زیر ضروری است:

نام باید با یک حرف یا عدد آغاز شود. شروع با کاراکترهای خاص مجاز نیست.
پایان نام می‌تواند با حرف یا عدد باشد.
استفاده از کاراکترهای خاص مانند @، $، # و موارد مشابه در میانه یا انتهای نام مجاز نیست.
طول کل نام نباید از ۶۳ کاراکتر بیشتر باشد.

مقدار

در این بخش، آدرس مقصد وارد می‌شود. برای رکوردهای A یا AAAA، این مقدار باید برابر با IP سرور اصلی میزبان وب‌سایت باشد. اطمینان حاصل کنید که IP وارد شده دقیقاً با سروری که میزبان دامنه است مطابقت دارد.

مدت‌ زمان اعتبار (TTL)

این مقدار تعیین می‌کند که اطلاعات رکورد برای چه مدت در حافظه‌ی کش سرورهای DNS ذخیره بماند. مقدار پیش‌فرض در سیستم آبالون ۲ دقیقه در نظر گرفته شده است. به این معنی که اگر تغییری در رکورد ایجاد شود، انتشار آن در شبکه DNS حدود دو دقیقه زمان خواهد برد. امکان تنظیم مقدار TTL بر اساس نیازهای فنی خاص نیز وجود دارد.

در صورتی که سرور اصلی شما از آدرس‌های IPv6 پشتیبانی می‌کند، باید از رکورد AAAA استفاده شود. این نوع رکورد، مشابه رکورد A، آدرس IP نسخه ششم را به دامنه یا زیردامنه‌ی انتخاب‌شده متصل می‌کند. تنظیم این نوع رکورد از طریق بخش «مدیریت رکوردهای DNS» در پنل آبالون انجام می‌شود. کافی است نوع رکورد را روی AAAA قرار داده، نام دامنه یا زیردامنه را وارد کنید و مقدار IP نسخه ششم سرور میزبان را درج کنید. پس از ذخیره، تغییرات بلافاصله اعمال خواهد شد.

رکوردهای CNAME و ANAME

رکورد CNAME وظیفه دارد درخواست مربوط به یک نام دامنه را به نام دامنه‌ی دیگری هدایت کند. برای مثال، اگر کاربری در مرورگر آدرس example.com را وارد کند، این درخواست می‌تواند به example1.com منتقل شود. این نوع رکورد به‌طور مستقیم به یک آدرس IP اشاره نمی‌کند. رکورد ANAME عملکردی مشابه دارد، با این تفاوت که می‌تواند در سطح دامنه‌ی اصلی نیز مورد استفاده قرار گیرد.

رکورد ANAME

رکورد ANAME رفتاری شبیه به ترکیبی از A و CNAME دارد. در حالی که ظاهر آن مانند CNAME بر پایه‌ی نام دامنه است، نتیجه‌ی نهایی عملکرد آن مشابه رکورد A خواهد بود و دامنه را مستقیماً به یک آدرس IP متصل می‌کند. تفاوت این رکورد با CNAME در این است که به‌جای ارجاع به یک نام دیگر، پاسخ نهایی به‌صورت یک IP بازگردانده می‌شود. برای هدایت درخواست‌های مرتبط با دامنه‌ی اصلی به یک دامنه‌ی دیگر، استفاده از رکورد ANAME ضروری است.

رکورد NS

رکورد NS مشخص می‌کند که مدیریت رکوردهای DNS یک دامنه در اختیار کدام سرور نام (Name Server) قرار دارد. هر دامنه ممکن است چند رکورد NS داشته باشد که یکی از آن‌ها به عنوان سرور اصلی و سایرین به عنوان سرورهای پشتیبان عمل می‌کنند. در حالت عادی، تنظیم این رکورد به‌صورت مستقیم در بخش مدیریت رکوردهای پنل آبالون ضرورتی ندارد، مگر در شرایط خاص که نیاز به کنترل دستی یا ساختار سفارشی وجود داشته باشد.

رکورد MX

رکورد MX تعیین می‌کند که ایمیل‌های مربوط به یک دامنه باید به کدام سرور ایمیل ارسال شوند. این نوع رکورد همیشه باید به یک نام دامنه اشاره کند و استفاده از آدرس IP در آن مجاز نیست. برای تعریف این رکورد، در قسمت عنوان، نام زیردامنه مورد نظر یا نماد @ را برای دامنه‌ی اصلی وارد کنید. در بخش مقدار نیز نام دامنه‌ای را بنویسید که سرویس ایمیل از آن دریافت می‌شود. در صورتی که چند سرور ایمیل دارید، می‌توانید چندین رکورد MX تعریف کنید و با استفاده از فیلد اولویت مشخص نمایید که کدام سرور در اولویت قرار دارد.

رکورد SRV

رکورد SRV برای معرفی سروری استفاده می‌شود که یک سرویس خاص را ارائه می‌دهد. در بخش «رکوردهای DNS» نوع رکورد را روی SRV بگذارید، عنوان را به صورت service._proto.example.com_@ وارد کنید، شماره پورت سرویس را مشخص کرده و در مقدار، نام دامنه‌ی مقصد را بنویسید. در صورت نیاز به چند رکورد SRV، می‌توانید با تنظیم فیلدهای وزن و اولویت، نحوه توزیع ترافیک را مدیریت کنید.

رکورد SRV برای تعیین اولویت و وزن سرورهایی به کار می‌رود که در یک سرویس خاص تعریف شده‌اند. «اولویت» این امکان را فراهم می‌کند که یک سرور نسبت به سایر سرورها در دریافت ترافیک مقدم باشد؛ به این صورت که سروری با عدد اولویت پایین‌تر، ترافیک بیش‌تری دریافت می‌کند. در مقابل، «وزن» زمانی مؤثر است که چند سرور دارای اولویت یکسان باشند. در چنین شرایطی، سروری که وزن بالاتری دارد، سهم بیش‌تری از ترافیک خواهد داشت.

تفاوت اصلی میان اولویت و وزن در این است که ابتدا اولویت بررسی می‌شود. اگر سرورها دارای اولویت متفاوت باشند، وزن نادیده گرفته می‌شود و ترافیک به سمتی هدایت می‌شود که عدد اولویت پایین‌تری دارد. اما در صورتی که چند سرور اولویتی برابر داشته باشند، آنگاه وزن آن‌ها بررسی می‌شود تا مشخص شود کدام سرور ترافیک بیشتری دریافت کند.

رکورد TXT

رکورد TXT نوعی رکورد متنی در DNS است که برای اهداف گوناگونی استفاده می‌شود؛ یکی از مهم‌ترین کاربردهای آن، تأیید هویت ایمیل و پشتیبانی از رکوردهای SPF و DKIM است. برای ایجاد این نوع رکورد، کافی‌ست نوع رکورد را «TXT» انتخاب کرده، در قسمت نام یا عنوان، نماد @ را وارد کنید (که نمایانگر دامنه‌ی اصلی شماست) و در قسمت مقدار، رشته‌ی متنی موردنظر را قرار دهید.

رکورد CAA

رکورد CAA برای افزایش امنیت دامنه و جلوگیری از صدور ناخواسته یا غیرمجاز گواهی‌های SSL/TLS طراحی شده است. با تعریف این رکورد در DNS، می‌توان به‌طور دقیق مشخص کرد که کدام مرجع صدور گواهی (CA) مجاز به صدور گواهی برای آن دامنه است. این اقدام به حفظ یکپارچگی دامنه و جلوگیری از سوءاستفاده‌های احتمالی کمک می‌کند. برای ایجاد رکورد CAA در پنل آبالون، ابتدا دامنه‌ موردنظر را در پنل کاربری انتخاب کرده، وارد بخش «رکوردهای DNS» شوید و یک رکورد جدید از نوع CAA تعریف کنید. در این رکورد، باید پارامترهایی مانند «نوع مجوز» (مانند issue یا issuewild) و «نام CA» (مثلاً letsencrypt.org) را مشخص کنید.

در بخش عنوان، نام دامنه‌ای را که قصد ثبت رکورد برای آن دارید وارد کنید. چنانچه رکورد مربوط به دامنه‌ی اصلی (root) باشد، در فیلد عنوان از نماد «@» استفاده کنید. اما اگر رکورد به زیر دامنه‌ی خاصی تعلق دارد، تنها نام همان زیر دامنه را وارد کنید.

در قسمت تگ، نوع رفتار DNS نسبت به رکورد CAA تعیین می‌شود. سه حالت معتبر برای تگ وجود دارد:

اجازه به هاست‌نِیم مشخص: در این حالت، رکورد CAA فقط برای هاست‌نیمی که در عنوان مشخص شده معتبر است.
اجازه به حالت wildcard: این حالت نشان می‌دهد که رکورد برای کل دامنه، شامل دامنه‌ اصلی و تمامی زیر دامنه‌ها معتبر است.
ارسال گزارش تخلف: این گزینه به مراجع صدور گواهی (CA) اجازه می‌دهد که در صورت وجود درخواست صدور گواهی نامعتبر، آن را به مالک دامنه گزارش دهند.

در بخش CA، نام مرجع صدور گواهی مورد نظر خود را وارد کنید؛ برای مثال: letsencrypt.org

رکورد TLSA

وقتی برنامه‌ها از طریق اینترنت با یکدیگر ارتباط برقرار می‌کنند، نیاز دارند از صحت و امنیت این ارتباط مطمئن باشند تا از دستکاری یا جعل اطلاعات جلوگیری شود. پروتکل TLS (مخفف Transport Layer Security) با بهره‌گیری از رمزنگاری، چنین امنیتی را فراهم می‌کند.

با این حال، میزان اطمینان‌پذیری این رمزنگاری به درستی کلیدهایی وابسته است که در آن استفاده می‌شود. در صورتی که کلید خصوصی در اختیار افراد غیرمجاز قرار گیرد یا کلید عمومی با نمونه‌ای جعلی جایگزین شود، امنیت ارتباط عملاً از بین خواهد رفت. برای مقابله با این تهدید، ابتدا باید از صحت رکوردهای DNS از طریق DNSSEC اطمینان حاصل شود. سپس می‌توان کلید عمومی یا هش آن را در رکوردهای DNS ذخیره کرد و به‌گونه‌ای تنظیم کرد که این اطلاعات برای یک هاست، پورت و پروتکل مشخص معتبر باشند. در این صورت، زمانی که کاربر کلید عمومی را از سمت وب‌سرور دریافت می‌کند، مرورگر می‌تواند آن را با رکورد منتشرشده در DNS مقایسه کرده و از درستی آن مطمئن شود.

رکورد TLSA دقیقاً برای انجام این فرآیند طراحی شده و مطابق استاندارد RFC 6698، از چهار بخش تشکیل می‌شود:
Usage ،Selector ،Matching Type و در پایان مقدار گواهی (Certificate Data) که معمولاً به صورت کد هگزادسیمال ذخیره می‌شود. همچنین در بخش عنوان این رکورد، سه بخش پورت، پروتکل، و نام هاست وارد می‌شود.

عنوان:

در این بخش باید مشخص شود که گواهی‌نامه برای کدام سرویس قابل استفاده است. ساختار عنوان باید به شکل زیر باشد:

_port._protocol.host.domain.com

برای مثال، اگر گواهی مربوط به پورت 443 روی پروتکل TCP و دامنه‌ی example.com باشد، عنوان باید به صورت زیر نوشته شود:

_443._tcp.example.com

Selector:

این گزینه مشخص می‌کند که کدام بخش از گواهی TLS ارائه‌شده توسط سرور باید با داده‌ موجود در رکورد مقایسه شود.

0: کل گواهی‌نامه به‌همراه متادیتا بررسی می‌شود (Full Certificate)
1: فقط کلید عمومی بررسی می‌شود (Subject Public Key)

Usage:

نشان می‌دهد که کلید عمومی چگونه باید تأیید و قابل اعتماد تلقی شود. چهار حالت برای این مقدار وجود دارد:

0: گواهی‌نامه از طریق CA Root و Intermediate بررسی و تأیید می‌شود.
1: در رکورد به‌طور مستقیم قید می‌شود که گواهی‌نامه باید از یک CA خاص صادر شده باشد و آن CA مورد اعتماد باشد.
2: مشابه حالت قبل است با این تفاوت که نیاز به اعتماد قبلی به CA وجود ندارد.
3: گواهی نیازی به تأیید از سوی CA ندارد (مانند گواهی‌های self-signed)

Matching Type:

مشخص می‌کند که کلید عمومی چگونه در رکورد ارائه شده است:

0: کلید به‌صورت کامل و بدون رمزنگاری وارد شده است.
1: کلید با استفاده از الگوریتم SHA2-256 هش شده است.
2: کلید با استفاده از الگوریتم SHA2-512 هش شده است.

نکته:‌ پیشنهاد می‌شود برای تولید دقیق مقادیر و پارامترهای رکورد TLSA از ابزارهای کمکی مانند ssl-tools استفاده کنید.

رکورد PTR

رکورد PTR یا Pointer یکی از انواع رکوردهای DNS است که برای راه‌اندازی Reverse DNS استفاده می‌شود. این رکورد امکان تبدیل یک آدرس IP به نام دامنه‌ی متناظر با آن را فراهم می‌کند. در گذشته، هدف اصلی از استفاده‌ی PTR جلوگیری از اسپم شدن ایمیل‌هایی بود که از IPهای مشخصی ارسال می‌شدند. اما با گذر زمان و پیشرفت روش‌های تایید هویت ایمیل، مانند استفاده از رکوردهای SPF ،DKIM و DMARC، روش‌های دقیق‌تری برای اعتبارسنجی دامنه به‌کار گرفته شده‌اند. با این حال، رکورد PTR همچنان نقش مهمی در تنظیمات شبکه و ارتباطات امن ایفا می‌کند، به‌ویژه در سرورهای ایمیل. در بخش مقدار رکورد، لازم است IP خود را به‌صورت معکوس و در قالب <octet_3>.<octet_2>.<octet_1> وارد کنید. برای اطمینان از صحت رکورد و بررسی در دسترس بودن آن، می‌توانید از دستور dig استفاده کنید.

مرحله ۱۱:‌ ویرایش رکوردهای DNS

پس از اضافه شدن هر رکورد به فهرست DNS، گزینه‌ای برای ویرایش در انتهای آن نمایش داده می‌شود. با انتخاب این گزینه، می‌توانید جزئیات مربوط به رکورد مورد نظر را تغییر دهید. توجه داشته باشید که به‌جز رکوردهای NS که به‌صورت پیش‌فرض توسط آبالون برای دامنه شما تنظیم می‌شوند، امکان ویرایش تمامی رکوردها وجود دارد.

ویرایش رکورد A

رکوردهای نوع A نسبت به سایر انواع رکوردها، هنگام ویرایش امکانات و گزینه‌های بیشتری را در اختیار شما قرار می‌دهند.

نوع پاسخ:
در این بخش مشخص می‌شود که در پاسخ به هر درخواست DNS، فقط یکی از رکوردها برای کاربر ارسال شود یا همه‌ی آن‌ها. این گزینه تعیین می‌کند که پاسخ‌ها به‌صورت تکی باشند یا چندتایی.

توزیع بار:
در این قسمت می‌توان نحوه‌ی توزیع بار بین رکوردهای DNS را مشخص کرد. سه گزینه برای این تنظیم وجود دارد: خاموش، نوبتی، و نوبتی با وزن.

اگر گزینه‌ خاموش انتخاب شود، ترتیب پاسخ‌دهی ثابت می‌ماند. یعنی اگر نوع پاسخ روی حالت «تکی» باشد، همیشه اولین رکورد ارسال می‌شود؛ و اگر روی «چندتایی» تنظیم شده باشد، تمام رکوردها به همان ترتیبی که ثبت شده‌اند، برای کاربر فرستاده می‌شوند.
در حالت نوبتی، رکوردها به‌صورت چرخشی و با توزیع مساوی بین کاربران پاسخ داده می‌شوند. برای مثال، اگر نوع پاسخ «تکی» باشد و دو رکورد تعریف شده باشد، به کاربر اول رکورد اول و به کاربر دوم رکورد دوم ارسال می‌شود.
در حالت نوبتی با وزن، می‌توان برای هر رکورد مقدار وزنی تعریف کرد تا سهم بیشتری از پاسخ‌ها به رکوردهایی با وزن بالاتر اختصاص یابد. در این حالت، ستونی با عنوان «وزن» کنار IPها ظاهر می‌شود تا مشخص کند هر IP چه سهمی در توزیع بار دارد.

اگر وزن یکی از رکوردها ۱ و دیگری ۱۰۰ باشد، از هر ۱۰۱ درخواست، یکی به IP اول و بقیه به IP دوم پاسخ داده می‌شوند.

موقعیت جغرافیایی:

در این بخش می‌توانید مشخص کنید که کاربران از یک کشور خاص به کدام سرور هدایت شوند. با انتخاب گزینه‌ کشور، ستونی برای تعیین کشور کنار هر IP نمایش داده می‌شود. در صورت فعال‌سازی گزینه‌ «استفاده از CDN روشن»، ترافیک از طریق سرورهای CDN عبور می‌کند، IPها به کاربران نمایش داده نمی‌شوند و تنظیمات توزیع بار و مدت اعتبار غیرفعال می‌شوند.

در این حالت، با تنظیم وزن مناسب می‌توانید ترافیک لایه ۷ (HTTP/HTTPS) را میان سرورهای خود به‌صورت متعادل توزیع کنید. نوع پروتکل ارتباط با سرور اصلی نیز در بخش «پروتکل» قابل انتخاب است.

پروتکل:

چهار گزینه در دسترس است: Default ،Automatic ،HTTP و HTTPS.

با انتخاب Default، تنظیمات کلی پنل آبالون روی این رکورد اعمال می‌شود.
گزینه‌ Automatic باعث می‌شود درخواست‌ها به همان شکلی که به سرورهای CDN آبالون می‌رسند (HTTP یا HTTPS)، به سرور اصلی نیز ارسال شوند.
انتخاب HTTP باعث می‌شود ارتباط بدون رمزنگاری باشد و HTTPS ارتباط را رمزنگاری‌شده برقرار می‌کند.

در صورت انتخاب HTTP یا HTTPS، می‌توانید پورت دلخواه را نیز مشخص کنید. در این حالت، ستونی برای وارد کردن پورت کنار IP ظاهر می‌شود.

در آبالون، ارتباط کاربر نهایی با سرورهای لبه فقط از طریق پورت‌های خاص انجام می‌شود؛ برای HTTP شامل پورت‌های 8080، 8880، 2052، 2082، 2086، 2095 و برای HTTPS

شامل 443، 2053، 2083، 2087، 2096، 8443 است.

اما ارتباط بین سرور لبه و سرور اصلی می‌تواند روی هر پورتی برقرار شود.

برای مثال، اگر بخواهید به cPanel روی پورت 2082 دسترسی داشته باشید، کافی‌ست این پورت را در تنظیمات وارد کنید. در این صورت، تنها با وارد کردن آدرس

cpanel.example.com، ارتباط از طریق پورت 2082 برقرار شده و نیازی به غیرفعال‌کردن CDN آبالون نیست.

از جمله پورت‌های رایج: cPanel روی 2082، WHM روی 2086 و Webmail روی 8085 اجرا می‌شوند.

مرحله 1۲: حذف رکوردهای DNS

برای حذف یک رکورد از دامنه، کافی‌ست در پنل کاربری آبالون وارد بخش CDN شوید، به بخش «رکوردهای DNS» بروید و با کلیک روی آیکون حذف روبه‌روی رکورد موردنظر، آن را پاک کنید.

سپس با کلیک نهایی روی گزینه‌ «حذف»، رکورد انتخاب‌شده از لیست حذف می‌شود.

مرحله 13: توزیع بار DNS

با استفاده از قابلیت توزیع بار DNS در آبالون، می‌توانید ترافیک دامنه یا زیردامنه‌های خود را بر اساس وزن، نوبت یا موقعیت جغرافیایی میان چند سرور تقسیم کنید.

1. برای فعال‌سازی این قابلیت، پس از انتخاب دامنه در پنل کاربری، وارد بخش «رکوردهای DNS» شوید و یک رکورد A جدید ایجاد کنید.

2. در فیلد عنوان، نام زیردامنه را وارد کنید؛ برای ریشه‌ی دامنه، از نماد «@» استفاده کنید. در بخش مقدار، IPهای مربوط به زیردامنه را وارد کنید.

3. در بخش «نوع پاسخ» مشخص می‌کنید که آبالون یک IP بازگرداند یا چند IP. در قسمت «توزیع بار»، نحوه‌ی تقسیم ترافیک را تعیین کنید: به‌صورت نوبتی ساده یا نوبتی بر پایه وزن.

4. در مدل وزنی، تنها نسبت بین اعداد اهمیت دارد؛ مثلاً مقادیر 1 و 2 همان کارکردی را دارند که 10 و 20 خواهند داشت.

5. اگر بخواهید توزیع بر اساس کشور انجام شود، باید برای هر IP کشور موردنظر را مشخص کنید تا کاربران آن کشور به آن IP هدایت شوند.

6. در پایان روی «ایجاد» کلیک کنید.

مرحله 14: استفاده از CDN روشن در رکوردهای DNS

پس از انتقال وب‌سایت به آبالون و انجام تنظیمات DNS، در بخش «رکوردهای DNS» پنل کاربری، می‌توانید وضعیت رکوردهای A دامنه و زیردامنه‌ها را مشاهده کرده و در صورت نیاز، هرکدام را فعال یا غیرفعال کنید. این گزینه هنگام ایجاد رکورد جدید نیز در دسترس است. با فعال‌سازی استفاده از CDN، ترافیک از طریق سرورهای لبه‌ی آبالون عبور می‌کند و از قابلیت‌هایی مانند محافظت، شتاب‌دهی و CDN بهره‌مند می‌شود. روشن بودن این گزینه به‌معنای عبور ترافیک از CDN و خاموش بودن آن به‌معنای ارتباط مستقیم کاربر با سرور اصلی است. برای استفاده از قابلیت‌هایی مانند کش، افزایش سرعت، امنیت بیشتر و دریافت گزارش‌های تحلیلی، روشن بودن CDN برای رکورد مربوطه الزامی است.

زمانی که استفاده از CDN برای یک رکورد فعال باشد و ترافیک از طریق شبکه CDN آبالون عبور کند، برخی محدودیت‌ها و شرایط فنی اعمال می‌شود:

آپلود فایل‌ها در این حالت محدودیتی از نظر حجم کلی ندارند، اما هر درخواست نباید بیش از ۱۶ کیلوبایت هدر داشته باشد.
بین دو عملیات نوشتن متوالی روی سرور، نباید بیش از ۱۸۰ ثانیه فاصله باشد.
در صورتی که WAF (دیوار آتش برنامه وب) برای دامنه فعال باشد، حداکثر حجم مجاز برای بدنه‌ درخواست‌ها برابر با ۵۲۴٬۲۸۸ بایت خواهد بود.

پورت‌های قابل استفاده در CDN

ارتباط کاربران نهایی با سرورهای لبه‌ی آبالون تنها از طریق پورت‌های مشخصی امکان‌پذیر است. این پورت‌ها شامل موارد زیر هستند:

برای HTTP: پورت‌های 80، 8080، 8880، 2052، 2082، 2086، 2095
برای HTTPS: پورت‌های 443، 2053، 2083، 2087، 2096، 8443

اما اتصال بین سرورهای لبه و سرور اصلی شما می‌تواند روی هر پورتی، و از طریق HTTP یا HTTPS انجام شود.

سرویس‌هایی که نباید از CDN عبور کنند

فعال‌سازی CDN برای برخی رکوردها ممکن است باعث بروز خطا یا اختلال در سرویس‌دهی شود. به‌طور خاص، سرویس‌هایی مثل ایمیل، FTP ،SSH، کنترل‌پنل‌ها یا سامانه‌های پیام‌رسان نباید از شبکه CDN عبور کنند، چرا که این سرویس‌ها به ارتباط مستقیم با سرور نیاز دارند. برای غیرفعال‌سازی CDN در این موارد، تنها کافی است CDN روبه‌روی رکورد مربوطه را خاموش کنید.

نمونه‌هایی از رکوردهایی که نباید CDN برای آن‌ها فعال باشد:

autodiscover
calendar
chat
cpanel
cvs
email
exchange
ftp
game
gameserver
git
google
imap
irc
local
localhost
mail
mobilemail
mx
panel
pda
pop
repo
secure
sftp
sites
smtp
ssh
ssl
stream
streaming
svn
vid
video
vids
vpn
webmail
webstats

مرحله 15: تنظیم Nameserver اختصاصی

در گذشته برای استفاده از DNS ابری آبالون باید NSهای دامنه‌تان را به NSهای پیش‌فرض آبالون تغییر می‌دادید. اما حالا با قابلیت شخصی‌سازی Nameserverها، می‌توانید از NSهای دلخواه خود استفاده کنید و همچنان از خدمات CDN آبالون بهره‌مند شوید. در ادامه نحوه‌ فعال‌سازی این قابلیت از طریق پنل کاربری را توضیح داده‌ایم.

۱. برای شروع، وارد پنل کاربری آبالون شوید، به بخش CDN بروید و سپس وارد قسمت «رکوردهای DNS» شوید.

۲. در ادامه، در بخش «تغییر NSهای دامنه»، کافی‌ست نام‌سرورهای اختصاصی خود را وارد کرده و تغییرات را تأیید کنید تا تنظیمات جدید اعمال شوند.

۳. آبالون پس از ثبت NSهای اختصاصی، چند IP به آن‌ها اختصاص می‌دهد که باید این IPها را کپی کرده و در رجیسترار دامنه به‌عنوان Glue IP ثبت کنید تا DNS به‌درستی کار کند.

۴. پس از ثبت و اعمال تغییرات، نام‌سرورهای دامنه شما به NSهای اختصاصی انتخاب‌شده تغییر خواهند کرد. این قابلیت فقط برای کاربران پلن‌های پیشرفته و سازمانی فعال است.

همچنین امکان فعال‌سازی NS اختصاصی در سطح کل حساب کاربری وجود دارد تا به‌صورت یکپارچه روی تمام دامنه‌های شما اعمال شود. برای تنظیم این مورد، لازم است با تیم پشتیبانی آبالون تماس بگیرید.

نحوه ثبت Glue IP برای دامنه‌های ir در ایرنیک

برای تنظیم Glue IP روی دامنه‌های ir، وارد پنل کاربری ایرنیک شوید و مسیر زیر را دنبال کنید:

دامنه‌ها > دامنه‌های من > انتخاب دامنه > ویرایش ردیف کارگزاری نام و میزبانی دامنه

در این بخش باید NSهای اختصاصی خود را به همراه IPهایی که از سرویس‌دهنده (مثلاً آبالون) دریافت کرده‌اید وارد کنید. پس از وارد کردن اطلاعات، به سوال امنیتی پاسخ دهید و روی گزینه‌ «اعمال» کلیک کنید. فرآیند ثبت و اعمال کامل این تغییر ممکن است تا ۲۴ ساعت زمان ببرد.

مرحله ۱6: تنظیم DNSSEC

در اینترنت، تبدیل نام دامنه به IP بر عهده‌ی سیستم DNS است. اما DNS به‌تنهایی هیچ‌گونه سازوکار امنیتی برای تأیید اعتبار اطلاعاتی که ارائه می‌دهد ندارد. این یعنی ممکن است کاربران به‌جای سایت واقعی شما، به نسخه‌ جعلی هدایت شوند، بدون آن‌که متوجه شوند.

برای حل این مشکل، پروتکل DNSSEC طراحی شده است. این فناوری با استفاده از امضای دیجیتال رکوردهای DNS و زیرساخت کلید عمومی (PKI)، اطمینان حاصل می‌کند که رکوردها دست‌کاری نشده‌اند و از منبع اصلی آمده‌اند. توجه داشته باشید که DNSSEC داده‌ها را رمزنگاری نمی‌کند؛ بلکه تنها اعتبار آن‌ها را تضمین می‌کند.

DNSSEC در آبالون

آبالون به‌عنوان DNS سرور معتبر (Authoritative)، این امکان را فراهم می‌کند که با دریافت رکورد DS از پنل کاربری، DNSSEC را برای دامنه‌ی خود فعال کرده و از حملات سطح DNS جلوگیری کنید.

مکانیزم عملکرد DNSSEC چگونه است؟

زمانی که DNSSEC برای دامنه‌ای فعال باشد، روند تبدیل نام دامنه به IP (فرایند Resolve) به‌شکل زیر انجام می‌شود:

کاربر آدرس www.example.com را در مرورگر وارد می‌کند. مرورگر ابتدا Cache سیستم را بررسی می‌کند. اگر IP را پیدا نکرد، درخواست را به DNS Resolver ارسال می‌کند.
DNS Resolver (که معمولاً از سوی ISP شما تعیین شده) هم Cache خودش را بررسی می‌کند. در صورت عدم وجود رکورد، درخواست را به Root Server می‌فرستد.
Root Server پاسخ می‌دهد و IP مربوط به دامنه‌ی سطح بالا (مثلاً com.) را به همراه رکورد DS ارسال می‌کند.
Resolver با استفاده از این IP، به TLD Server درخواست می‌فرستد.
TLD پاسخ می‌دهد و IP مربوط به DNSهای آبالون را به همراه رکورد DS به Resolver می‌فرستد.
Resolver حالا درخواست را برای DNS سرور آبالون ارسال می‌کند تا رکورد اصلی دامنه را دریافت کند.
آبالون در پاسخ، علاوه بر رکورد اصلی، رکوردهای امضای دیجیتال (RRSIG) و کلید عمومی (DNSKEY) را هم ارسال می‌کند.
Resolver با استفاده از این اطلاعات، اعتبار رکوردها را بررسی می‌کند. اگر همه چیز تأیید شد، IP نهایی را به مرورگر برمی‌گرداند تا کاربر به سایت اصلی متصل شود.

فعال‌سازی DNSSEC در پنل کاربری آبالون

پیش از شروع، به این نکته توجه داشته باشید که فعال‌سازی DNSSEC تنها در صورتی امکان‌پذیر است که رجیسترار دامنه (فروشنده دامنه) و TLD از این قابلیت پشتیبانی کنند.

برای فعال‌سازی DNSSEC:

وارد پنل کاربری آبالون شوید.
از منوی اصلی، دامنه‌ی مورد نظر را در بخش CDN انتخاب کنید.
به بخش رکوردهای DNS بروید.
در پایین صفحه، گزینه‌ DNSSEC را پیدا کرده و آن را فعال کنید.

پس از فعال‌سازی، کادری ظاهر می‌شود که شامل اطلاعات DS Record دامنه‌ی شماست. این رکورد برای ثبت در رجیسترار دامنه استفاده می‌شود و نقش کلیدی در فرآیند اعتبارسنجی DNS دارد.

داده‌هایی که پس از فعال‌سازی DNSSEC در پنل آبالون نمایش داده می‌شوند، به‌صورت شماره‌گذاری‌شده هستند و شامل اطلاعات زیر هستند:

Key Tag – شناسه‌ای عددی برای شناسایی کلید امضا
Algorithm – الگوریتم رمزنگاری مورد استفاده
Digest Type – نوع الگوریتم هش
Digest – خروجی هش شده از اطلاعات DNS برای اعتبارسنجی

این اطلاعات را باید عیناً در پنل رجیسترار دامنه وارد کنید تا اتصال DNSSEC به درستی برقرار شود.

در نهایت، پس از دریافت رکورد DS، باید وارد پنل رجیسترار دامنه‌ خود شوید (سایتی که دامنه را از آن خریداری کرده‌اید) و مقادیر دریافتی را دقیقاً مطابق فرمت خواسته‌شده وارد کنید تا تنظیمات به‌درستی اعمال شوند.

مرحله 17: عیب‌یابی

عیب‌یابی سرویس CDN

امکان عیب‌یابی در شبکه توزیع محتوای آبالون به کاربران این امکان را می‌دهد که وضعیت فنی و عملکردی سرویس خود را از جنبه‌های مختلف بررسی کنند. این ابزار، بخش‌های حیاتی از زنجیره ارتباطی وب‌سایت را ارزیابی کرده و در صورت وجود هرگونه اختلال در تنظیمات دامنه یا ساختار ترافیک، اطلاع‌رسانی دقیقی ارائه می‌دهد. هدف این فرایند، کمک به شناسایی سریع مشکلات و ارتقای پایداری و امنیت ارتباط وب‌سایت است.

بررسی وضعیت فعال‌سازی دامنه

برای بهره‌مندی از خدمات CDN آبالون، ابتدا باید DNS دامنه به درستی پیکربندی شود. این مرحله شامل جایگزینی NSهای فعلی با مقادیر اختصاصی آبالون از طریق رجیسترار دامنه است. همچنین، در صورت استفاده از روش CNAME برای انتقال ترافیک، لازم است رکورد مربوطه در تنظیمات DNS موجود تعریف یا ویرایش شود تا ارتباط میان دامنه و زیرساخت آبالون به‌طور کامل برقرار شود.

برای مشاهده وضعیت Nameserverهای یک دامنه، می‌توان از ابزار nslookup استفاده کرد. این ابزار امکان بررسی دقیق تنظیمات فعلی DNS دامنه را فراهم می‌کند. به عنوان نمونه، در تصویر بالا پاسخ nslookup برای یک دامنه نمایش داده شده است. ابزار nslookup تنها به بررسی NS محدود نمی‌شود و اطلاعات کامل‌تری از جمله رکوردهای A ،CNAME ،MX و سایر رکوردهای DNS را نیز ارائه می‌دهد. استفاده از این ابزار برای بررسی صحت تنظیمات و تشخیص اختلال‌های احتمالی در مسیر ترافیک شبکه توصیه می‌شود.

رکورد اصلی DNS (Root Record)

رکورد ریشه‌ی DNS که با نماد «@» شناخته می‌شود، به آدرس اصلی دامنه اشاره دارد و یکی از پایه‌ای‌ترین اجزای پیکربندی DNS محسوب می‌شود. این رکورد باید از نوع A ،AAAA یا ANAME باشد و به‌صورت مستقیم به آدرس IP یا مقصد تعیین‌شده برای دامنه متصل شود.

در صورتی که مایل هستید ترافیک ورودی پیش از رسیدن به سرور مبدأ از زیرساخت توزیع محتوای آبالون عبور کرده و از قابلیت‌هایی مانند شتاب‌دهی و افزایش امنیت بهره‌مند شود، لازم است وضعیت فعال‌سازی CDN برای این رکورد روشن باشد. فعال‌سازی نماد CDN در این رکورد موجب می‌شود که آدرس IP واقعی سرور اصلی شما در پاسخ‌های DNS پنهان شده و در عوض، IPهای سرورهای لبه‌ی آبالون به کاربر نمایش داده شوند. این اقدام نه‌تنها ترافیک را از مسیر ایمن و بهینه عبور می‌دهد، بلکه با پنهان‌سازی IP واقعی، سطح امنیت دامنه را نیز افزایش می‌دهد. در مقابل، اگر این گزینه غیرفعال باشد، IPهای واقعی سرور اصلی در پاسخ‌های DNS نمایان خواهند شد؛ این موضوع ممکن است منجر به افزایش آسیب‌پذیری در برابر حملاتی مانند DDoS یا دسترسی‌های مستقیم ناخواسته شود.

رکورد DNS مربوط به www

رکورد www به نسخه دارای www از آدرس اصلی اشاره دارد. این رکورد باید از نوع A ،AAAA ،ANAME یا CNAME تنظیم شود تا ترافیک به‌درستی به مقصد منتقل شود. فرایند بررسی و عیب‌یابی این رکورد مشابه رکورد ریشه (با نماد @) انجام می‌شود. همچنین از طریق پیشخوان مدیریت در پنل آبالون، می‌توان رفتار این رکورد را متناسب با نیاز سرویس تنظیم کرد، مانند فعال یا غیرفعال کردن عبور ترافیک از مسیر CDN.

نکته مهم: تنها در صورت فعال بودن نماد CDN، آبالون می‌تواند به عنوان پروکسی بین کاربر و سرور عمل کند. در صورت غیرفعال بودن این قابلیت، ترافیک به‌طور مستقیم به مقصد هدایت می‌شود و CDN نقشی در مسیر انتقال نخواهد داشت.

رکورد MX

در صورتی که سرویس ایمیل برای دامنه اصلی فعال باشد، تعریف رکورد MX الزامی است. این رکورد باید به‌درستی تنظیم شده و نام آن به زیر‌دامنه مرتبط با میل‌سرور اختصاص یابد تا دریافت و ارسال ایمیل بدون اختلال انجام شود.

بررسی وضعیت فعال بودن SSL

برای برقراری ارتباط رمزگذاری‌شده میان کاربر و سرورهای لبه، نیاز به فعال بودن گواهی SSL در تنظیمات پنل آبالون است. این پیکربندی از طریق بخش HTTPS در پنل انجام می‌شود و قابلیت تنظیم مطابق با سیاست‌های امنیتی مورد نظر شما را دارد.

آبالون به‌صورت خودکار و رایگان، با استفاده از روش DNS Authentication، اقدام به صدور و فعال‌سازی گواهی SSL برای دامنه می‌کند.

بررسی وضعیت پروکسی رکوردهای اصلی

برای عبور ترافیک از طریق شبکه‌ی توزیع محتوا (CDN) و بهره‌مندی از مزایای امنیتی و عملکردی سرورهای لبه، فعال بودن پروکسی در رکوردهای اصلی DNS الزامی است. این تنظیم باعث می‌شود که ترافیک کاربران پیش از رسیدن به سرور مقصد، از سرورهای لبه CDN آبالون عبور کنند.

آبالون در صورت فعال بودن این گزینه، به‌صورت خودکار ترافیک را از طریق مسیرهای امن خود هدایت می‌کند. در صورتی که وضعیت پروکسی برای رکوردهای اصلی مانند www یا رکورد ریشه (root) غیرفعال باشد، ترافیک مستقیماً به سرور شما ارسال شده و از مسیر CDN عبور نمی‌کند. این موضوع به معنی عدم بهره‌مندی از محافظت لایه لبه و ویژگی‌های افزایش سرعت خواهد بود.

بررسی وضعیت پورت ۴۴۳ (SSL)

برای برقراری ارتباط امن از طریق پروتکل HTTPS، باز بودن پورت ۴۴۳ روی سرور مقصد ضروری است. این پورت به‌صورت پیش‌فرض برای انتقال اطلاعات رمزگذاری‌شده مورد استفاده قرار می‌گیرد و مسیر اصلی ارتباط میان شبکه CDN آبالون و سرور شما را تشکیل می‌دهد.

در صورتی که این پورت روی سرور مسدود باشد، امکان برقراری ارتباط امن از طریق CDN وجود نداشته و ترافیک کاربران به مقصد نخواهد رسید. بنابراین، اطمینان از باز بودن پورت ۴۴۳ پیش‌نیاز عملکرد صحیح خدمات تحت SSL خواهد بود.

مرحله ۱8: هدرهای ارسالی CDN به کاربر و سرور اصلی

در جریان پردازش اولیه هر درخواست، شبکه CDN آبالون مجموعه‌ای از هدرهای فنی را به پاسخ ارسالی اضافه می‌کند. این هدرها شامل اطلاعات دقیقی درباره وضعیت پردازش، کش، زمان پاسخ و مسیر طی‌شده توسط درخواست هستند و نقش کلیدی در تحلیل و عیب‌یابی درخواست‌ها ایفا می‌کنند.

در صورتی که داده‌ی مورد نیاز در کش موجود نباشد، سرور لبه درخواست را به سرور مبدأ منتقل می‌کند. در این انتقال نیز مجموعه‌ای از هدرهای خاص به درخواست اضافه می‌شود که شامل اطلاعات کنترلی، وضعیت تأیید اعتبار و سایر جزئیات فنی هستند. در پلن سازمانی، امکان سفارشی‌سازی این هدرها مطابق با نیازهای امنیتی و ساختاری وجود دارد.

برای مشاهده‌ی این هدرها، می‌توانید در مرورگر Google Chrome از ابزار Inspect و سپس تب Network استفاده کنید. در مرورگرهای دیگر نیز گزینه‌هایی مشابه با همین عملکرد قابل دسترسی هستند. در ادامه، مهم‌ترین هدرهای ارسالی از سوی CDN آبالون به کاربر و سرور مبدأ به‌صورت جداگانه معرفی شده‌اند.

هدرهای ارسالی به سمت کاربر

X-Request-Id

برای هر درخواست، یک شناسه یکتا تولید و در این هدر درج می‌شود. این شناسه به مدیران سیستم این امکان را می‌دهد تا با جست‌وجوی مقدار آن در لاگ‌سرورها، مسیر کامل پردازش درخواست را بررسی کنند.

X-Sid

این هدر عددی چهاررقمی را شامل می‌شود که مشخص می‌کند کدام سرور لبه پاسخ‌گوی درخواست کاربر بوده است.

Server-Timing

مقدار این هدر نشان می‌دهد که محتوا طی چه مدت توسط سرور لبه پردازش شده و به کاربر تحویل داده شده است. این زمان می‌تواند حاصل دریافت مستقیم از کش داخلی آبالون یا از سرور مبدأ باشد. مقدار این هدر برحسب میلی‌ثانیه ثبت می‌شود.

X-Cache

این هدر نشان می‌دهد که آیا منبع درخواست‌شده، از کش سرور لبه آبالون دریافت شده یا از سرور مبدأ بازیابی شده است. با بررسی مقدار این هدر می‌توان وضعیت ذخیره‌سازی و واکشی منابع را تحلیل کرد.

در ادامه، مقادیر ممکن برای هدر X-Cache و معنی هرکدام توضیح داده شده است:

HIT
نشان می‌دهد که منبع مورد نظر در کش سرور لبه موجود بوده و پاسخ از همان محل ارسال شده است.
MISS
بیانگر آن است که منبع در کش موجود نبوده و سرور لبه درخواست را به سرور مبدأ منتقل کرده است.
EXPIRED
منبع در کش وجود داشته اما به دلیل پایان زمان اعتبار آن، سرور لبه به سرور اصلی مراجعه کرده و پاسخ جدید دریافت کرده است.
STALE
سرور لبه نسخه منقضی‌شده‌ای از منبع را موقتاً ارسال کرده است، زیرا هم‌زمان در حال بررسی اعتبار نسخه جدید از سرور مبدأ برای یک درخواست دیگر بوده است. این وضعیت به‌ندرت رخ می‌دهد و معمولاً موقتی است.
BYPASS
منبع به دلایلی از جمله تنظیمات خاص یا نوع محتوا، قابل کش شدن نبوده و مستقیماً از سرور مبدأ دریافت شده است.
REVALIDATED
نسخه‌ای قدیمی از منبع در کش وجود داشته و سرور لبه پس از اعتبارسنجی با هدرهایی مانند If-Modified-Since یا If-None-Match، همان نسخه را معتبر تشخیص داده و برای پاسخ استفاده کرده است.
UPDATING
منبع در کش موجود بوده اما هم‌زمان در حال به‌روزرسانی است. سرور لبه تا زمان تکمیل فرایند به‌روزرسانی، نسخه قبلی را ارسال می‌کند. این حالت معمولاً در مورد فایل‌های بزرگ یا منابع سنگین مشاهده می‌شود.

X-Xss-Protection

حملات XSS (مخفف Cross-Site Scripting) یکی از متداول‌ترین تهدیدهای امنیتی در سطح وب هستند که به مهاجم امکان تزریق کدهای مخرب جاوااسکریپت یا HTML را می‌دهند. این کدها در مرورگر کاربر اجرا می‌شوند و ممکن است اطلاعات حساس را افشا کرده یا منجر به تغییر رفتار سایت شوند.

مرورگرهای مدرن به‌صورت پیش‌فرض مکانیزم‌هایی برای مقابله با این نوع حمله دارند. یکی از این ابزارها، هدر X-Xss-Protection است. با فعال‌سازی این هدر در پاسخ‌های HTTP، مرورگر دستور می‌گیرد که اجرای اسکریپت‌های مشکوک را مسدود کند یا از نمایش صفحه جلوگیری کند.

Content-Security-Policy

در برخی موارد، ممکن است یک وب‌سایت با پروتکل HTTPS بارگذاری شود اما محتوایی مانند اسکریپت، تصویر یا فایل استایل از طریق HTTP فراخوانی شود. این وضعیت که «محتوای ترکیبی» (Mixed Content) نام دارد، باعث نمایش هشدار امنیتی در مرورگر می‌شود و می‌تواند امنیت صفحه را به خطر بیندازد.

با فعال‌سازی این قابلیت در پنل HTTPS آبالون، هدر Content-Security-Policy به پاسخ‌ها افزوده می‌شود. این هدر به مرورگر اعلام می‌کند که در صورت تشخیص لینک‌های ناامن، باید آن‌ها را به نسخه امن (HTTPS) تغییر دهد و از بارگذاری منابع ناامن جلوگیری کند.

Strict-Transport-Security

هدر Strict-Transport-Security (یا HSTS) ابزاری برای وادار کردن مرورگر به استفاده همیشگی از HTTPS است. با فعال‌سازی این گزینه در تنظیمات CDN آبالون، هدر مربوطه به پاسخ HTTP افزوده می‌شود و به مرورگر اعلام می‌کند که برای مدت مشخصی (مثلاً یک ماه)، همه درخواست‌های بعدی باید فقط از طریق HTTPS انجام شود حتی اگر آدرس اولیه به‌صورت HTTP وارد شده باشد.

این سیاست باعث می‌شود حملاتی مانند downgrade attack یا man-in-the-middle در زمان تغییر از HTTP به HTTPS بی‌اثر شوند.

هدرهای ارسالی به سمت سرور اصلی

X-Sid

یک کد چهار رقمی است که نشان می‌دهد کدام سرور لبه درخواست را به سمت سرور مبدأ ارسال کرده است.

X-Real-IP

این هدر IP واقعی کاربر را در اختیار سرور مبدأ قرار می‌دهد. در حالت عادی، چون درخواست ابتدا به سرور لبه می‌رسد، IP ثبت‌شده مربوط به همان سرور لبه CDN خواهد بود. اما با استفاده از این هدر، IP واقعی کاربر حفظ شده و به سرور اصلی ارسال می‌شود تا برای تحلیل‌های امنیتی و گزارش‌گیری به کار برود.

X-Forwarded-Proto

هدر X-Forwarded-Proto مشخص می‌کند که پروتکل اولیه ارتباط با کاربر (HTTP یا HTTPS) چه بوده است. این هدر زمانی کاربرد دارد که ارتباط بین کاربر و سرور لبه با یک پروتکل، و ارتباط بین سرور لبه و سرور اصلی با پروتکل دیگر انجام شده باشد. اطلاعات این هدر برای تصمیم‌گیری در زمینه‌های امنیتی و هدایت درست درخواست‌ها مهم است.

X-Forwarded-For

این هدر مجموعه‌ای از IPها را شامل می‌شود که درخواست از آن‌ها عبور کرده است. در کنار IP کاربر نهایی، IP سرورهای واسط یا پروکسی نیز در این هدر درج می‌شوند. به این ترتیب می‌توان مسیر دقیق عبور درخواست از سرورهای متعدد تا هنگام رسیدن به سرور اصلی میزبان وب‌سایت را بررسی کرد.

X-Country-Code

شامل یک کد دوحرفی است که کشور مبدا درخواست را مشخص می‌کند. این اطلاعات با استفاده از IP کاربر و دیتابیس GeoIP استخراج می‌شود و برای تحلیل ترافیک بر اساس موقعیت جغرافیایی کاربرد دارد.

X-Request-Id

شناسه‌ای یکتا است که به هر درخواست اختصاص داده می‌شود. این شناسه در تمام مراحل پردازش همراه درخواست باقی می‌ماند و امکان ردیابی دقیق آن را در لاگ‌ها فراهم می‌کند. در صورت فعال بودن سرویس ارسال لاگ آبالون، می‌توان این مقدار را در لاگ‌سرور جست‌وجو و جزئیات کامل درخواست را بررسی کرد.

CDN-Loop

این هدر برای شناسایی و کنترل گردش غیرمجاز درخواست‌ها در شبکه CDN طراحی شده است. زمانی‌که یک درخواست بیش از حد مجاز در میان گره‌های مختلف شبکه تکرار شود، آبالون با استفاده از این هدر می‌تواند آن را شناسایی و در صورت نیاز مسدود کند.

نمونه مقدار:

CDN-Loop: abalon; count=1

در این مثال، عدد مشخص می‌کند که این درخواست تاکنون یک‌بار از زیرساخت عبور کرده است.

Accept-Encoding

این هدر مشخص می‌کند که چه الگوریتم‌های فشرده‌سازی از سوی مرورگر پشتیبانی می‌شوند. به‌طور پیش‌فرض، هنگام دریافت درخواست از سمت کاربر، مقدار gzip برای این هدر تنظیم می‌شود. اما اگر یکی از قابلیت‌های بهینه‌سازی مانند تغییر اندازه تصویر، شتاب‌دهی محتوا فعال باشد، مقدار این هدر به صورت زیر بازنویسی می‌شود:

Accept-Encoding: identity

در این حالت، فشرده‌سازی حذف می‌شود تا تغییرات لازم روی محتوا بدون تداخل با الگوریتم‌های فشرده‌سازی انجام شود.

مرحله 19: تنظیمات HTTPS

در بخش تنظیمات HTTPS در پنل آبالون، می‌توانید نحوه ارتباط ایمن بین کاربران و وب‌سایت، و همچنین بین سرورهای لبه و سرور مبدأ را مدیریت کنید. این بخش شامل قابلیت‌هایی مانند صدور خودکار گواهی‌نامه امنیتی، تنظیم سطح نسخه TLS، هدایت اجباری ترافیک به HTTPS و فعال‌سازی پروتکل HSTS است.

فعال‌سازی HTTPS

با فعال‌سازی این گزینه، ارتباط میان کاربران و سرورهای لبه آبالون از طریق پروتکل امن HTTPS برقرار می‌شود. در این حالت، گواهی SSL/TLS معتبر به‌صورت خودکار و رایگان برای دامنه صادر و هر سه ماه یک‌بار تمدید خواهد شد. این فرآیند توسط سرویس Let’s Encrypt انجام می‌شود.

در صورتی که تمایل دارید از گواهی اختصاصی خود استفاده کنید، می‌توانید آن را به‌راحتی در پنل بارگذاری و فعال کنید. پس از فعال‌سازی، تمام ارتباط‌ها از طریق SSL/TLS انجام و امنیت داده‌ها در مسیر انتقال تضمین می‌شود.

گواهی‌نامه SSL

در این بخش می‌توانید درخواست صدور گواهی‌نامه SSL رایگان داشته باشید یا گواهی‌نامه SSL شخصی خود را در پنل CDN آبالون آپلود کنید.

گواهی‌نامه SSL رایگان آبالون

آبالون به‌صورت رایگان برای دامنه شما گواهی SSL صادر می‌کند که به مدت ۹۰ روز معتبر است و پس از آن نیز به‌طور خودکار تمدید می‌شود. این گواهی امکان فعال‌سازی سریع و ایمن پروتکل HTTPS را فراهم می‌کند و نیازی به تمدید دستی ندارد.

مراحل فعال‌سازی گواهی

وارد پنل کاربری شوید و از بخش CDN، دامنه موردنظر را انتخاب کنید و به تنظیمات HTTPS بروید.

گزینه «درخواست صدور» را انتخاب کنید تا گواهی برای دامنه و تمامی زیردامنه‌ها صادر شود. فرآیند صدور گواهی ظرف 30 دقیقه انجام می‌شود. توجه داشته باشید که فعال‌سازی HTTPS فقط برای رکوردهایی امکان‌پذیر است که نماد CDN در آن‌ها روشن باشد.

مدت اعتبار گواهی‌نامه SSL آبالون

گواهی‌نامه‌های SSL رایگان آبالون با همکاری Let’s Encrypt صادر می‌شوند و دارای اعتبار ۹۰ روزه هستند. این سیاست به‌منظور کاهش ریسک‌های امنیتی در صورت صدور اشتباه یا سوءاستفاده از گواهی طراحی شده است. پس از پایان دوره اعتبار، آبالون به‌صورت خودکار گواهی را برای دامنه و زیردامنه‌ها تمدید می‌کند. نیازی به اقدام دستی از سوی کاربر وجود ندارد. از آن‌جایی که فرایند تمدید گواهی به‌صورت خودکار انجام می‌شود، کوتاه بودن زمان اعتبار هیچ اختلالی در عملکرد سایت ایجاد نخواهد کرد.

استفاده از گواهی‌نامه شخصی

در بخش تنظیمات HTTPS پنل آبالون، امکان بارگذاری گواهی‌نامه‌های SSL شخصی فراهم شده است. اگر پیش‌تر گواهی موردنظر خود را تهیه کرده‌اید، می‌توانید آن را به‌جای گواهی رایگان آبالون روی دامنه فعال کنید. این قابلیت برای سازمان‌هایی که از گواهی‌های اختصاصی یا صادرشده توسط CA خاص استفاده می‌کنند کاربرد دارد.

برای فعال‌سازی گواهی‌نامه شخصی، باید فایل‌های CRT ،Key و ‌Bundle را در اختیار داشته باشید و در بخش مربوطه وارد کنید.

پیش‌فرض شدن HTTPS

با فعال‌سازی این قابلیت، تمام درخواست‌هایی که از طریق HTTP ارسال می‌شوند، به‌صورت خودکار به HTTPS هدایت خواهند شد. این هدایت با استفاده از سیاست امنیتی HSTS انجام می‌شود و تضمین می‌کند که مرورگر همیشه از نسخه امن سایت استفاده کند. فعال‌سازی HSTS علاوه‌بر افزایش امنیت ارتباط، از حملاتی مانند Man-in-the-Middle جلوگیری می‌کند.

نکته مهم: پس از اعمال این تنظیم و ذخیره آن در مرورگر، امکان لغو فوری آن وجود ندارد و باید تا پایان دوره اعتبار تعیین‌شده منتظر ماند.

فعال‌سازی HTTP/3 (با پشتیبانی از QUIC)

پروتکل HTTP/3 از فناوری QUIC استفاده می‌کند و نسبت به ترکیب سنتی TCP و TLS، عملکرد بهتری در کاهش تأخیر و افزایش سرعت اتصال فراهم می‌سازد. این پروتکل، نسخه بهبودیافته‌ای از HTTP است که به‌ویژه در شرایط اتصال ناپایدار یا شبکه‌های موبایل، مزایای قابل‌توجهی دارد.

توجه: HTTP/3 تنها به درخواست‌هایی پاسخ می‌دهد که با نسخه TLS 1.3 ارسال شده باشند.

برای فعال‌سازی این ویژگی، لازم است:

گواهی امنیتی معتبر برای دامنه فعال باشد.
پروتکل HTTPS روی سرورهای لبه آبالون فعال شده باشد.

پس از فعال‌سازی، کاربران می‌توانند بدون نیاز به پیکربندی خاصی در مرورگر، از مزایای سرعت بالاتر و تأخیر کمتر در بارگذاری سایت بهره‌مند شوند.

ارتقا درخواست‌های ناامن HTTP

با فعال‌سازی این گزینه، مقدار upgrade-insecure-requests به هدر Content-Security-Policy اضافه می‌شود. این تنظیم باعث می‌شود مرورگر به‌صورت خودکار درخواست‌های ناامن HTTP را به نسخه HTTPS ارتقا دهد. این روش برای جلوگیری از ایجاد محتوای ترکیبی (Mixed Content) در صفحات وب کاربرد دارد.

تنظیم حداقل نسخه TLS

در این بخش می‌توانید مشخص کنید پایین‌ترین نسخه TLS مجاز برای ارتباطات HTTPS چه باشد. در صورت استفاده کاربر از نسخه‌ای پایین‌تر از مقدار تعیین‌شده، دسترسی به سایت از طریق HTTPS ممکن نخواهد بود. آبالون از TLS 1.3 پشتیبانی می‌کند که هم سرعت بالاتری دارد و هم امنیت بیشتری نسبت به نسخه‌های قدیمی‌تر فراهم می‌کند.

پروتکل HSTS

HSTS مکانیزمی امنیتی است که مرورگر را موظف می‌کند تمام درخواست‌ها را تنها از طریق HTTPS ارسال کند. با فعال‌سازی این قابلیت در پنل آبالون، می‌توان مدت اعتبار، پوشش زیردامنه‌ها و آماده‌سازی دامنه برای درج در فهرست مرورگرها را تنظیم کرد.

این سیاست از طریق هدر Strict-Transport-Security به مرورگر ارسال می‌شود و جایگزین امنی برای هدایت‌های معمول از HTTP به HTTPS به‌شمار می‌رود. فعال‌سازی HSTS باعث کاهش خطر حملات Man in the Middle و افزایش اعتماد کاربران به سایت می‌شود.

محاسبه JA3 Fingerprint

با فعال‌سازی این قابلیت، یک شناسه یکتا برای هر کاربر بر اساس ویژگی‌های اتصال SSL/TLS مانند IP، پورت، User-Agent و سایر پارامترها ایجاد می‌شود. این شناسه در لاگ درخواست‌ها ثبت شده و به شناسایی دقیق‌تر کاربران حتی در صورت تغییر مشخصات کمک می‌کند. همچنین می‌توان درخواست‌های مشکوک یا تکرارشونده را بر اساس این شناسه فیلتر یا تحلیل کرد.

گواهی‌نامه با پشتیبانی از اندرویدهای قدیمی

با فعال‌سازی این گزینه، آبالون برای دامنه شما گواهی SSL از نوع RSA صادر می‌کند. این نوع گواهی نسبت به گواهی‌های ECDSA در نسخه‌های قدیمی‌تر اندروید پشتیبانی گسترده‌تری دارد و باعث دسترسی راحت‌تر کاربران این دستگاه‌ها به وب‌سایت می‌شود.

پروتکل ارتباط سرورهای لبه با سرور اصلی

در این بخش می‌توانید مشخص کنید که ارتباط بین سرورهای لبه آبالون و سرور مبدأ از چه پروتکلی استفاده کند:

HTTP: ارتباط از طریق پروتکل غیرامن برقرار می‌شود.
HTTPS: ارتباط با سرور مبدأ به‌صورت رمزنگاری‌شده انجام می‌شود.
خودکار: پروتکل ارتباط بر اساس نوع درخواست کاربر (HTTP یا HTTPS) تعیین خواهد شد.

توصیه می‌شود در محیط‌های حساس، گزینه HTTPS یا حالت خودکار انتخاب شود تا امنیت کامل تبادل اطلاعات حفظ شود.

مرحله 20: تنظیمات Cache در CDN آبالون

Cache به معنی ذخیره موقت اطلاعات وب‌سایت برای پاسخ‌گویی سریع‌تر به کاربران است. در شبکه توزیع محتوای آبالون، اگر قابلیت کش فعال باشد، نسخه‌ای از فایل‌های سایت شما در سرورهای مختلف ذخیره می‌شود تا سرعت بارگذاری افزایش یابد، مصرف منابع کاهش پیدا کند و پایداری سایت بهتر شود.

عملکرد Cache صفحات در CDN آبالون

زمانی که وب‌سایت شما از شبکه توزیع محتوای آبالون استفاده می‌کند، نسخه‌ای از فایل‌های آن در سرورهای لبه (Edge Servers) ذخیره می‌شود. این فرآیند باعث می‌شود تا سرعت بارگذاری افزایش یابد و فشار روی سرور اصلی کاهش پیدا کند.

وقتی کاربر آدرس سایت را در مرورگر وارد می‌کند، درخواست او به نزدیک‌ترین سرور CDN ارسال می‌شود. این سرور ابتدا بررسی می‌کند که آیا فایل موردنظر در حافظه‌ی کش آن وجود دارد یا نه:

اگر فایل موجود و معتبر باشد (منقضی نشده باشد)، مستقیماً برای کاربر ارسال می‌شود.
اگر فایل در کش نباشد یا تاریخ اعتبار آن گذشته باشد، سرور، فایل را از سرور اصلی دریافت می‌کند، آن را ذخیره می‌کند و سپس برای کاربر می‌فرستد.

البته همه‌ی اطلاعات سایت قابل کش شدن نیستند. معمولاً فایل‌های ایستا مثل تصاویر، فایل‌های CSS و JavaScript در کش ذخیره می‌شوند، اما اطلاعات داینامیک یا حساس باید همیشه از سرور اصلی دریافت شوند.

در این فرآیند، اگر یک فایل از کش پاسخ داده شود به آن Hit و اگر نیاز به دریافت مجدد از سرور اصلی باشد، Miss گفته می‌شود.

برای بررسی اینکه یک فایل Hit بوده یا Miss، می‌توانید هدر پاسخ (Response Header) به نام X-Cache را بررسی کنید. برای این کار، در مرورگر Chrome به بخش:

More Tools > Developer Tools > Network > Headers

مراجعه کرده و مقدار X-Cache را در فایل موردنظر مشاهده کنید. این مقدار به شما نشان می‌دهد که محتوا از کش آمده یا نه.

تفاوت Cache در CDN و Cache مرورگر

Cache مرورگر (Browser Caching) به معنی ذخیره‌سازی موقت فایل‌ها در مرورگر کاربر است. در این حالت، مدیر سایت فقط تا حدی می‌تواند مشخص کند که چه فایل‌هایی و برای چه مدت روی مرورگر ذخیره شوند.

اما در کش سمت سرور یا همان Proxy Caching که توسط CDN انجام می‌شود، کنترل دقیق‌تری در اختیار مدیر سایت قرار دارد. شما می‌توانید مشخص کنید چه منابعی، چگونه و تا چه مدتی روی سرورهای لبه‌ی CDN ذخیره شوند. این موضوع باعث می‌شود عملکرد سایت پایدارتر و سریع‌تر باشد.

همچنین برخلاف کش مرورگر، در کش CDN فرقی ندارد که کاربر برای اولین‌بار وارد سایت می‌شود یا چندمین‌بار، یا حتی کش مرورگرش را پاک کرده باشد؛ در هر صورت، نزدیک‌ترین سرور CDN فایل مورد نیاز را در کوتاه‌ترین زمان به او می‌رساند.

برای مدیریت تنظیمات کش در آبالون، کافی است وارد پنل کاربری شده و از بخش «شبکه توزیع محتوا > تنظیمات Caching» اقدام کنید. در این قسمت می‌توانید سطح کش، مدت زمان اعتبار داده‌ها، حذف فایل‌های کش شده، دسترسی دائمی به برخی منابع و تنظیمات مربوط به برنامه‌نویسی را بررسی و تنظیم کنید.

در ادامه، با امکانات مختلف بخش Caching در آبالون بیشتر آشنا خواهید شد.

سطح عملیات Cache در آبالون

در سرویس CDN آبالون، می‌توانید تعیین کنید که فایل‌ها به چه شکلی در حافظه کش ذخیره شوند. برای این کار، سه سطح مختلف برای عملیات Cache در نظر گرفته شده است:

خاموش (Disabled)
در این حالت، هیچ داده‌ای ذخیره نمی‌شود و همه درخواست‌ها مستقیماً به سرور اصلی فرستاده می‌شوند.

بدون در نظر گرفتن Query String
اگر URLهایی با مسیر یکسان ولی Query String متفاوت داشته باشید، فقط یک نسخه از فایل در کش نگهداری می‌شود و برای همه آن‌ها استفاده می‌شود.
مثلاً اگر فایل زیر قبلاً کش شده باشد:

https://abalon.cloud/vpc/vpc.svg?x=test

سپس اگر این فایل با Query دیگری مثل

https://abalon.cloud/vpc/vpc.svg?x=abcd

درخواست شود، همان نسخه کش‌شده ارسال خواهد شد.

با در نظر گرفتن Query String

در این حالت، هر آدرس با Query String متفاوت به‌عنوان یک فایل مستقل در نظر گرفته می‌شود و جداگانه کش خواهد شد. در نتیجه برای هر ترکیب از مسیر و پارامتر، پاسخ جداگانه‌ای ذخیره یا دریافت می‌شود.

با انتخاب سطح مناسب، می‌توانید کش را دقیق‌تر مطابق نیاز وب‌سایت خود مدیریت کنید.

نکته: در CDN آبالون، حداکثر اندازه قابل کش برای هر فایل، در پلن رایگان، ۱۰۴٬۸۵۷٬۶۰۰ بایت (۱۰۰ مگابایت) است و امکان افزایش این میزان تا ۱۲۸ مگابایت در نظر گرفته شده است. این میزان در پلن استاندارد، ۲۵۶ مگابایت، در پنل پیشرفته ۵۱۲ مگابایت و در پلن سازمانی ۲۰۴۸ مگابایت است.

حذف داده‌های کش شده (Cache Purge)

در برخی شرایط، لازم است اطلاعات ذخیره‌شده در کش CDN حذف شود. پنل کاربری ابر آبالون دو روش برای انجام این عملیات در اختیار کاربران قرار می‌دهد:

1. پاک‌سازی گزینشی (Selective Purge)

در صورتی که نیاز دارید تنها فایل‌های مشخصی از کش حذف شوند، می‌توانید با انتخاب گزینه «پاک‌سازی گزینشی» (Selective Purge)، نشانی دقیق URL هر فایل موردنظر را وارد کرده و به‌صورت هدفمند آن‌ها را از کش حذف کنید. این روش برای به‌روزرسانی محتوای خاص، بدون تأثیر بر سایر فایل‌های کش‌شده، توصیه می‌شود.

2. پاک‌سازی کامل کش (Full Purge)

در صورتی که نیاز دارید تمام داده‌های کش‌شده مربوط به یک دامنه حذف شوند، می‌توانید از گزینه «پاک‌سازی کامل کش» استفاده کنید. با انتخاب این گزینه، کلیه فایل‌های ذخیره‌شده در کش برای دامنه‌ موردنظر به‌طور کامل حذف خواهند شد.

نکته حیاتی: انجام این عملیات ممکن است منجر به افزایش موقتی بار روی سرور مبدأ شود، چراکه تمامی درخواست‌ها تا زمان بازسازی کش، مستقیماً به سرور ارسال خواهند شد.

تنظیم مدت زمان اعتبار کش (Cache Expiration Time)

در این بخش می‌توانید بازه‌های زمانی مشخصی برای نگهداری داده‌ها در کش تعیین کنید. این تنظیمات برای سطوح مختلف کش اعمال می‌شود و کنترل بیشتری بر نحوه به‌روزرسانی محتوای وب‌سایت در اختیار شما قرار می‌دهد.

۱. مدت زمان اعتبار اطلاعات کش شده (Cache TTL)

مدت زمانی است که محتوای ذخیره‌شده در کش سرورهای لبه (Edge Servers) معتبر باقی می‌ماند. پس از پایان این مدت، فایل‌ها از کش حذف شده و در صورت نیاز، مجدداً از سرور مبدأ دریافت می‌شوند.

۲. مدت زمان کش صفحات خطا (Error Page Cache TTL)

این گزینه مدت زمانی را مشخص می‌کند که پاسخ‌هایی با کد وضعیت HTTP متفاوت از 200 (مانند 404 یا 500) در کش باقی بمانند. این تنظیم تنها روی سرورهای لبه CDN اعمال می‌شود.

۳. مدت زمان کش در مرورگر (Browser Cache TTL)

مدت زمانی است که مرورگر کاربران مجاز است فایل‌ها را در حافظه‌ محلی خود نگه دارد. با استفاده از این گزینه می‌توان کنترل بیشتری بر رفتار کش سمت کاربر داشت و از بار اضافی روی سرور مبدأ جلوگیری کرد.

کش صفحات دارای هدر Set-Cookie

این گزینه تعیین می‌کند که آیا پاسخ‌های دارای هدر Set-Cookie باید در کش ذخیره شوند یا خیر.

در صورت غیرفعال بودن این قابلیت، تمامی پاسخ‌هایی که شامل هدر Set-Cookie باشند، از فرآیند کش شدن مستثنی می‌شوند.
در صورت فعال بودن، این پاسخ‌ها نیز مشابه سایر محتواها در کش ذخیره خواهند شد.

نکته: فعال‌سازی این قابلیت ممکن است منجر به کش شدن اطلاعات حساس و کاربرمحور شود. پیشنهاد می‌شود تنها در صورت آگاهی کامل از پیامدهای امنیتی، از این ویژگی استفاده شود. این تنظیم تنها در پلن‌های پیشرفته و سازمانی در دسترس است.

وضعیت برنامه‌نویسی (Development Mode)

در زمان توسعه یا اعمال تغییرات روی وب‌سایت، ممکن است نیاز باشد کش به‌طور موقت غیرفعال شود تا بتوان تغییرات را بدون تأخیر مشاهده و بررسی کرد.

با فعال‌سازی «وضعیت برنامه‌نویسی»، سیستم کش به‌صورت موقت غیرفعال می‌شود و تمامی درخواست‌ها مستقیماً به سرور مبدأ ارسال خواهند شد.

نکته: فعال‌سازی این حالت تنها روی درخواست‌های جدید تأثیر می‌گذارد. اطلاعاتی که پیش‌تر در کش ذخیره شده‌اند، همچنان باقی می‌مانند و حذف نمی‌شوند. پس از غیرفعال‌سازی این گزینه، عملکرد کش به حالت عادی باز خواهد گشت.

دسترسی همیشگی (Always Online)

با فعال‌سازی قابلیت «دسترسی همیشگی»، شبکه CDN آبالون در صورت بروز اختلال یا از دسترس خارج شدن وب‌سایت شما، همچنان می‌تواند درخواست‌های کاربران را از طریق داده‌های ذخیره‌شده در کش پاسخ دهد.

نکته: در زمان عدم دسترسی به سرور مبدأ، امکان کش شدن محتوای جدید وجود نخواهد داشت. بنابراین توصیه می‌شود پیش از وقوع اختلال، با تنظیم دقیق قوانین کش صفحات، مشخص کنید کدام محتوا باید در کش ذخیره شود تا در صورت نیاز، در دسترس کاربران باقی بماند.

پسوندهای پیش‌فرض قابل کش در CDN آبالون:

7Z
APK
AVIF
AVI
BIN
BMP
BZ2
CLASS
CSS
CSV
DMG
DOC
DOCX
EJS
EOT
EPS
EXE
FLAC
GIF
GZ
ICO
ISO
JAR
JPEG
JPG
JS
MID
MIDI
MKV
MP3
MP4
OGG
OTF
PDF
PICT
PLZ
PNG
PPT
PPTX
PS
RAR
SVG
SVGZ
SWF
TAR
TIF
TIFF
TTF
WEBM
WEBP
WOFF
WOFF2
XLS
XLSX
ZIP
ZST

مرحله ۲۱: قوانین صفحات

پس از فعال‌سازی CDN، تنظیمات پیش‌فرض به‌صورت خودکار روی همه زیردامنه‌ها اعمال می‌شود؛ مانند کش شدن فایل‌های استاتیک.

اگر نیاز دارید این رفتار پیش‌فرض را برای مسیر یا فایل خاصی تغییر دهید (مثلاً جلوگیری از کش شدن یک فایل یا نادیده گرفتن هدر خاص)، می‌توانید در بخش «قوانین صفحات» قانون دلخواه خود را تعریف کنید. برای مدیریت این بخش، از منو، وارد بخش «شبکه توزیع محتوا» شده و گزینه «قوانین صفحات» را انتخاب کنید.

یک قانون پیش‌فرض در پنل وجود دارد که روی تمام درخواست‌های دامنه اصلی و زیردامنه‌ها اعمال می‌شود. این قانون شامل تنظیماتی مانند کش، فایروال و WAF است.

قوانین باید با فرمت scheme://hostname/path تعریف شوند، مثل:

https://subdomain.test.com/somepage

هر درخواست فقط با اولین قانون هم‌خوان پردازش می‌شود، بنابراین تمام تنظیمات لازم باید در همان قانون قرار گیرد.

مثال: اگر سایت شما روی dev.test.com قرار دارد و قصد دارید کش مسیر /static/ را غیرفعال کنید، باید قانونی با مسیر /dev.test.com/static ایجاد کرده و کش را در آن غیرفعال کنید.

در پایان، نمای کلی لیست قوانین صفحات شامل قانون جدید نمایش داده خواهد شد.

تعریف قوانین با استفاده از عبارات باقاعده (Regular Expression)

برای تعریف دقیق‌تر مسیرها در قوانین صفحات، می‌توانید از علامت [] برای تطابق حروف یا اعداد استفاده کنید.

تطابق با حروف بزرگ و کوچک:
برای پوشش آدرس‌هایی مثل fa و Fa:
https://example.com/[fF]a/*
تطابق با اعداد:
برای پوشش آدرس‌هایی مانند users/12345:
https://example.com/users/[0-9]*
شروع مسیر با حروف خاص:
- برای حروف کوچک: https://example.com/[a-z]/*
- برای حروف بزرگ: https://example.com/[A-Z]/*
  (برای هر گروه باید قانون جداگانه تعریف شود.)
قوانین حساس به حروف کوچک و بزرگ هستند.
بدون درج http یا https:
اگر ابتدای قانون را ننویسید، قانون برای هر دو پروتکل اعمال می‌شود.
مثال: www.example.com/*
برای صفحه اصلی سایت:
اگر قانون باید فقط روی صفحه اصلی اعمال شود:
/www.example.com

امکانات موجود در قوانین صفحات

با تعریف هر قانون، می‌توانید تنظیمات زیر را برای مسیرهای خاص سایت انجام دهید:

کش (Caching)

مشخص کردن زمان کش فایل‌ها در شبکه CDN
تعیین مدت نگهداری فایل‌ها در مرورگر
امکان کش کردن صفحات دارای کوکی (مناسب برای HTML)

شتاب‌دهی وب

فعال‌سازی شتاب‌دهی برای فایل‌های ثابت مثل CSS ،JS ،JPG ،PNG ،GIF
مناسب برای فایل‌هایی که می‌توان آن‌ها را فشرده کرد

تنظیمات امنیتی

فعال‌سازی WAF (دیوار آتش وب)
اعمال تنظیمات مقابله با حملات DDoS
محدودسازی دسترسی بر اساس کشور یا IP

تنظیمات پیشرفته

تعیین سرور مقصد متفاوت (کلاستر) برای یک مسیر خاص
مدیریت Headerها (ارسال یا مخفی‌سازی)

سایر تنظیمات

ریدایرکت با کدهای 301، 302، 307
لینک امن: محدود کردن دسترسی به URL با IP و زمان مشخص

پاک‌سازی Cache قوانین صفحات

با استفاده از این قابلیت، می‌توانید کش مربوط به یک قانون مشخص در صفحات سایت را به‌صورت مستقل حذف کنید. این پاک‌سازی تنها روی فایل‌هایی اعمال می‌شود که تحت تأثیر همان قانون کش شده‌اند و هیچ تغییری در سایر فایل‌ها یا قوانین دیگر ایجاد نمی‌کند.

برای این کار، ابتدا وارد پنل آبالون شوید و از بخش محصولات، به قسمت CDN و سپس «قوانین صفحات» بروید. در این بخش، با انتخاب گزینه «پاک‌سازی Cache» و تأیید آن، کش مربوط به همان قانون حذف خواهد شد. این قابلیت فقط در پلن پیشرفته و سازمانی فعال است و برای استفاده از آن لازم است سرویس خود را ارتقا دهید.

Redirect با استفاده از متغیرها

در بخش قوانین صفحات آبالون، می‌توانید ریدایرکت کاربران از یک دامنه به دامنه دیگر را با کدهای ۳۰۱، ۳۰۲ یا ۳۰۷ انجام دهید. با کمک متغیرها، امکان ایجاد مسیرهای پویا و قابل انعطاف در آدرس مقصد فراهم شده است. این قابلیت برای مدیریت ساختار آدرس‌دهی یا هدایت دقیق مسیرها کاربرد دارد. برای تنظیم دقیق‌تر، می‌توانید از راهنمای ریدایرکت استفاده کنید.

تنظیم Timeout

این تنظیم به شما اجازه می‌دهد بازه زمانی Timeout بین سرور لبه آبالون و سرور اصلی را مشخص کنید. سه نوع Timeout قابل تنظیم است:

Connection Timeout: مدت‌زمان برای برقراری اتصال
Read Timeout: مدت‌زمان انتظار برای دریافت پاسخ
Write Timeout: مدت‌زمان مجاز برای ارسال داده

برای تعریف این مقادیر، وارد بخش قوانین صفحات شوید، یک قانون جدید بسازید، نشانی و اولویت را مشخص کرده و سپس گزینه تنظیم Timeout را انتخاب کنید. مقادیر را بر حسب ثانیه وارد کرده و قانون را ذخیره کنید. این قابلیت فقط در پلن پیشرفته و سازمانی فعال است.

اعمال تنظیمات Cache از سمت سرور اصلی

در زمان استفاده از CDN، پاسخ کاربران معمولاً از سرورهای کش میانی ارائه می‌شود، نه مستقیماً از سرور اصلی. برای کنترل بهتر نسخه‌های کش‌شده، می‌توانید برخی تنظیمات Cache را مستقیماً از سرور اصلی مشخص کنید.

با فعال‌سازی قابلیت Origin Cache Control، امکان کنترل موارد زیر از سمت سرور اصلی فراهم می‌شود:

مدت زمان نگهداری محتوا در کش
الزام به به‌روزرسانی یا revalidate شدن فایل‌ها
جلوگیری از کش شدن برخی فایل‌ها روی سرورهای لبه

این قابلیت به شما کمک می‌کند تا رفتار کش را دقیق‌تر کنترل کرده و به محتوای خود انعطاف بیشتری بدهید.

شیوه کار Origin Cache Control

در حالت عادی، سرور لبه آبالون پس از دریافت پاسخ از سرور اصلی، محتوای دریافتی را طبق تنظیمات پیش‌فرض کش می‌کند. اما با فعال‌سازی قابلیت Origin Cache Control، سرور اصلی می‌تواند کنترل دقیق‌تری روی این فرآیند داشته باشد.

در این حالت، سرور اصلی در پاسخ HTTP، هدر Cache-Control را ارسال می‌کند. این هدر به سرورهای لبه دستور می‌دهد که:

چه نوع محتواهایی کش شوند
مدت زمان اعتبار کش چقدر باشد
چه درخواست‌هایی مشمول کش باشند یا نباشند

به این شکل، مدیریت رفتار کش از سمت سرور اصلی انجام می‌شود و هماهنگی بیشتری میان منابع و سیاست‌های کش‌گذاری ایجاد خواهد شد.

انواع پارامترهای Cache-Control

هدر Cache-Control شامل دستوراتی است که مشخص می‌کنند یک محتوا چگونه، چه مدت و در کجا کش شود. این هدرها توسط سرور اصلی ارسال می‌شوند و سرورهای لبه آبالون آن‌ها را تفسیر می‌کنند.

در ادامه مهم‌ترین پارامترهای قابل استفاده آمده است:

max-age: مدت زمان اعتبار کش را بر حسب ثانیه تعیین می‌کند. پس از پایان این زمان، محتوا باید دوباره از سرور اصلی اعتبارسنجی شود.
public: محتوای پاسخ برای همه درخواست‌ها کش می‌شود، حتی اگر از نوع غیرقابل کش باشد.
private: کش فقط در مرورگر کاربر انجام می‌شود و سرورهای لبه آن را ذخیره نمی‌کنند.
no-cache: محتوا ذخیره می‌شود، اما برای هر بار استفاده باید اعتبارسنجی شود.
no-store: محتوا اصلاً ذخیره نمی‌شود. هر بار باید مستقیم از سرور اصلی دریافت شود.
min-uses: مشخص می‌کند پس از چند بار درخواست یک فایل، کش آغاز شود.
s-maxage: مقدار جداگانه‌ای از زمان اعتبار کش برای سرورهای میانی (CDN) تعریف می‌کند و جایگزین max-age می‌شود.
must-revalidate: هر بار قبل از استفاده از کش، اعتبار محتوا باید با سرور اصلی بررسی شود.

نمونه:

برای نمونه، اگر در هدر پاسخ HTTP پارامترهایی مانند موارد زیر وجود داشته باشند، سرورهای لبه متوجه می‌شوند که این محتوا باید به‌صورت سراسری روی تمام سرورها ذخیره شود و پس از گذشت ۳۶۰۰۰ ثانیه، برای اعتبارسنجی مجدد آن، درخواست جدیدی ارسال گردد

Control-Cache: public, max-age=36000

فعال‌سازی Origin Cache Control

برای فعال‌سازی کنترل کش از سمت سرور اصلی، وارد پنل آبالون شوید و سپس به «قوانین صفحات» بروید. سپس با تعریف یک قانون جدید برای کل دامنه یا مسیر خاص، می‌توانید ویژگی کنترل کش را فعال کنید.

توجه داشته باشید این قابلیت فقط در پلن سازمانی فعال است و برای استفاده از آن باید پلن سرویس خود را ارتقا دهید.

مرحله ۲۲: ریدایرکت (Redirect)

در بخش «قوانین صفحات» می‌توانید ترافیک مربوط به یک URL مشخص را به آدرس دلخواه دیگری هدایت کنید.

تنظیم ریدایرکت در قوانین صفحات

برای ایجاد ریدایرکت در پنل آبالون، ابتدا وارد بخش CDN و سپس «قوانین صفحات» شوید. پس از کلیک روی «افزودن قانون جدید»، در پنجره باز شده، نشانی URL موردنظر (مثلاً www.example.com) را وارد کنید.

سپس از منوی تنظیمات، گزینه «انتقال نشانی» را انتخاب کرده و با کلیک روی دکمه روبه‌روی آن، وضعیت را به حالت فعال تغییر دهید. حال می‌توانید یکی از کدهای ریدایرکت زیر را انتخاب و آدرس مقصد را وارد کنید:

کد 301 (ریدایرکت دائمی): برای زمانی‌ که آدرس قبلی به‌طور کامل به آدرس جدید منتقل شده و دیگر قابل استفاده نیست. این نوع هدایت برای موتورهای جستجو دائمی تلقی می‌شود.
کد 302 (ریدایرکت موقت): برای زمانی‌ که به‌صورت موقت قصد انتقال کاربران به آدرسی دیگر را دارید. در این حالت، موتورهای جستجو لینک قبلی را حفظ می‌کنند.
کد 307: عملکرد مشابه 302 دارد، اما در نسخه‌های جدید HTTP تضمین می‌کند که متد و بدنه درخواست (مثلاً POST) در هنگام ریدایرکت تغییر نکند.

در نهایت، آدرس مقصد را وارد کرده و روی دکمه «افزودن قانون جدید» کلیک کنید تا ریدایرکت ثبت شود.

تنظیمات پیشرفته ریدایرکت

در حالت عادی، ریدایرکت فقط دامنه اصلی را منتقل می‌کند و آدرس‌های فرعی (مثل مسیرها و فایل‌ها) در انتقال لحاظ نمی‌شوند. برای مثال، اگر sample.com به newsample.com ریدایرکت شود، کاربری که به آدرس sample.com/example.html وارد می‌شود، تنها به newsample.com منتقل خواهد شد، نه به مسیر اصلی موردنظر.

برای اینکه کل مسیر (Path) نیز منتقل شود، باید در تعریف قانون از متغیرها استفاده کنید.

مراحل انجام تنظیم:

۱. وارد پنل آبالون شوید و به مسیر:

CDN > قوانین صفحات > افزودن قانون جدید بروید.

در کادر «نشانی»، آدرس مبدا را وارد کرده و سپس روی علامت + کلیک کنید.
از منوی تنظیمات، گزینه «انتقال نشانی» را فعال کنید و یکی از کدهای ریدایرکت (۳۰۱، ۳۰۲ یا ۳۰۷) را انتخاب کنید.
در قسمت «نشانی مقصد»، آدرس هدف را وارد کنید و برای تعیین متغیر از * استفاده نمایید.
مثال‌هایی از آدرس مبدا با متغیر (در این مثال‌ها، کوئری استرینگ از آدرس مبدا به مقصد منتقل نمی‌شود):
- sample.com/*
- *.sample.com
- sample.com/new/*.jpg
در آدرس مقصد، از $1, $2 و … برای اشاره به متغیرها استفاده کنید.
- مثال:
  newsample.com/$1
  $1.newsample.com/$2
پس از تنظیم کامل، روی دکمه «افزودن قانون جدید» کلیک کنید.

مثال کاربردی

اگر کاربری بخواهد به آدرس sample.com/example.html دسترسی پیدا کند، با استفاده از تنظیم درست و متغیرها، به صورت خودکار به آدرس newsample.com/example.html هدایت خواهد شد. این نوع ریدایرکت برای حفظ ساختار URL و بهبود تجربه کاربری بسیار مفید است.

مرحله 2۳: بهینه‌سازی عملکرد وب‌سایت

با استفاده از قابلیت‌های این بخش، می‌توانید زمان بارگذاری صفحات سایت را کاهش دهید. این موضوع هم باعث بهبود تجربه کاربری می‌شود و هم تأثیر مثبتی بر سئو خواهد داشت.

فشرده‌سازی فایل‌های CSS و JavaScript

با فعال‌سازی این گزینه، فایل‌های CSS و JS به‌صورت خودکار توسط CDN فشرده می‌شوند. فضاهای خالی، توضیحات (کامنت‌ها) و کدهای غیرضروری حذف شده و حجم فایل‌ها کاهش می‌یابد. این به کاهش زمان بارگذاری و سبک‌تر شدن صفحات منجر می‌شود.

امکان فعال‌سازی فشرده‌سازی برای CSS و JavaScript به‌صورت جداگانه فراهم است و می‌توانید هرکدام را مطابق نیاز مدیریت کنید.

فشرده‌سازی تصاویر

با فعال‌سازی این قابلیت، تصاویر با فرمت‌های JPG ،PNG و GIF به‌صورت خودکار به فرمت WebP تبدیل می‌شوند. این فرمت حجم کم‌تری دارد و موجب کاهش زمان بارگذاری و مصرف پهنای باند می‌شود.

نکته: برای اعمال این بهینه‌سازی، محتوای مربوطه باید روی سرورهای لبه آبالون کش شده باشد. تنها فایل‌هایی که کش می‌شوند امکان فشرده‌سازی خواهند داشت.

تغییر اندازه تصاویر (Image Resize)

در بسیاری از وب‌سایت‌ها، برای نمایش صحیح تصاویر در اندازه‌های مختلف، نیاز به ذخیره چند نسخه از هر تصویر وجود دارد. این کار هم منابع پردازشی مصرف می‌کند و هم فضای ذخیره‌سازی زیادی نیاز دارد.

با استفاده از قابلیت Image Resize در CDN آبالون، تنها کافی است نسخه اصلی تصویر را روی سرور خود نگه دارید. نسخه‌های موردنیاز در اندازه‌های مختلف به‌صورت خودکار و بر اساس درخواست کاربر (از مرورگر یا اپلیکیشن) توسط CDN تولید و ارائه می‌شوند.

این قابلیت از فرمت‌های JPG ،PNG و WebP پشتیبانی می‌کند. در مورد تصاویر GIF، فقط اولین فریم تغییر اندازه داده شده و به‌صورت تصویر ثابت ذخیره می‌شود. اگر تصویر در فرمت فشرده (مثل GZip) باشد، تغییر اندازه روی نسخه غیرفشرده اعمال می‌شود.

محدودیت‌ها:

حداکثر ابعاد: 3000×3000 پیکسل
حداکثر حجم فایل: 2 مگابایت
تصاویر بزرگ‌تر بدون تغییر ارائه می‌شوند.

Image Resize را می‌توان به‌صورت سراسری برای کل دامنه یا به‌صورت خاص برای یک قانون صفحه (Page Rule) فعال کرد. در صورت فعال بودن هر دو، تنظیمات مربوط به قانون صفحه در اولویت قرار می‌گیرد.

مرحله 2۴: امنیت

با استفاده از قابلیت‌های امنیتی CDN آبالون، می‌توانید وب‌سایت خود را در برابر حملات سایبری و تهدیدهای مختلف ایمن کنید. این امکانات شامل دیوار آتش وب (WAF)، فایروال، مقابله با حملات DDoS و محدودسازی نرخ درخواست‌ها (Rate Limit) است.

گام اول: فعال‌سازی CDN

برای استفاده از قابلیت‌های امنیتی، فعال بودن CDN ضروری است. اگر CDN تنها برای دامنه اصلی فعال باشد، تنظیمات امنیتی فقط روی آن اعمال می‌شود و شامل زیردامنه‌ها نخواهد بود. بنابراین برای پوشش کامل، باید استفاده از CDN برای زیردامنه‌ها نیز روشن باشد.

ترتیب اجرای ماژول‌های امنیتی

هنگام پردازش درخواست‌ها، تنظیمات امنیتی به‌ترتیب زیر اعمال می‌شوند:

فایروال (Firewall)
محافظت در برابر حملات DDoS
محدودیت نرخ درخواست (Rate Limit)
دیوار آتش وب (WAF)

نکته مهم: محدودیت نرخ درخواست فقط زمانی فعال می‌شود که محتوای موردنظر روی CDN کش نشده یا قابل کش نباشد.

گام دوم: انجام تنظیمات امنیتی

در این بخش، با تنظیمات اولیه فایروال، دیوار آتش وب (WAF)، محدودسازی نرخ درخواست (Rate Limit) آشنا می‌شوید:

فایروال

با استفاده از فایروال آبالون، می‌توانید دسترسی به سایت را بر اساس کشور، IP یا محدوده مشخصی از کاربران محدود کنید. برای تنظیم دقیق فایروال، به بخش مربوط در پنل مراجعه کرده و دستورالعمل‌ها را به ترتیب اجرا کنید.

WAF (دیوار آتش وب)

WAF برای مقابله با حملات متداول وب مانند SQL Injection یا XSS استفاده می‌شود. از آن‌جایی‌ که تنظیمات نادرست این بخش ممکن است باعث اختلال در دسترسی به سایت شود، پیش از فعال‌سازی، حتماً راهنمای مربوط به تنظیم WAF را مطالعه کرده و سپس آن را از طریق پنل فعال کنید.

محافظت در برابر DDoS

حملات DDoS با ارسال حجم زیاد ترافیک به سرور، باعث از کار افتادن سایت می‌شوند. با فعال‌سازی DDoS Protection، آبالون به‌صورت خودکار این حملات را در چند سطح مختلف شناسایی و مسدود می‌کند.

محدودیت نرخ درخواست (Rate Limit)

برای جلوگیری از سوءاستفاده ربات‌ها یا کاربران پرمصرف، می‌توانید تعداد درخواست‌ها در یک بازه زمانی مشخص را محدود کنید. پیش از اعمال این تنظیم، پیشنهاد می‌شود راهنمای مربوط به Rate Limit را مطالعه کرده و مقادیر منطقی برای شرایط سایت خود انتخاب کنید.

نکته مهم: پیکربندی نادرست هر یک از این ابزارهای امنیتی ممکن است باعث بروز خطا در عملکرد سایت شود. توصیه می‌شود پیش از اعمال تنظیمات، از مستندات رسمی آبالون استفاده کرده یا با تیم پشتیبانی مشورت کنید.

تنظیمات فایروال

نسل جدید فایروال آبالون، بستری پیشرفته و منعطف برای مدیریت و کنترل ترافیک HTTP ورودی به وب‌سایت یا وب‌اپلیکیشن شما فراهم می‌کند. با استفاده از این قابلیت، می‌توانید مجموعه‌ای از قوانین ترکیبی را بر اساس ویژگی‌های مختلف درخواست (IP، کشور، URL، هدرها و …) تعریف کرده و امنیت دامنه خود را تقویت کنید.

فایروال آبالون امکان مسدودسازی ترافیک مشکوک را بر اساس ساختاری مشابه Wireshark فراهم می‌کند و می‌توانید آن را از طریق پنل کاربری مدیریت کنید.

فعال‌سازی فایروال از طریق پنل

برای تنظیم فایروال:

وارد پنل آبالون شوید.
از بخش محصولات به CDN > امنیت > تنظیمات فایروال بروید.
در این بخش می‌توانید قوانین دلخواه خود را تعریف کرده و شرایط مختلف را برای پذیرش یا رد ترافیک مشخص کنید.

در بخش «قانون پیش‌فرض»، می‌توانید مشخص کنید که اگر یک درخواست با هیچ‌یک از قوانین تعریف‌شده مطابقت نداشت، به‌صورت پیش‌فرض مجاز باشد یا مسدود شود.

ایجاد قوانین فایروال

برای تعریف قانون جدید در فایروال آبالون، وارد بخش «تنظیمات فایروال» در پنل شوید و روی گزینه «افزودن قانون» کلیک کنید. در صفحه بازشده، می‌توانید مراحل زیر را انجام دهید:

نام و توضیح قانون: عنوان و توضیحی برای شناسایی بهتر قانون وارد کنید.
پارامتر: مشخص کنید قانون باید بر چه چیزی اعمال شود (مثلاً IP، کشور، URI، کوکی و…)
اپراتور: نوع تطابق را انتخاب کنید (مانند برابر است با، برابر نیست با، شامل و …)
مقدار شرط: مقدار موردنظر برای تطابق را وارد کنید.
پیش‌نمایش قانون: می‌توانید معادل فنی قانون را مشاهده و بررسی کنید.

در پایان، مشخص کنید که نتیجه اجرای این قانون چه باشد:

اجازه دسترسی (Allow) یا مسدودسازی (Deny)، سپس قانون را ذخیره کنید.

پارامترهای قابل انتخاب برای تعریف شرط در فایروال

برای ایجاد شرط در قوانین فایروال، ابتدا باید یکی از پارامترهای زیر را انتخاب کنید:

SOURCE IP ADDRESS
نمایش‌دهنده IP درخواست‌دهنده
مثال: 1.2.3.4
COUNTRY
کشور مبدا درخواست بر اساس کد دوحرفی ISO
مثال: IR
URI PATH
مسیر URI در درخواست
مثال: /help/index
HOSTNAME
نام میزبان در آدرس درخواست‌شده
مثال: www.example.com
COOKIE
مقدار کامل کوکی در قالب رشته
مثال: SSID=AyTkdelQ2_HcYlqfu;session=7563F164852R4475F79t2E7BCCE87FFA
REFERER
آدرس صفحه‌ای که کاربر از آن به صفحه فعلی هدایت شده
مثال: developer.example.com/docs/Web/JavaScript
REQUEST METHOD
نوع متد HTTP در درخواست
مثال: GET
URI
ترکیب کامل مسیر و Query String
مثال: /help/index?section=487365&expand=comments
URI QUERY STRING
فقط بخش Query String بدون علامت سؤال
مثال: section=487365&expand=comments
HTTP VERSION
نسخه HTTP مورد استفاده در درخواست
مثال: HTTP/1.1
USER AGENT
رشته‌ی مشخص‌کننده مرورگر و سیستم‌عامل کاربر
مثال:
Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/136.0.0.0 Safari/537.36

نکته: پارامترهای SOURCE IP ADDRESS ،COUNTRY ،HOSTNAME و URI در همه پلن‌ها فعال هستند. سایر پارامترها فقط در پلن سازمانی قابل استفاده‌اند.

تعیین اپراتور و مقدار شرط در فایروال

پس از انتخاب پارامتر موردنظر، نوبت به تعیین اپراتور منطقی و مقدار شرط می‌رسد. اپراتور مشخص می‌کند که مقدار پارامتر چگونه با مقدار واردشده مقایسه شود. بسته به نوع پارامتر و هدف شما، می‌توان یکی از اپراتورهای زیر را انتخاب کرد:

برابر است با (==)
زمانی استفاده می‌شود که مقدار باید دقیقاً با پارامتر برابر باشد.
برابر نیست با (!=)
بررسی می‌کند که مقدار با پارامتر تفاوت داشته باشد.
شامل (contains)
در صورتی استفاده می‌شود که پارامتر باید حاوی مقدار مشخصی باشد.
تطابق با الگوی REGEX (~)
در صورتی کاربرد دارد که مقدار باید با یک الگوی مشخص (Regular Expression) مطابقت داشته باشد.
در لیست موجود است (in)
بررسی می‌شود که آیا مقدار پارامتر در یک لیست مشخص از مقادیر وجود دارد یا خیر.
شروع می‌شود با
شرط زمانی برقرار است که پارامتر با مقدار داده‌شده شروع شود.
پایان می‌یابد با
شرط زمانی برقرار است که پارامتر به مقدار مشخص ختم شود.

ترکیب چند شرط در یک قانون

شما می‌توانید چند شرط را در قالب یک قانون تعریف کنید. در این حالت:

اگر شروط را با AND ترکیب کنید، همه‌ آن‌ها باید هم‌زمان برقرار باشند تا قانون اعمال شود.
اگر از OR استفاده کنید، برقرار بودن تنها یکی از شروط کافی است.

مثال کاربردی

فرض کنید می‌خواهید ترافیک ورودی را بر اساس شرایط خاصی کنترل کنید. به‌عنوان نمونه، هدف این است که تمام درخواست‌های:

با متد POST
به آدرس مشخصی مانند /test
از IP خاصی مانند 1.2.3.4
و با User-Agent خاصی مانند:
Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/98.0.4758.102 Safari/537.36

مسدود شوند.

در این صورت، باید چهار شرط را با اپراتورهای مناسب تعریف کرده و آن‌ها را با AND ترکیب کنید. در نهایت، نوع عملیات را روی مسدودسازی (Deny) قرار دهید و قانون را ذخیره کنید.

وقتی یک قانون فایروال تعریف می‌کنید، سامانه به‌طور خودکار عبارتی به‌عنوان «عبارت معادل» نمایش می‌دهد. این عبارت دقیقاً نشان می‌دهد که شروط شما به چه شکلی تفسیر شده‌اند.

اگر قانون فقط یک شرط داشته باشد، عبارت ساده‌ای ساخته می‌شود. برای مثال، اگر شرط این باشد که IP فرستنده برابر با 1.2.3.4 باشد، عبارت معادل به همین صورت نوشته می‌شود.

در صورتی که چند شرط داشته باشید، این شروط با واژه‌های and یا or ترکیب می‌شوند. مثلاً اگر شرط دوم متد POST باشد، عبارت معادل ترکیبی به شکل زیر نمایش داده می‌شود: IP برابر با 1.2.3.4 و متد درخواست برابر با POST.

عبارت معادل به شما کمک می‌کند مطمئن شوید قانون دقیقاً همان‌طور که انتظار دارید، پیاده‌سازی شده است.

بعد از ساخت قوانین فایروال، در بخش «فهرست قوانین» می‌توانید آن‌ها را مشاهده و مدیریت کنید. در این قسمت، امکان ویرایش، تغییر اولویت اجرا و حذف هر قانون وجود دارد. اگر از پلن پیشرفته یا سازمانی استفاده می‌کنید، در همین بخش می‌توانید لیستی از IP بازدیدکنندگان به‌همراه تعداد درخواست‌های آن‌ها را نیز مشاهده کنید. این قابلیت به شما کمک می‌کند رفتار کاربران را بهتر تحلیل کرده و تصمیم‌های امنیتی دقیق‌تری بگیرید.

نام، توضیح و وضعیت قوانین فایروال

هر قانونی که در فایروال تعریف می‌کنید شامل سه بخش اصلی است:

نام قانون: عنوانی که برای شناسایی سریع‌تر قانون وارد می‌کنید.
توضیحات: متنی اختیاری که کاربرد یا هدف قانون را مشخص می‌کند.
وضعیت: تعیین می‌کند که قانون فعال باشد یا غیرفعال.

واکنش فایروال هنگام به وقوع پیوستن شرط‌ها

وقتی یک یا چند شرط از قوانین شما برقرار باشند، فایروال می‌تواند طبق یکی از گزینه‌های زیر واکنش نشان دهد:

مجاز (Allow): درخواست مجاز شمرده می‌شود و مانند حالت عادی پردازش خواهد شد.
مسدود (Deny): درخواست به‌طور کامل مسدود می‌شود و پاسخی دریافت نمی‌کند.
چالش (Challenge): درخواست باید یک مرحله امنیتی محافظت DDoS (مثل کپچا) را بگذراند تا پذیرفته شود.
عبور (Bypass): درخواست از بررسی‌های امنیتی عبور می‌کند و مستقیماً پردازش می‌شود.

این گزینه‌ها به شما کمک می‌کنند تا کنترل دقیق‌تری بر ترافیک و سطح دسترسی به وب‌سایت خود داشته باشید.

موارد استفاده رایج از فایروال آبالون

در این بخش با یکی از کاربردهای عملی فایروال آشنا می‌شوید و می‌بینید چگونه می‌توان از آن برای کنترل دقیق‌تر دسترسی‌ها استفاده کرد.

محدودسازی دسترسی بر اساس کوکی

یکی از موارد استفاده رایج، ایجاد محدودیت دسترسی به بخش‌هایی از سایت است که فقط باید در اختیار افراد مشخصی باشد؛ مثلاً محیط توسعه.

برای این کار می‌توانید یک کوکی اختصاصی را در اختیار افراد مورد اعتماد قرار دهید و دسترسی به مسیر خاصی را فقط برای دارندگان این کوکی فعال کنید.

مراحل پیاده‌سازی:

قانون اول – مسدود کردن مسیر موردنظر (مثلاً dev.example.com) برای همه کاربران.
قانون دوم – مجاز کردن دسترسی برای درخواست‌هایی که دارای کوکی مشخص‌شده هستند.

در این حالت باید از پارامتر Cookie استفاده کنید و کوکی موردنظر را بررسی کنید.

نکته: قانون دوم (مجاز بودن) باید اولویت بالاتری نسبت به قانون مسدودسازی داشته باشد تا ابتدا بررسی شود و دسترسی کاربران مجاز بلاک نشود.

این روش برای حفاظت از بخش‌های حساس سایت در برابر دسترسی عمومی بسیار مؤثر و ساده است.

مقابله با حملات R.U.D.Y

حملات R.U.D.Y یکی از انواع حملات DoS هستند که با ارسال درخواست‌هایی با هدرهای بزرگ و نگه‌داشتن طولانی اتصال، باعث مصرف منابع سرور و اختلال در عملکرد آن می‌شوند. این حملات معمولاً روی مسیرهایی که نیاز به session فعال دارند، انجام می‌شوند.

راهکار پیشنهادی

برای مقابله با این نوع حمله، می‌توانید فایروال را طوری تنظیم کنید که فقط درخواست‌هایی را بپذیرد که دارای کوکی معتبر باشند. در این مثال، سه شرط برای تشخیص و مقابله با درخواست‌های مشکوک با هم ترکیب می‌شوند:

شناسایی مسیرهای حساس
مسیرهایی که احتمال هدف قرار گرفتن دارند، مثلاً /comment/create یا /event/create.
بررسی وجود کوکی معتبر
فقط درخواست‌هایی مجاز هستند که کوکی auth_session با الگوی مشخص‌شده را داشته باشند.
مستثنا کردن درخواست‌های غیر POST
چون این نوع حمله بیشتر روی متد POST انجام می‌شود، سایر متدها از قانون خارج می‌شوند.

این سه شرط باید با عملگر AND ترکیب شوند تا فقط در صورتی که همه آن‌ها برقرار باشند، درخواست پذیرفته شود.

نکته: در این قانون، عمل نهایی باید روی «مجاز بودن» تنظیم شود تا فقط درخواست‌هایی که این شروط را دارند، اجازه عبور پیدا کنند. باقی درخواست‌ها به‌طور خودکار مسدود خواهند شد.

مقابله با Hotlink

Hotlink به حالتی گفته می‌شود که سایت‌های دیگر، فایل‌های شما مثل عکس یا ویدیو را مستقیماً در سایت خودشان نمایش می‌دهند. این کار بدون اجازه انجام می‌شود و باعث مصرف بیهوده‌ پهنای باند سایت شما می‌شود.

برای جلوگیری از این اتفاق، می‌توانید در فایروال آبالون قانونی تعریف کنید تا فقط درخواست‌هایی که از داخل سایت خودتان ارسال می‌شوند مجاز باشند.

چطور عمل کنیم؟

با استفاده از دو پارامتر زیر می‌توان این قانون را ساخت:

Referer: برای بررسی اینکه درخواست از چه سایتی آمده است.
URI Path: برای مشخص کردن مسیرهایی که می‌خواهید از آن‌ها محافظت کنید (مثلاً مسیر فایل‌های تصویری).

در این قانون، درخواست‌هایی که از سایتی غیر از example.com به مسیر مشخص‌شده فرستاده می‌شوند مسدود خواهند شد. فقط درخواست‌هایی که از خود سایت شما می‌آیند، اجازه عبور دارند.

مرحله 2۵: دیوار آتش وب (Web Application Firewall | WAF)

دیوار آتش وب آبالون، با بهره‌گیری از قوانین مبتنی بر Regex و روش Anomaly Scoring، درخواست‌های مخرب را شناسایی و مسدود می‌کند.

در روش Anomaly Scoring، هر قانون دارای یک امتیاز مشخص است. هنگام بررسی یک درخواست، اگر چند قانون با آن تطابق داشته باشند، مجموع امتیاز قوانین مطابقت‌یافته با

آستانه‌ی حساسیت تنظیم‌شده برای WAF مقایسه می‌شود:

اگر مجموع امتیاز کمتر از آستانه باشد، درخواست مجاز شناخته می‌شود.
اگر مجموع امتیاز برابر یا بیشتر از حد آستانه باشد، درخواست به‌عنوان مخرب مسدود خواهد شد.

این روش دقت بالایی در شناسایی حملات پیچیده دارد، زیرا بر اساس رفتار ترکیبی و نه فقط تطابق مستقیم عمل می‌کند.

تنظیم و پیکربندی WAF در پنل آبالون

برای پیکربندی WAF:

وارد پنل کاربری آبالون شوید.
از منوی سمت راست، به بخش CDN بروید.
گزینه‌ی دیوار آتش وب (WAF) را انتخاب کنید.

در این بخش، می‌توانید وضعیت WAF را از میان سه حالت موجود انتخاب کنید:

فعال: تمامی قوانین فعال هستند و درخواست‌ها بر اساس امتیازدهی بررسی می‌شوند.
حالت گزارش‌گیری (Only Log): درخواست‌ها مسدود نمی‌شوند، اما گزارش‌ها ثبت می‌شوند.
غیرفعال: با غیرفعال کردن این گزینه، دیوار آتش وب برای دامنه شما به‌طور کامل خاموش می‌شود.

پکیج‌های امنیتی WAF

برای ساده‌سازی پیکربندی دیوار آتش وب (WAF)، آبالون مجموعه‌ای از پکیج‌های امنیتی را ارائه می‌دهد. این پکیج‌ها شامل قوانین و تنظیمات از پیش تعریف‌شده‌ای هستند که با فعال‌سازی آن‌ها، به‌صورت خودکار روی WAF شما اعمال می‌شوند.

سه پکیج زیر از طریق بخش «پکیج‌ها» در پنل WAF قابل انتخاب و فعال‌سازی هستند:

پکیج پیش‌فرض آبالون
پکیج استاندارد CRS
پکیج امنیتی Comodo

نکته: در پلن سازمانی امکان فعال کردن همزمان هر ۳ پکیج WAF فراهم است.

پکیج پیش‌فرض WAF آبالون

برای شروع پیکربندی، کافی است در بخش پکیج پیش‌فرض WAF آبالون روی دکمه‌ی «ویرایش» کلیک کنید. با این کار، به تنظیمات اختصاصی هر قانون دسترسی پیدا می‌کنید. این تنظیمات شامل گزینه‌هایی برای مدیریت فعال یا غیرفعال بودن قوانین است.

این پکیج شامل مجموعه‌ای از قوانین پایه برای محافظت در برابر حملات رایج وب‌سایت‌ها است. در ادامه، دسته‌بندی‌های اصلی قوانین این پکیج توضیح داده شده‌اند:

▪ اجرای کدهای مخرب (XSS) – کدهای 42xxx

حملات Cross-Site Scripting یا XSS زمانی اتفاق می‌افتند که مهاجم کدی مخرب را از طریق ورودی‌های کاربر یا لینک‌های crafted به مرورگر قربانی ارسال می‌کند. در صورت نبود اعتبارسنجی مناسب، این کد در مرورگر اجرا شده و می‌تواند منجر به سرقت اطلاعات، ربودن نشست کاربر یا اجرای دستورات ناخواسته شود.

▪ حملات تزریق SQL (SQL Injection) – کدهای 41xxx

در این نوع حمله، مهاجم کوئری‌های مخرب SQL را از طریق ورودی‌های کاربر یا پارامترهای URL به سمت دیتابیس ارسال می‌کند. نتیجه‌ این حملات ممکن است شامل دسترسی غیرمجاز، تغییر یا حذف اطلاعات و حتی در دست گرفتن کامل کنترل دیتابیس باشد.

▪ درخواست‌های خلاف قاعده – کدهای 21xxx

در این دسته، حملاتی متوجه ساختار یا هدرهای HTTP هستند. WAF با تحلیل هدرها، مقادیر نامعتبر یا غیرمنتظره را شناسایی و درخواست‌های غیرقابل اعتماد را مسدود می‌کند.

▪ بات‌های مخرب – کدهای 35xxx

WAF با تفکیک بین بات‌های قانونی (مانند Googlebot) و بات‌های مشکوک یا مهاجم، تنها بات‌هایی را مسدود می‌کند که رفتار غیرعادی داشته و سعی در بهره‌برداری از آسیب‌پذیری‌ها دارند.

▪ درخواست‌های خارج از استاندارد HTTP – کدهای 20xxx

در این بخش، WAF عملکرد صحیح پروتکل HTTP را بررسی می‌کند. مثال‌هایی از بررسی‌ها شامل وجود Header مناسب مانند Content-Length در متدهای POST و یا صحت ساختار متدهای درخواست است.

▪ حملات عمومی – کدهای 40xxx

این دسته از حملات معمولاً از فقدان اعتبارسنجی مناسب در ورودی/خروجی داده‌ها سوءاستفاده می‌کنند. مهاجم ممکن است کد مخربی را به برنامه تزریق کرده و از طریق آن فرآیندهایی مانند دور زدن احراز هویت یا سرقت اطلاعات انجام دهد. حملات معروفی مانند RFI (مخفف Remote File Inclusion) و LFI (مخفف Local File Inclusion) در این دسته قرار می‌گیرند.

بسیاری از قوانین در پکیج پیش‌فرض WAF آبالون دارای زیرمجموعه‌هایی هستند که قابلیت تنظیم مجزا دارند. با کلیک روی آیکون پیکان کنار هر قانون، این زیرقوانین نمایش داده می‌شوند. شما می‌توانید بسته به شرایط شبکه و نیازهای خاص خود، هر یک از این زیرمجموعه‌ها را به‌صورت مستقل فعال یا غیرفعال کنید.

پکیج امنیتی CRS

پکیج CRS (مخفف Core Rule Set) مجموعه‌ای از قوانین عمومی برای تشخیص و مقابله با حملات رایج وب‌سایت‌ها است که امکان فعال‌سازی آن روی قابلیت WAF آبالون فراهم شده است. با فعال‌سازی دیوار آتش وب و انتخاب این پکیج از طریق پنل کاربری، می‌توانید از وب‌سایت خود در برابر طیف گسترده‌ای از تهدیدات امنیتی محافظت کنید. با کلیک روی آیکون ویرایش، وارد بخش تنظیمات اختصاصی این پکیج می‌شوید.

مهم‌ترین حملاتی که توسط پکیج CRS شناسایی و مسدود می‌شوند:

SQL Injection (SQLi)
Cross-Site Scripting (XSS)
Local File Inclusion (LFI)
Remote File Inclusion (RFI)
PHP Code Injection
Java Code Injection
HTTPoxy Vulnerability
Shellshock
Unix/Windows Shell Injection
Session Fixation
شناسایی و مسدودسازی اسکریپت‌ها، اسکنرها و بات‌های مشکوک
جلوگیری از افشای متادیتا یا پیام‌های خطای ناخواسته (Error Leakage)

پکیج امنیتی Comodo

پکیج Comodo یکی دیگر از مجموعه قوانین قابل فعال‌سازی از طریق پنل WAF آبالون است. این پکیج ترکیبی از قوانین حفاظت در برابر نفوذ (Intrusion Protection Rules) و فیلترهای پیشرفته (Advanced Filtering Rules) را ارائه می‌دهد. استفاده از این پکیج، امکان تشخیص حملات پیچیده‌ و رفتارهای مخرب در لایه‌های مختلف اپلیکیشن را فراهم کرده و سطح امنیتی بالایی برای وب‌سایت شما ایجاد می‌کند. دسته‌بندی حملاتی که توسط پکیج Comodo پشتیبانی می‌شوند به شرح زیر است:

Global – Generic
Global – Agents
Global – Domains
Global – Incoming
Global – Backdoor
Global – Other
XSS
Bruteforce
HTTP
HTTP – Protocol
HTTP – Request
PHP – PHPGen
SQL – SQLi
ROR – RORGen
Apps – Joomla
Apps – JComponent
Apps – WordPress
Apps – WPPlugin
Apps – WHMCS
Apps – Drupal
Apps – OtherApps

قوانین سفارشی

در WAF آبالون این امکان وجود دارد که قابلیت محافظت WAF را برای یک مسیر خاص از دامنه یا یک بازه‌ی مشخص از IPها فعال یا غیرفعال کنید. این قابلیت برای زمانی مفید است که بخواهید کنترل دقیق‌تری بر رفتار WAF در بخش‌های خاصی از وب‌سایت یا برای گروهی از کاربران داشته باشید.

برای ایجاد قانون سفارشی، ابتدا وارد پنل CDN آبالون شوید، به بخش دیوار آتش وب (WAF) بروید و در قسمت قوانین سفارشی روی دکمه‌ی «افزودن قانون» کلیک کنید.

در این مرحله باید مسیر درخواستی را در قالب الگوی Glob وارد کنید و سپس IP یا بازه‌ی IP مورد نظر خود را مشخص کنید؛ یعنی محدوده‌ای که می‌خواهید قانون روی آن اعمال شود. در ادامه، باید وضعیت عملیات را انتخاب کنید تا تعیین شود دیوار آتش وب برای این مسیر یا IP فعال یا غیرفعال باشد. پس از ایجاد قانون، فهرستی از قوانین سفارشی در همان صفحه نمایش داده می‌شود که شامل مشخصات هر قانون و اولویت اجرای آن‌ها است. امکان ویرایش یا حذف این قوانین نیز در همین بخش وجود دارد. اولویت هر قانون تعیین می‌کند که در صورت وجود چند قانون برای یک مسیر مشخص، کدام‌یک زودتر اجرا شود. توجه داشته باشید که هرچه عدد اولویت کمتر باشد، قانون زودتر اعمال خواهد شد؛ برای مثال، قانونی با اولویت ۱ پیش از قانونی با اولویت ۱۰ اجرا خواهد شد.

گزارش حملات در WAF

در بخش گزارش‌های دیوار آتش وب (WAF) آبالون، می‌توانید حملات شناسایی‌شده به وب‌سایت خود را بررسی و تحلیل کنید. این بخش به شما امکان می‌دهد تا با دید دقیق‌تری نسبت به نوع تهدیدات، منبع آن‌ها و نحوه مقابله با آن‌ها تصمیم‌گیری کنید.

در قسمت جزئیات حملات، لیستی از لاگ‌های ثبت‌شده برای درخواست‌های مخرب نمایش داده می‌شود. با کلیک روی هر لاگ، می‌توانید اطلاعات دقیق‌تری در مورد آن حمله مشاهده کنید.

این اطلاعات شامل IP حمله‌کننده، متد درخواست (مانند GET یا POST)، نشانی هدف، زمان دقیق وقوع حمله، کوکی‌های ارسالی، و User Agent مرورگر یا ابزار استفاده‌شده است.

در انتهای هر لاگ نیز فهرستی از قوانینی که آن درخواست با آن‌ها تطبیق داشته نمایش داده می‌شود. شما می‌توانید شناسه (ID) هر قانون را مشاهده کرده و در صورت نیاز، آن را در تنظیمات WAF غیرفعال کنید؛ به‌ویژه اگر مطمئن باشید که قانون مذکور با رفتار طبیعی وب‌سایت شما در تضاد است.

همچنین در بخش نقشه حملات، موقعیت جغرافیایی IPهایی که از آن‌ها حمله صورت گرفته نمایش داده می‌شود تا بتوانید منشأ حملات را به‌صورت بصری شناسایی کنید و در صورت نیاز، اقدامات امنیتی تکمیلی بر اساس موقعیت انجام دهید.

بررسی لاگ‌ها و مدیریت خطاهای False Positive

پس از فعال‌سازی WAF و قرار دادن آن روی حالت روشن و شناسایی (Detection Mode)، موتور WAF شروع به ثبت لاگ‌هایی از درخواست‌های مشکوک می‌کند. این لاگ‌ها نشان می‌دهند که کدام قوانین امنیتی، جلوی درخواست‌ها را گرفته‌اند یا آن‌ها را به عنوان تهدید شناسایی کرده‌اند.

این امکان وجود دارد که پیش از فعال‌سازی کامل WAF در حالت جلوگیری (Blocking Mode)، از حالت شناسایی برای تحلیل لاگ‌های حمله استفاده کنید. این بررسی به شما کمک می‌کند مطمئن شوید که تشخیص‌ها از نوع false positive نیستند. منظور از false positive، حالتی است که یک درخواست سالم به اشتباه به عنوان حمله شناسایی می‌شود.

برای انجام این بررسی، وارد بخش لاگ‌های WAF شوید و روی لاگ مشکوک به false positive کلیک کنید. پنجره‌ای باز می‌شود که اطلاعاتی مانند آدرس IP، نوع تهدید شناسایی‌شده و شناسه‌ رول (با عنوان id) که باعث این تشخیص شده است را نمایش می‌دهد.

در مرحله بعد، می‌توانید این شناسه را کپی کرده و به منوی «دیوار آتش وب – WAF» بازگردید. سپس گزینه ویرایش مقابل بسته امنیتی فعال WAF (مثلا بسته امنیتی Abalon) را کلیک کنید. در ادامه، شناسه مورد نظر را در آن جستجو کنید. با پیدا کردن قانون مربوطه، این امکان وجود دارد که آن را غیرفعال کنید. با این کار، آن قانون دیگر توسط موتور WAF اجرا نمی‌شود و بسته‌های مرتبط با قانون را مسدود نمی‌کند.

نکته مهم: اگر به طور همزمان بیش از یک بسته WAF را فعال کرده باشید، ممکن است لازم باشد در همه بسته‌های فعال به طور جداگانه شماره شناسه رول را جستجو و رول مربوط به آن را غیر فعال کنید.

مرحله 2۶: جلوگیری از حملات DDoS

قابلیت محافظت در برابر حملات منع سرویس توزیع‌شده (DDoS Protection) در CDN آبالون، با ارائه چهار سطح مختلف دفاعی، به شما کمک می‌کند تا از وب‌سایت خود در برابر انواع حملات DDoS محافظت کنید. برای فعال‌سازی این قابلیت، کافی است وارد پنل کاربری آبالون شوید، به بخش CDN و سپس «امنیت» بروید و گزینه‌ «جلوگیری از حملات DDoS» را انتخاب کنید.

محافظت در برابر حملات لایه ۳ و ۴

در حالت پایه، حملات مربوط به لایه‌های ۳ و ۴ شبکه (Network & Transport Layers) شناسایی و دفع می‌شوند. این حملات شامل ترافیک‌هایی با حجم بالا نظیر SYN Flood ،UDP Flood و سایر حملات مشابه هستند که مستقیماً زیرساخت شبکه را هدف قرار می‌دهند.

نکته: این سطح از محافظت، تنها برای لایه‌های زیرین شبکه فعال است و حملات لایه ۷ (Application Layer) را پوشش نمی‌دهد.

محافظت از حملات DDoS لایه ۷

محافظت در برابر حملات DDoS لایه ۷ در آبالون در سطح اپلیکیشن انجام می‌شود و برای مقابله با حملاتی طراحی شده که با ظاهری مشابه کاربران واقعی، بار زیادی بر سرور وب وارد می‌کنند.

چالش‌های امنیتی مقابله با DDoS

برای مقابله دقیق‌تر با بات‌ها و حملات خودکار، آبالون سه نوع چالش امنیتی در برابر حملات DDoS ارائه می‌دهد که بر اساس نیاز و سطح حساسیت دامنه، قابل تنظیم و فعال‌سازی هستند.

چالش Cookie:

با فعال‌سازی این چالش، آبالون در اولین درخواست کاربر، یک پاسخ با کد وضعیت HTTP 307 ارسال می‌کند و از کاربر می‌خواهد یک کوکی مشخص را در مرورگر ذخیره کرده و همراه درخواست‌های بعدی ارسال کند. این کوکی در ادامه بررسی می‌شود و در صورت اعتبار، به کاربر اجازه‌ دسترسی داده می‌شود.
در صورتی که این ریدایرکت موجب اختلال در عملکرد APIهای شما شود، می‌توانید از طریق بخش «قوانین خاص»، این چالش را برای مسیرهای مورد نظر غیرفعال کنید. این روش برای شناسایی و مسدودسازی بات‌های ساده بسیار مؤثر است.

چالش JavaScript (JS):

در این حالت، یک فایل JavaScript به مرورگر کاربر ارسال می‌شود و از او خواسته می‌شود که یک عملیات رمزنگاری (AES Encryption) را انجام دهد. این فرآیند نیاز به اجرای کد جاوااسکریپت و مصرف منابع پردازشی مرورگر دارد، بنابراین بات‌ها یا ابزارهای خودکاری که فاقد چنین قابلیتی هستند، قادر به عبور از این چالش نخواهند بود. این روش برای شناسایی بات‌های پیچیده‌تر طراحی شده است.

چالش Captcha:

پیشرفته‌ترین نوع چالش امنیتی است که در آن از کاربر خواسته می‌شود یک کپچای تصویری (مانند انتخاب تصویر صحیح یا تایپ کردن حروف نمایش داده‌شده) را حل کند. نمایش و پردازش این کپچا توسط زیرساخت آبالون انجام می‌شود و هیچ باری به سرور شما وارد نمی‌کند.
نوع کپچای مورد استفاده قابل تنظیم است و می‌توان مشخص کرد این چالش در چه بخش‌هایی از دامنه اعمال شود. برای استفاده از چالش Captcha، لازم است بسته‌ی CDN شما در سطح پیشرفته یا سازمانی باشد.

مدت زمان اعتبار چالش‌ها:

در همه‌ی حالت‌های بالا می‌توان مدت زمانی را برای اعتبار چالش تعیین کرد. این یعنی پس از یک‌بار تأیید موفق، کاربر تا پایان این مدت نیازی به عبور مجدد از چالش نخواهد داشت.

غیرفعال‌سازی محافظت DDoS برای یک مسیر خاص

اگر چالش DDoS برای مسیری از دامنه‌ی شما باعث اختلال شده است (مانند سرویس API)، باید آن مسیر را در آبالون به‌صورت Glob وارد کنید تا چالش DDoS روی آن اعمال نشود.

به این منظور، در صفحه «جلوگیری از حملات DDoS» به بخش «قوانین سفارشی» بروید و با کلیک روی گزینه «افزودن قانون» تنظیمات مورد نظر را اعمال کنید. می‌توانید مسیر مورد نظر خود را همراه با لیستی از IPها یا برای همه‌ IPها وارد کرده و مشخص کنید که آیا چالش DDoS برای آن‌ها اعمال شود یا خیر.

نکات مرتبط با استفاده از fetch ،XHR و Ajax هنگام فعال بودن چالش امنیتی

اگر در دامنه‌ی اصلی شما (مثلاً example.com) اسکریپتی وجود دارد که به زیردامنه‌ای مانند sub.example.com درخواست ارسال می‌کند، هنگام فعال بودن چالش‌های امنیتی آبالون رعایت نکات زیر ضروری است:

در صورت استفاده از fetch:

برای اطمینان از عبور موفق درخواست، باید گزینه‌ی credentials را روی 'include' تنظیم کنید:

fetch("https://sub.example.com", { credentials: 'include' });

در صورت استفاده از XMLHttpRequest (XHR):

مقدار withCredentials باید برابر با true تنظیم شود تا کوکی‌ها و اطلاعات احراز هویت به درستی ارسال شوند:

let xhttp = new XMLHttpRequest(); xhttp.open("GET", "https://sub.example.com", true); xhttp.withCredentials = true; xhttp.send();

در صورت استفاده از Ajax کتابخانه jQuery:

گزینه‌ی xhrFields.withCredentials باید به صورت زیر تنظیم شود:

$.ajax("https://sub.example.com", { xhrFields: { withCredentials: true } });

درخواست‌های Preflight و مدیریت CORS:

برای ارسال درخواست‌های بین دامنه‌ای، به‌ویژه هنگام کار با زیردامنه‌ها، اطمینان حاصل کنید که هدرهای مربوط به CORS و Preflight به‌درستی تنظیم شده‌اند. این کار معمولاً از طریق تنظیم قوانین مناسب در بخش «قوانین صفحات» انجام می‌شود.

در صورت عدم نیاز به پاسخ (opaque request):

اگر پاسخ سمت سرور برایتان اهمیتی ندارد، می‌توانید از حالت no-cors استفاده کنید:

fetch("https://sub.example.com", { mode: 'no-cors', credentials: 'include' });

مرحله 2۷: محدودیت تعداد درخواست‌ها (Rate Limiting)

Rate Limiting یا محدودسازی نرخ درخواست، مکانیزمی برای کنترل ترافیک ورودی به وب‌سایت یا شبکه است. با استفاده از این قابلیت می‌توان تعیین کرد که هر کاربر (بر اساس IP) تنها مجاز به ارسال تعداد مشخصی درخواست در یک بازه‌ی زمانی مشخص (مانند ثانیه، دقیقه، ساعت یا روز) باشد. در صورتی که این محدودیت رعایت نشود، درخواست‌های اضافی با پاسخ خطا مواجه خواهند شد.

پیاده‌سازی Rate Limiting اهداف زیر را دنبال می‌کند:

مدیریت بهتر جریان ترافیک
افزایش امنیت با جلوگیری از حملاتی نظیر DDoS ،Brute Force و سایر حملات در لایه‌ اپلیکیشن

تنظیمات Rate Limiting در آبالون

این ویژگی امکان تعریف چندین قانون مجزا را فراهم می‌کند؛ بنابراین می‌توانید برای مسیرهای مختلف در وب‌سایت خود، سیاست‌های کنترل نرخ متفاوتی تعیین کنید.

نحوه تعریف قانون در پنل کاربری

برای ایجاد یک قانون جدید:

وارد پنل کاربری آبالون شوید.
به بخش CDN بروید.
در قسمت امنیت و سپس محدودیت تعداد درخواست‌ها، روی گزینه‌ی افزودن قانون کلیک کنید.

در این مرحله، می‌توانید مسیر موردنظر، بازه‌ زمانی، تعداد مجاز درخواست و نوع واکنش در صورت عبور از حد مجاز را تعریف و ذخیره کنید.

تنظیم پارامترهای محدودیت نرخ درخواست

در این بخش می‌توانید برای ایجاد یک قانون Rate Limiting، پارامترهای زیر را تنظیم کنید:

مسیر محدودیت (در قالب الگوی Glob)
توضیحات (جهت مستندسازی داخلی یا مدیریت آسان‌تر قوانین)
تعداد درخواست
بازه‌ی زمانی
متدهای مجاز (GET ، POST و …)
لیست IPهای مجاز (Whitelist)

توجه داشته باشید که مسیر باید با استفاده از الگوی Glob وارد شود.

در قسمت محدودیت، دو پارامتر کلیدی تعریف می‌شوند:

تعداد درخواست: بیشینه‌ تعداد درخواست‌هایی است که از یک IP در بازه‌ زمانی مشخص مجاز خواهد بود. در صورت تجاوز از این مقدار، درخواست‌ها، با خطای ۴۲۹ (Too Many Requests) مواجه می‌شوند.
بازه‌ زمانی: مدت زمانی است که مقدار مشخص‌شده در بخش «تعداد درخواست» در آن سنجیده می‌شود. به‌عبارت دیگر، اگر یک IP در این بازه زمانی بیشتر از حد مجاز درخواست ارسال کند، محدودیت اعمال شده و پاسخ ۴۲۹ دریافت خواهد کرد.

پس از مشخص‌کردن این دو مقدار، می‌توانید تعیین کنید که در صورت عبور یک IP از این محدودیت، برای مدت زمان مشخصی دسترسی آن IP به مسیر موردنظر مسدود شود و همه درخواست‌هایش با وضعیت ۴۲۹ پاسخ داده شوند.

در ادامه، بخشی برای تعیین متدهای HTTP مجاز و نشانی‌های IP مجاز وجود دارد. محدودیتی که تعریف می‌کنید، شامل متدها و IPهایی که در این قسمت وارد شده‌اند نخواهد شد. به این ترتیب می‌توانید مشخص کنید که این محدودیت روی چه متدها یا آدرس‌هایی اعمال نشود. همچنین این بخش‌ها، مانند بخش توضیحات، الزامی نیستند و در صورت نیاز می‌توانید آن‌ها را خالی بگذارید. در پایان، پس از وارد کردن اطلاعات موردنظر و ثبت تنظیمات، قانون محدودیت فعال خواهد شد.

تعیین رفتار ماژول محدودیت تعداد درخواست

در ماژول محدودیت تعداد درخواست (Rate Limit) می‌توان مشخص کرد که در صورت عبور نرخ درخواست‌ها از حد تعیین‌شده برای یک مسیر خاص، چه رفتاری اعمال شود. در این حالت، می‌توانید انتخاب کنید که:

درخواست‌های اضافه مسدود شوند (با پاسخ خطای ۴۲۹)
یا کاربر با چالش DDoS مواجه شود.

در صورت انتخاب چالش DDoS، امکان تعیین سطح محافظت و همچنین مدت زمان اعتبار چالش برای هر کاربر نیز وجود دارد. این تنظیمات به شما اجازه می‌دهد رفتار دقیق‌تری نسبت به مدیریت ترافیک بیش‌ازحد یا مشکوک در مسیرهای حساس داشته باشید.

اولویت‌دهی به محدودیت‌ها

در محدودیت تعداد درخواست، قوانین به ترتیب عدد اولویت بررسی می‌شوند. قانون‌هایی که عدد اولویت پایین‌تری دارند، زودتر بررسی می‌شوند. اگر یک کاربر با یکی از این قانون‌ها محدود شود، دیگر قانون‌ها برای او بررسی نمی‌شوند.

با استفاده از اولویت‌ها، می‌توانید مسیرهای مختلف سایت را با دقت بیشتری مدیریت کنید. برای مثال، اگر یک مسیر مهم و حساس دارید، می‌توانید آن را با عدد اولویت کمتر تعریف کنید تا زودتر بررسی شود. مسیرهای کم‌اهمیت‌تر را می‌توان با عدد اولویت بیشتر قرار داد.

مثلاً اگر بخواهید تعداد درخواست‌ها به مسیر **/example.com/api/login را بیشتر محدود کنید تا مسیر کلی‌تر **/example.com/api، باید قانون مربوط به مسیر login را با عدد اولویت ۱ و مسیر کلی‌تر را با عدد اولویت ۲ وارد کنید. به این شکل، محدودیت حساس‌تر زودتر اعمال می‌شود.

مرحله ۲۸: گزارش‌ها

بخش مانیتورینگ و گزارش‌ها در سرویس CDN آبالون این امکان را فراهم می‌کند که ترافیک وب‌سایت و درخواست‌های DNS را بررسی و تحلیل کنید. این بخش شامل گزارش‌هایی درباره موقعیت جغرافیایی کاربران، حجم و نوع ترافیک، خطاها، وضعیت پاسخ‌دهی و درخواست‌های DNS است.

گزارش‌هایی که در این بخش نمایش داده می‌شوند دارای ویژگی‌های زیر هستند:

فقط ترافیکی تحلیل می‌شود که از طریق CDN آبالون عبور کرده باشد (یعنی رکوردهای DNS که استفاده از CDN برای آن‌ها فعال باشد).
در صورتی که دامنه با CNAME به آبالون متصل شده باشد، گزارش DNS نمایش داده نخواهد شد.
اگر رکوردهای DNS شما در آبالون ثبت شده اما استفاده از CDN خاموش باشد، فقط گزارش‌های DNS ارائه می‌شود و نه گزارش‌های ترافیک.
کشور مبدأ درخواست‌ها از طریق آدرس IP هر درخواست مشخص می‌شود.
گزارش‌ها در بازه‌های زمانی مختلف شامل ۳، ۶، ۱۲ و ۲۴ ساعت گذشته، همچنین ۱ هفته و ۱ ماه گذشته در دسترس هستند.

در این راهنما، به بررسی بخش‌های مختلف گزارش‌ها در پنل CDN می‌پردازیم.

موقعیت جغرافیایی

در این بخش، آبالون با تحلیل IP کاربران مشخص می‌کند که درخواست‌ها از چه کشورهایی ارسال شده‌اند و موقعیت آن‌ها را روی نقشه نمایش می‌دهد. همچنین می‌توانید فهرست کشورهایی را که بیشترین درخواست یا بیشترین حجم ترافیک را داشته‌اند، به‌صورت تفکیک‌شده مشاهده کنید.

تحلیل ترافیک

در این بخش از پنل CDN آبالون، می‌توانید آمار مربوط به درخواست‌ها و ترافیک صرفه‌جویی‌شده را مشاهده و تحلیل کنید. داشبورد شامل نمودار و کارت‌هایی است که اطلاعات مربوط به نحوه‌ پاسخ‌گویی به درخواست‌ها و صرفه‌جویی در منابع را نمایش می‌دهد.

اجزای اصلی داشبورد:

انتخاب بازه‌ی زمانی (بالای صفحه): امکان انتخاب بازه‌های زمانی مختلف مانند ۳ ساعت گذشته، ۶ ساعت، ۱۲ ساعت و … برای مشاهده‌ی آمار ترافیک فراهم است.
فیلتر بر اساس هاست: در صورتی که چند رکورد ثبت کرده باشید، می‌توانید داده‌ها را برای هر یک به صورت جداگانه بررسی کنید.
نمودار اصلی ترافیک: وضعیت ترافیک ورودی به تفکیک نوع پاسخ (Total ،Bypass ،Saved) نمایش داده می‌شود. این نمودار در حالت خالی یا نبود داده، بدون نمایش عددی باقی می‌ماند.
کارت‌ها و نمایش جزئیات:
- درخواست صرفه‌جویی‌شده: تعداد درخواست‌هایی که از طریق کش پاسخ داده شده‌اند و در نتیجه بار سرور اصلی کاهش یافته است.
- ترافیک صرفه‌جویی‌شده: حجم دیتایی که به واسطه‌ی کش شدن محتوا توسط آبالون از ارسال به سرور اصلی جلوگیری شده است.
- درخواست کل: آمار کامل درخواست‌ها به تفکیک حالت‌های Cached ،Missed و Bypass.

توضیح رنگ‌ها و مقادیر:

Cached (آبی تیره): محتوا از سرورهای کش پاسخ داده شده است.
Missed (نارنجی): محتوا در کش موجود نبوده و از سرور اصلی دریافت شده است.
Bypass (بنفش): محتوا قابل کش نبوده و همیشه از سرور اصلی دریافت می‌شود.
Saved (آبی روشن): نمایانگر صرفه‌جویی در ترافیک است.

این اطلاعات به شما کمک می‌کند تا وضعیت کشینگ و مصرف منابع سرور را به‌صورت دقیق بررسی و در صورت نیاز، تنظیمات کش را برای بهینه‌سازی بیشتر اصلاح کنید.

عبارت مورد نظر را تایپ کنید

راهنمای استفاده از سرویس CDN آبالون

مرحله ۱: مقدمات راه‌اندازی CDN

مرحله ۲: انتخاب بسته‌ سرویس

مرحله ۳: ثبت دامنه و مدیریت رکوردهای DNS

مرحله ۴: تنظیم Name Server برای دامنه

مرحله ۵: بررسی نهایی و تأیید سرویس

مرحله ۶: جزئیات دامنه

سربرگ جزئیات دامنه

افزایش منابع

تمدید بسته CDN

پرداخت خودکار

تاریخچه سرویس

مرحله ۷:‌ وایت‌لیست کردن IPهای CDN

مرحله ۸: تنظیم رکوردهای NS پس از ثبت دامنه

آموزش تغییر رکورد NS در پنل ایرنیک برای اتصال به آبالون

مرحله ۹: انتقال ساختار DNS به آبالون با فایل Zone

پیش از شروع، فایل Zone را تهیه کنید

نکاتی مهم هنگام بارگذاری فایل Zone

بارگذاری فایل در پنل آبالون

مرحله ۱۰:‌ افزودن رکوردهای DNS در پنل آبالون

رکوردهای A و AAAA

مشخصات فیلدهای مربوط به رکوردهای DNS

رکوردهای CNAME و ANAME

رکورد ANAME

رکورد NS

رکورد MX

رکورد SRV

مرحله ۱۱:‌ ویرایش رکوردهای DNS

ویرایش رکورد A

مرحله 1۲: حذف رکوردهای DNS

مرحله 13: توزیع بار DNS

مرحله 14: استفاده از CDN روشن در رکوردهای DNS

مرحله 15: تنظیم Nameserver اختصاصی

نحوه ثبت Glue IP برای دامنه‌های ir در ایرنیک

مرحله ۱6: تنظیم DNSSEC

DNSSEC در آبالون

مکانیزم عملکرد DNSSEC چگونه است؟

فعال‌سازی DNSSEC در پنل کاربری آبالون

رکورد اصلی DNS (Root Record)

Accept-Encoding

ارتقا درخواست‌های ناامن HTTP

تنظیم حداقل نسخه TLS

پروتکل HSTS

محاسبه JA3 Fingerprint

گواهی‌نامه با پشتیبانی از اندرویدهای قدیمی

پروتکل ارتباط سرورهای لبه با سرور اصلی

مرحله ۲۱: قوانین صفحات

تعریف قوانین با استفاده از عبارات باقاعده (Regular Expression)

امکانات موجود در قوانین صفحات

کش (Caching)

شتاب‌دهی وب

تنظیمات امنیتی

تنظیمات پیشرفته

سایر تنظیمات

پاک‌سازی Cache قوانین صفحات

فشرده‌سازی فایل‌های CSS و JavaScript

فشرده‌سازی تصاویر

تغییر اندازه تصاویر (Image Resize)

مرحله 2۴: امنیت