Porovnání úrovní služby Azure DDoS Protection
Oddíly v tomto článku se věnuje prostředkům a nastavením služby Azure DDoS Protection.
Úrovně
Azure DDoS Protection podporuje dva typy vrstev, ochranu IP adres DDoS a službu DDoS Network Protection. Úroveň se konfiguruje na webu Azure Portal během pracovního postupu při konfiguraci služby Azure DDoS Protection.
Následující tabulka uvádí funkce a odpovídající úrovně.
| Funkce | Ochrana před útoky DDoS IP | Ochrana sítě DDoS |
|---|---|---|
| Aktivní monitorování provozu a detekce vždy zapnuto | Ano | Yes |
| L3/L4 Automatické zmírnění útoků | Ano | Yes |
| Automatické zmírnění útoků | Ano | Yes |
| Zásady zmírnění rizik na základě aplikací | Ano | Yes |
| Metriky a výstrahy | Ano | Yes |
| Sestavy zmírnění rizik | Ano | Yes |
| Protokoly toku omezení rizik | Ano | Yes |
| Zásady zmírnění rizik vyladěné pro aplikace zákazníků | Ano | Yes |
| Integrace se správcem brány firewall | Ano | Yes |
| Datový konektor a sešit Microsoft Sentinelu | Ano | Yes |
| Ochrana prostředků napříč předplatnými v tenantovi | Ano | Yes |
| Ochrana úrovně Standard veřejné IP adresy | Ano | Yes |
| Ochrana úrovně Public IP Basic | No | Ano |
| Podpora rychlé odezvy DDoS | Není k dispozici | Ano |
| Ochrana nákladů | Není k dispozici | Ano |
| Sleva WAF | Není k dispozici | Ano |
| Cena | Na chráněnou IP adresu | Na 100 chráněných IP adres |
Poznámka:
Ochrana infrastruktury Azure DDoS bez dalších nákladů chrání každou službu Azure, která používá veřejné adresy IPv4 a IPv6. Tato služba ochrany před útoky DDoS pomáhá chránit všechny služby Azure, včetně služeb PaaS (platforma jako služba), jako je Azure DNS. Další informace o podporovaných službách PaaS najdete v referenčních architekturách DDoS Protection. Ochrana infrastruktury Azure DDoS nevyžaduje žádné změny konfigurace uživatele ani aplikace. Azure poskytuje nepřetržitou ochranu před útoky DDoS. Ochrana před útoky DDoS neukládá zákaznická data.
Omezení
Ochrana před útoky DDoS Network Protection a DDoS IP Protection mají následující omezení:
- Služby PaaS (víceklientské), které zahrnují Aplikace Azure Service Environment for Power Apps, Azure API Management v jiných režimech nasazení než APIM s integrací virtuální sítě (Další informace najdete v tématuhttps://techcommunity.microsoft.com/t5/azure-network-security-blog/azure-ddos-standard-protection-now-supports-apim-in-vnet/ba-p/3641671) a Azure Virtual WAN se v současné době nepodporují.
- Ochrana veřejného prostředku IP připojeného ke službě NAT Gateway se nepodporuje.
- Virtuální počítače v nasazeních Classic nebo RDFE se nepodporují.
- Brána VPN nebo brána virtuální sítě jsou chráněné zásadami DDoS. Adaptivní ladění se v této fázi nepodporuje.
- Částečně podporovaná služba Azure DDoS Protection může chránit veřejný nástroj pro vyrovnávání zatížení s předponou veřejné IP adresy propojenou s front-endem. Efektivně detekuje a snižuje útoky DDoS. Telemetrie a protokolování chráněných veřejných IP adres v rozsahu předpon jsou ale momentálně nedostupné.
Ochrana IP adres před útoky DDoS se podobá ochraně sítě, ale má následující další omezení:
- Ochrana úrovně Public IP Basic není podporovaná.
Poznámka:
Scénáře, ve kterých je jeden virtuální počítač spuštěný za veřejnou IP adresou, ale nedoporučuje se. Další informace najdete v tématu Základní osvědčené postupy.
Další informace najdete v referenčních architekturách služby Azure DDoS Protection.