Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Penting
Setelan Aturan Microsoft HTTP DDoS di Azure Front Door Web Application Firewall (WAF) saat ini dalam PRATINJAU. Lihat Ketentuan Penggunaan Tambahan untuk Pratinjau Microsoft Azure untuk mengetahui ketentuan hukum yang berlaku untuk fitur Azure yang dalam tahap beta, pratinjau, atau belum dirilis ke ketersediaan umum.
Banjir lapisan HTTP tetap menjadi pendorong insiden ketersediaan aplikasi yang paling sering, dan kontrol statis (filter IP/geo, batas laju tetap) sering kali tidak dapat mengimbangi botnet terdistribusi. Kumpulan aturan HTTP DDoS baru adalah model perlindungan lapisan 7 otomatis Azure Web Application Firewall (WAF) pertama yang mempelajari, mendeteksi, dan mempertahankan dengan konfigurasi pengguna minimal. Setelah ditetapkan, set aturan terus menggaris bawahi lalu lintas normal untuk setiap profil Azure Front Door dan ketika lonjakan menunjukkan serangan, secara selektif memblokir klien yang menyinggung tanpa diperlukan penyetelan darurat.
Cara kerja kumpulan aturan HTTP DDoS
Setelah kumpulan aturan DDoS diterapkan ke kebijakan yang dilampirkan ke profil Azure Front Door Premium, garis besar lalu lintas dihitung menggunakan jendela bergulir. Untuk profil yang telah menerima lalu lintas setidaknya selama 50% dari tujuh hari terakhir, aturan akan menghitung baseline dan mulai mendeteksi lonjakan dalam rentang waktu 24 hingga 36 jam. Jika profil Front Door belum menerima lalu lintas yang memadai (kurang dari 50% selama tujuh hari terakhir), set aturan tidak akan mendeteksi atau memblokir serangan sampai ada cukup lalu lintas untuk membangun garis besar yang andal.
Ambang batas permintaan dipelajari pada tingkat profil global. Jika satu kebijakan WAF yang dikonfigurasi dengan kumpulan aturan HTTP DDoS ditetapkan ke beberapa profil Azure Front Door, ambang batas lalu lintas dihitung secara terpisah untuk setiap profil tempat kebijakan dilampirkan.
Kumpulan aturan HTTP DDoS mempelajari ambang batas profil global dan ambang alamat per IP. Hingga ambang batas profil untuk permintaan dilanggar, ambang batas berbasis IP tidak akan terpicu. Setelah ambang batas profil pengguna dilanggar, ambang batas IP mulai diterapkan, dan alamat IP apa pun yang melebihi patokan awalnya akan dibatasi dalam tingkat patokan yang telah dipelajari. Pendekatan ini mencegah himpunan aturan memblokir lonjakan lalu lintas dari beberapa alamat IP kecuali jika hal itu menyebabkan tingkat permintaan total di seluruh profil melebihi ambang batas.
Setiap aturan dalam kumpulan aturan HTTP DDoS menawarkan tiga tingkat sensitivitas, masing-masing sesuai dengan ambang batas yang berbeda. Pengaturan sensitivitas yang lebih tinggi menerapkan ambang batas yang lebih rendah untuk aturan tersebut, sementara pengaturan sensitivitas yang lebih rendah menerapkan ambang yang lebih tinggi. Pengaturan default dan yang direkomendasikan adalah sensitivitas sedang.
Kumpulan aturan HTTP DDoS adalah set aturan pertama yang dievaluasi oleh Azure WAF, bahkan sebelum aturan kustom.
Penting
Setiap aturan kustom yang dikonfigurasi dengan tindakan Izinkan tidak akan melewati set aturan HTTP DDoS, tetapi akan melewati semua inspeksi WAF lainnya.
Aturan setelan
Kumpulan aturan HTTP DDoS saat ini memiliki dua aturan, masing-masing dapat dikonfigurasi dengan sensitivitas dan pengaturan tindakan yang berbeda. Setiap aturan mempertahankan garis besar lalu lintas terpisah untuk lalu lintas yang sesuai dengan kriterianya.
Aturan 500100: Anomali terdeteksi pada tingkat permintaan klien yang tinggi: Aturan ini melacak dan menetapkan garis besar untuk semua lalu lintas pada profil tempat kebijakan dilampirkan. Ketika klien melebihi ambang batas yang ditetapkan, tindakan yang dikonfigurasi terkait dipicu.
Aturan 500110: Bot yang dicurigai mengirim tingkat permintaan yang tinggi: Aturan ini memungkinkan Anda mengatur tingkat sensitivitas yang berbeda berdasarkan lalu lintas yang diklasifikasikan sebagai bot oleh Microsoft Threat Intelligence. Untuk bot yang dicurigai, ambang default lebih ketat daripada ambang default untuk semua alamat IP lainnya. Bot yang diklasifikasikan sebagai risiko tinggi segera diblokir oleh aturan ini ketika ambang batas profil global dilanggar.
Memantau kumpulan aturan HTTP DDoS
Beberapa fitur pemantauan terbatas selama pratinjau. Opsi pemantauan berikut saat ini tersedia untuk kumpulan aturan HTTP DDoS:
Ketika alamat IP pertama kali melewati ambang batas, entri log direkam untuk alamat IP tersebut sebagai tindakan Blokir untuk ruleset HTTP DDoS, dan metrik Kecocokan dari aturan terkelola WAF meningkat.
Anda dapat memantau jumlah blok menggunakan metrik jumlah Permintaan Firewall Aplikasi Web dan memfilter menurut Nama aturan.
Mengakses pratinjau
Saat ini, Ruleset HTTP DDoS di Azure Front Door berada dalam pratinjau terbatas. Untuk berpartisipasi dalam pratinjau, isi formulir pendaftaran. Setelah Anda mengirimkan formulir, anggota tim produk akan menghubungi Anda dengan instruksi lebih lanjut.
Keterbatasan
Batasan berikut berlaku untuk kumpulan aturan HTTP DDoS selama pratinjau:
Tidak ada kemampuan untuk mengizinkan lalu lintas dari alamat IP tertentu untuk melewati set aturan atau kotak penalti DDoS.
Setelah kumpulan aturan HTTP DDoS ditetapkan ke kebijakan WAF, setiap perubahan yang dilakukan pada aturan terkelola lainnya menggunakan portal produksi akan menghapus set aturan HTTP DDoS dari kebijakan WAF.