Zintegrowana ochrona przed atakami DDoS L7 z Równoważnikiem obciążenia bramy i partnerskimi wirtualnymi urządzeniami sieciowymi

2025-06-19

W tym artykule opisano sposób implementowania wbudowanej ochrony przed atakami DDoS w warstwie 7 (L7) na potrzeby obciążeń wrażliwych na opóźnienia na platformie Azure przy użyciu usługi Gateway Load Balancer i partnerskich wirtualnych urządzeń sieciowych (WUS). Poznasz scenariusze, architekturę, kroki wdrażania i najlepsze rozwiązania dotyczące kompleksowego ograniczania ryzyka ataków DDoS.

Przegląd

Usługa Azure DDoS Protection zapewnia niezawodną, zawsze włączoną ochronę w warstwie sieciowej (L3/4), szybko wykrywając i zmniejszając ataki w ciągu 30–60 sekund. Mimo że koncentruje się na ochronie przed zagrożeniami woluminowym i opartymi na protokole, można dodać inspekcję warstwy aplikacji (L7) w celu jeszcze większego bezpieczeństwa.

Niektóre obciążenia, takie jak gry, aplikacje internetowe, usługi finansowe i usługi przesyłania strumieniowego, wymagają bardzo małych opóźnień i ciągłej ochrony. W przypadku tych scenariuszy ochrona liniowa gwarantuje, że cały ruch jest aktywnie kierowany przez system ochrony przed atakami DDoS przez cały czas. Takie podejście nie tylko zapewnia natychmiastowe ograniczenie ryzyka, ale także umożliwia głęboką inspekcję ładunków pakietów, pomagając wykrywać i blokować ataki o niskim poziomie, które są celem luk w zabezpieczeniach w warstwie aplikacji (L7).

Wirtualne urządzenia NVA wdrożone z usługą Gateway Load Balancer i zintegrowane z usługą Azure DDoS Protection oferują kompleksową wbudowaną ochronę DDoS na poziomie L7 dla scenariuszy wymagających wysokiej wydajności i wysokiej dostępności. Ta kombinacja zapewnia L3-L7 ochronę przed atakami DDoS o dużej i małej intensywności.

Scenariusze

Wbudowana ochrona przed atakami DDoS L7 jest cenna dla:

Aplikacje internetowe: Chroni przed powodziami HTTP i atakami slowloris.
Usługi finansowe: Zabezpiecza systemy transakcji przed atakami w warstwie aplikacji.
Usługi przesyłania strumieniowego: Zapewnia nieprzerwane przesyłanie strumieniowe dzięki ograniczaniu małych ilości ataków ukierunkowanych.
Obciążenia gier: Zapobiega krótkim przestojom i zakłóceniom spowodowanym atakami ukierunkowanymi na serwery gier.

Co to jest moduł równoważenia obciążenia bramy?

Gateway Load Balancer to SKU usługi Azure Load Balancer, zaprojektowany dla scenariuszy o wysokiej wydajności i dostępności z wirtualnymi urządzeniami sieciowymi innych firm.

Za pomocą Gateway Load Balancer można łatwo wdrażać, skalować i zarządzać wirtualnymi urządzeniami sieciowymi (NVA). Moduł równoważenia obciążenia bramy można połączyć z publicznym punktem końcowym przy użyciu jednego kroku konfiguracji. Ta funkcja pozwala na dodawanie wirtualnych urządzeń sieciowych (NVAs) do ścieżki sieciowej w scenariuszach takich jak firewalle, zaawansowana analiza pakietów, systemy wykrywania włamań, systemy zapobiegania włamaniom lub inne niestandardowe rozwiązania. Moduł równoważenia obciążenia bramy obsługuje również symetrię przepływu do określonego wystąpienia w puli zaplecza, zapewniając spójność sesji.

Aby uzyskać więcej informacji, zobacz Moduł równoważenia obciążenia bramy.

Architektura

Ataki DDoS na obciążenia wrażliwe na opóźnienia, takie jak gry, mogą powodować awarie trwające od 2 do 10 sekund, zakłócając dostępność. Moduł równoważenia obciążenia bramy umożliwia ochronę takich obciążeń, zapewniając, że odpowiednie wirtualne urządzenia sieciowe są wstrzykiwane do ścieżki ruchu przychodzącego z internetu. Po połączeniu modułu równoważenia obciążenia bramy z frontonem usługi Load Balancer w warstwie Standardowa lub z konfiguracją adresu IP maszyny wirtualnej ruch do i z punktu końcowego aplikacji jest automatycznie kierowany przez moduł równoważenia obciążenia bramy — żadna dodatkowa konfiguracja nie jest wymagana.

Ruch przychodzący jest sprawdzany przez urządzenia NVAs, a czysty ruch wraca do infrastruktury zaplecza (np. serwerów gier).

Ruch przepływa z sieci wirtualnej odbiorcy do sieci wirtualnej dostawcy, a następnie wraca do sieci wirtualnej odbiorcy. Sieci wirtualne konsumenta i dostawcy mogą znajdować się w różnych subskrypcjach, dzierżawach lub regionach, co zapewnia większą elastyczność i łatwość zarządzania.

Zrzut ekranu przedstawiający diagram ochrony wbudowanej przed atakami DDoS za pośrednictwem modułu równoważenia obciążenia bramy.

Kroki przepływu ruchu:

Ruch z Internetu dociera do publicznego adresu IP standardowego modułu równoważenia obciążenia.
Ruch jest przekierowywany do równoważnika obciążenia bramy, który przekazuje go do partnerskich wirtualnych urządzeń sieciowych.
Urządzenia NVA sprawdzają i filtrują ruch, łagodząc ataki L7.
Czysty ruch wraca do serwerów zaplecza w celu przetwarzania.
Usługa Azure DDoS Protection zapewnia dodatkową ochronę L3/L4 przy użyciu Standard Load Balancer.

Włączenie usługi ochrony DDoS Azure w sieci wirtualnej frontonu standardowego publicznego Load Balancer lub maszyny wirtualnej chroni przed atakami DDoS L3/4.

Aby uzyskać szczegółowe instrukcje dotyczące wdrażania, zobacz Ochrona publicznego modułu równoważenia obciążenia za pomocą usługi Azure DDoS Protection.

Najlepsze rozwiązania

Aby zapewnić skuteczną ochronę przed atakami DDoS przy użyciu modułu Równoważenia Obciążenia Bramy oraz partnerskich wirtualnych urządzeń sieciowych (NVAs), stosuj się do najlepszych praktyk.

Odpowiednio skaluj urządzenia NVA, aby sprostać szczytowym natężeniom ruchu:

Upewnij się, że urządzenia NVA są odpowiednio wymiarowane i skonfigurowane, aby obsłużyć najwyższe oczekiwane poziomy ruchu. Niedostatecznie skonfigurowane urządzenia NVA mogą stać się wąskim gardłem, zmniejszając skuteczność łagodzenia ataków DDoS i potencjalnie wpływając na wydajność aplikacji. Użyj narzędzi do monitorowania platformy Azure, aby śledzić wzorce ruchu i dostosowywać skalowanie zgodnie z potrzebami. Aby uzyskać więcej informacji, zobacz Azure Monitor i Network Watcher.
Wdrażaj NVAs w konfiguracji wysokiej dostępności, aby uniknąć pojedynczych punktów awarii:

Skonfiguruj wiele urządzeń NVA w konfiguracji aktywnej-aktywnej albo aktywnej-pasywnej, aby zapewnić nieprzerwaną ochronę, nawet gdy jeden z aparatów ulegnie awarii lub wymaga konserwacji. Użyj sond kondycji usługi Azure Load Balancer, aby monitorować kondycję urządzenia sieciowego wirtualnego (NVA) i automatycznie przekierowywać ruch, gdy instancja jest niedostępna. Aby uzyskać więcej informacji, zobacz Sondy kondycji usługi Azure Load Balancer.
Regularne monitorowanie i dostrajanie urządzeń wirtualnych sieci (NVA) w celu zachowania optymalnej wydajności:

Stale monitoruj wydajność i kondycję swoich urządzeń NVA przy użyciu Azure Monitor, Network Watcher oraz paneli specyficznych dla NVA. Przejrzyj dzienniki i alerty pod kątem nietypowej aktywności lub obniżenia wydajności. Regularnie aktualizuj oprogramowanie NVA i sygnatury, aby chronić się przed najnowszymi zagrożeniami i lukami w zabezpieczeniach.
Przetestuj konfigurację ochrony przed atakami DDoS, aby zweryfikować pełny przepływ ruchu i środki zaradcze:

Okresowo symuluj scenariusze ataków DDoS i przeprowadzaj testy trybu failover, aby upewnić się, że konfiguracja ochrony działa zgodnie z oczekiwaniami. Sprawdź, czy ruch przepływa przez urządzenia WUS zgodnie z oczekiwaniami i czy akcje ograniczania ryzyka są odpowiednio wyzwalane. Udokumentuj wyniki testów i zaktualizuj konfigurację lub procedury według potrzeb, aby rozwiązać wszelkie problemy. Aby uzyskać więcej informacji, zobacz Testowanie ochrony przed atakami DDoS.

Następne kroki

Dowiedz się więcej o naszym partnerze startowym A10 Networks
Dowiedz się więcej o Gateway Load Balancer.
Dowiedz się więcej o usłudze Azure Private Link i o tym, jak można ją wykorzystać z usługą Gateway Load Balancer.
Dowiedz się więcej o architekturze usługi Azure DDoS Protection.