Sdílet prostřednictvím

Ochrana proti DDoS útokům na aplikační vrstvě (vrstva 7)

Azure WAF má několik mechanismů ochrany, které můžou pomoct zabránit útokům DDoS (Distributed Denial of Service). Útoky DDoS můžou cílit na vrstvu sítě (L3/L4) nebo aplikační vrstvu (L7). Azure DDoS chrání zákazníka před rozsáhlými útoky na svazky vrstvy sítě. Azure WAF provozující na vrstvě 7 chrání webové aplikace před útoky typu L7 DDoS, jako jsou například http Floods. Tato obrana může útočníkům zabránit v dosažení vaší aplikace a ovlivnit dostupnost a výkon vaší aplikace.

Jak můžete chránit své služby?

Tyto útoky je možné zmírnit přidáním firewallu webových aplikací (WAF) nebo umístěním služby DDoS před službu, aby se vyfiltrovaly chybné požadavky. Azure nabízí WAF běžící na hraniční síti se službou Azure Front Door a v datových centrech se službou Application Gateway. Tento postup je zobecněný seznam a je potřeba ho upravit tak, aby vyhovoval službě požadavků vaší aplikace.

  • Nasaďte Azure Web Application Firewall (WAF) s Azure Front Door Premium nebo Application Gateway s SKU WAF v2 k ochraně proti útokům na aplikační vrstvu L7.
  • Zvyšte počet instancí původu, aby byla k dispozici dostatečná volná kapacita.
  • Povolte službu Azure DDoS Protection na veřejných IP adresách původu, abyste ochránili vaše veřejné IP adresy před útoky DDoS vrstvy 3 (L3) a vrstvy 4 (L4). Nabídky DDoS Azure můžou automaticky chránit většinu webů před útoky L3 a L4 volumetric, které posílají velký počet paketů na web. Azure také ve výchozím nastavení nabízí ochranu na úrovni infrastruktury pro všechny weby hostované v Azure.

Azure WAF se službou Azure Front Door

Azure WAF má mnoho funkcí, které je možné použít ke zmírnění mnoha různých typů útoků, jako jsou povodeň HTTP, obejití mezipaměti, útoky spuštěné botnety.

  • Použijte sadu spravovaných pravidel ochrany robota k ochraně před známými špatnými roboty. Další informace najdete v tématu Konfigurace ochrany robota.

  • Použijte omezení četnosti, abyste zabránili příliš častému volání IP adres vaší služby. Další informace naleznete v tématu Omezování rychlosti.

  • Zablokujte IP adresy a rozsahy, které identifikujete jako škodlivé. Další informace najdete v tématu Omezení IP adres.

  • Zablokujte nebo přesměrujte na statickou webovou stránku jakýkoli provoz mimo definovanou geografickou oblast nebo v rámci definované oblasti, která neodpovídá vzoru provozu aplikace. Další informace najdete v tématu Geografické filtrování.

  • Vytvořte vlastní pravidla WAF pro automatické blokování a omezování rychlosti útoků HTTP nebo HTTPS, které mají známé podpisy. Podpis, například konkrétní uživatelský agent, určitý vzor provozu nebo kombinace několika podpisů, včetně hlaviček, souborů cookie a parametrů řetězce dotazu.

Kromě WAF nabízí Služba Azure Front Door také výchozí ochranu před útoky DDoS infrastruktury Azure, která chrání před útoky DDoS typu L3/4. Povolení ukládání do mezipaměti ve službě Azure Front Door může pomoct absorbovat náhlý objem provozu na okrajové úrovni a chránit zdroje back-endu před útokem.

Další informace o funkcích a ochraně před útoky DDoS ve službě Azure Front Door najdete v tématu Ochrana před útoky DDoS ve službě Azure Front Door.

Azure WAF s Azure aplikační bránou

Doporučujeme použít skladovou položku WAF v2 služby Application Gateway, která je součástí nejnovějších funkcí, včetně funkcí zmírnění rizik L7 DDoS, k ochraně před útoky typu L7 DDoS.

Skladové položky WAF služby Application Gateway je možné použít ke zmírnění mnoha útoků DDoS L7:

  • Nastavte službu Application Gateway na automatické vertikální navýšení kapacity a nevynucujte maximální počet instancí.

  • Použití sady spravovaných pravidel ochrany robota poskytuje ochranu před známými špatnými roboty. Další informace najdete v tématu Konfigurace ochrany robota.

  • Použijte omezení četnosti, abyste zabránili příliš častému volání IP adres vaší služby. Další informace najdete v tématu Konfigurace vlastních pravidel omezení rychlosti.

  • Zablokujte IP adresy a rozsahy, které identifikujete jako škodlivé. Další informace najdete v příkladech v tématu Vytvoření a použití vlastních pravidel v2.

  • Zablokujte nebo přesměrujte na statickou webovou stránku jakýkoli provoz mimo definovanou geografickou oblast nebo v rámci definované oblasti, která neodpovídá vzoru provozu aplikace. Další informace najdete v příkladech v tématu Vytvoření a použití vlastních pravidel v2.

  • Vytvořte vlastní pravidla WAF pro automatické blokování a omezování rychlosti útoků HTTP nebo HTTPS, které mají známé podpisy. Podpisy, jako je konkrétní uživatelský agent nebo určitý vzor provozu, včetně hlaviček, souborů cookie, parametrů řetězce dotazu nebo kombinace více podpisů.

Ostatní úvahy

  • Zabezpečte přístup k veřejným IP adresám ve zdroji a omezte příchozí provoz tak, aby povoloval provoz jenom ze služby Azure Front Door nebo služby Application Gateway. Projděte si pokyny ke službě Azure Front Door. Ujistěte se, že ve virtuální síti služby Application Gateway nejsou žádné veřejně zveřejněné IP adresy.

  • Přepněte zásady WAF do režimu prevence. Nasazení zásad v režimu detekce funguje jenom v protokolu a neblokuje provoz. Po ověření a otestování vaší zásady WAF s produkčním provozem a jemném doladění pro snížení falešně pozitivních výsledků byste měli přepnout zásadu do režimu prevence (blokovací/ochranný režim).

  • Monitorujte provoz pomocí protokolů Azure WAF pro všechny anomálie. Můžete vytvořit vlastní pravidla, která zablokují jakýkoli odchozí provoz – podezřelé IP adresy, které odesílají neobvykle vysoký počet požadavků, neobvyklý řetězec uživatelského agenta, neobvyklé vzory řetězců dotazů atd.

  • Aby bylo možno snížit počet falešně pozitivních výsledků, můžete obejít WAF pro známý legitimní provoz vytvořením vlastních pravidel shody s akcí Povolit. Tato pravidla by měla být nakonfigurovaná s vysokou prioritou (nižší číselnou hodnotou) než jiná pravidla pro blokování a omezení rychlosti.

  • Minimálně byste měli mít pravidlo omezení rychlosti, které blokuje vysokou míru požadavků z jakékoli jedné IP adresy. Můžete například nakonfigurovat pravidlo omezení rychlosti tak, aby žádná klientská IP adresa nemohla odeslat více než XXX datového provozu za období na váš web. Azure WAF podporuje dvě okna pro sledování požadavků, 1 a 5 minut. Doporučuje se použít 5minutové okno pro lepší zmírnění útoků HTTP Flood. Toto pravidlo by mělo mít nejnižší prioritu (priorita je seřazena tak, že 1 je nejvyšší priorita), aby bylo možné vytvořit konkrétnější pravidla omezení rychlosti nebo pravidla shody, která mohou být uplatněna dříve než toto pravidlo. Pokud používáte WAF služby Application Gateway v2, můžete ke sledování a blokování klientů použít jiné konfigurace omezování rychlosti než IP adresa klienta. Další informace o limitech rychlosti pro WAF služby Application Gateway najdete v přehledu omezování rychlosti.

    Následující dotaz Log Analytics může být užitečný při určování prahové hodnoty, kterou byste měli použít pro předchozí pravidlo. Pro podobný dotaz, ale se službou Application Gateway, nahraďte FrontdoorAccessLogApplicationGatewayAccessLog.

    AzureDiagnostics
| where Category == "FrontdoorAccessLog"
| summarize count() by bin(TimeGenerated, 5m), clientIp_s
| summarize max(count_), percentile(count_, 99), percentile(count_, 95)

  • Spravovaná pravidla, která nejsou přímo cílená na ochranu před útoky DDoS, poskytují ochranu před jinými běžnými útoky. Další informace najdete v tématu Spravovaná pravidla (Azure Front Door) nebo Spravovaná pravidla (Application Gateway), kde najdete další informace o různých typech útoků, které tato pravidla můžou pomoct chránit proti.

Analýza protokolů WAF

Protokoly WAF můžete analyzovat v Log Analytics pomocí následujícího dotazu.

Azure Front Door (přední dveře Azure)

AzureDiagnostics
| where Category == "FrontdoorWebApplicationFirewallLog"

Další informace najdete v tématu Azure WAF se službou Azure Front Door.

Azure Application Gateway

AzureDiagnostics
| where Category == "ApplicationGatewayFirewallLog"

Další informace najdete v tématu Azure WAF s Azure Application Gateway.

Související obsah