Udostępnij za pośrednictwem


Informacje o porównaniu warstw usługi Azure DDoS Protection

W sekcjach w tym artykule omówiono zasoby i ustawienia usługi Azure DDoS Protection.

Tiers

Usługa Azure DDoS Protection obsługuje dwa typy warstw: DDoS IP Protection i DDoS Network Protection. The tier is configured in the Azure portal during the workflow when you configure Azure DDoS Protection.

W poniższej tabeli przedstawiono funkcje i odpowiednie warstwy.

Funkcja Ochrona adresów IP przed atakami DDoS Ochrona sieci przed atakami DDoS
Aktywne monitorowanie ruchu i zawsze włączone wykrywanie Tak Tak
Automatyczne ograniczanie ryzyka ataków L3/L4 Tak Tak
Automatyczne ograniczanie ryzyka ataków Tak Tak
Zasady ograniczania ryzyka opartego na aplikacjach Tak Tak
Metrics & alerts Tak Tak
Raporty ograniczania ryzyka Tak Tak
Mitigation flow logs Tak Tak
Zasady ograniczania ryzyka dostosowane do aplikacji klientów Tak Tak
Integracja z usługą Firewall Manager Tak Tak
Łącznik danych i skoroszyt usługi Microsoft Sentinel Tak Tak
Protection of resources across subscriptions in a tenant Tak Tak
Public IP Standard tier protection Tak Tak
Ochrona podstawowego poziomu publicznego adresu IP Nie. Tak
Obsługa szybkiego reagowania na atak DDoS Niedostępny Tak
Ochrona kosztów Niedostępny Tak
WAF discount Niedostępny Tak
Cena Per protected IP Per 100 protected IP addresses

Uwaga

Bez dodatkowych kosztów ochrona infrastruktury usługi Azure DDoS chroni każdą usługę platformy Azure korzystającą z publicznych adresów IPv4 i IPv6. Ta usługa ochrony przed atakami DDoS pomaga chronić wszystkie usługi platformy Azure, w tym usługi typu platforma jako usługa (PaaS), takie jak Azure DNS. Aby uzyskać więcej informacji na temat obsługiwanych usług PaaS, zobacz Architektury referencyjne usługi DDoS Protection. Ochrona infrastruktury usługi Azure DDoS nie wymaga żadnych zmian konfiguracji użytkownika ani aplikacji. Platforma Azure zapewnia ciągłą ochronę przed atakami DDoS. Ochrona przed atakami DDoS nie przechowuje danych klientów.

Ograniczenia

DDoS Network Protection and DDoS IP Protection have the following limitations:

  • PaaS services (multitenant), which includes Azure App Service Environment for Power Apps, Azure API Management in deployment modes other than APIM with virtual network integration, and Azure Virtual WAN aren't currently supported. For more information, see Azure DDoS Protection APIM in VNET Integration
  • Ochrona publicznego zasobu IP dołączonego do bramy NAT nie jest obsługiwana.
  • Maszyny wirtualne we wdrożeniach klasycznych/RDFE nie są obsługiwane.
  • Brama sieci VPN lub brama sieci wirtualnej jest chroniona przez zasady DDoS. Na tym etapie dostrajanie adaptacyjne nie jest obsługiwane.
  • Ochrona prefiksu publicznego adresu IP połączonego z publicznym interfejsem modułu równoważenia obciążenia jest możliwa dzięki jednostce SKU usługi Azure DDoS Network Protection.
  • DDoS telemetry for individual virtual machine instances in Virtual Machine Scale Sets is available with Flexible orchestration mode.

Ochrona przed atakami DDoS IP jest podobna do ochrony sieci, ale ma następujące dodatkowe ograniczenie:

  • Ochrona publicznego adresu IP warstwy Podstawowej nie jest obsługiwana.

Uwaga

Scenariusze, w których jedna maszyna wirtualna działa za publicznym adresem IP, są obsługiwane, ale nie są zalecane. Aby uzyskać więcej informacji, zobacz Podstawowe najlepsze rozwiązania.

Aby uzyskać więcej informacji, zobacz Architektury referencyjne usługi Azure DDoS Protection.

Następne kroki