Ochrona przed atakami DDoS aplikacji (warstwa 7)
Zapora aplikacji internetowej platformy Azure ma kilka mechanizmów obrony, które mogą pomóc w zapobieganiu atakom typu "rozproszona odmowa usługi" (DDoS). Ataki DDoS mogą dotyczyć warstwy sieciowej (L3/L4) lub warstwy aplikacji (L7). Usługa Azure DDoS chroni klienta przed dużymi atakami w warstwie sieciowej. Zapora aplikacji internetowych platformy Azure działająca w warstwie 7 chroni aplikacje internetowe przed atakami DDoS L7, takimi jak powodzie HTTP. Te zabezpieczenia mogą uniemożliwić osobom atakującym dotarcie do aplikacji i wpłynąć na dostępność i wydajność aplikacji.
Jak można chronić usługi?
Te ataki można ograniczyć przez dodanie zapory aplikacji internetowej (WAF) lub umieszczenie ataków DDoS przed usługą w celu odfiltrowania nieprawidłowych żądań. Platforma Azure oferuje zaporę aplikacji internetowej działającą na brzegu sieci za pomocą usługi Azure Front Door i w centrach danych za pomocą usługi Application Gateway. Te kroki są listą uogólnioną i należy dostosować je tak, aby pasowały do usługi wymagań aplikacji.
- Wdróż usługę Azure Web Application Firewall (WAF) przy użyciu usługi Azure Front Door Premium lub jednostki SKU zapory aplikacji internetowej usługi Application Gateway w wersji 2, aby chronić przed atakami warstwy aplikacji L7.
- Przeprowadź skalowanie w górę liczby wystąpień źródła, aby zapewnić wystarczającą ilość wolnej pojemności.
- Włącz usługę Azure DDoS Protection na publicznych adresach IP pochodzenia, aby chronić publiczne adresy IP przed atakami DDoS warstwy 3(L3) i warstwy 4(L4). Oferty DDoS platformy Azure mogą automatycznie chronić większość witryn przed atakami woluminowymi L3 i L4, które wysyłają dużą liczbę pakietów do witryny internetowej. Platforma Azure oferuje również ochronę na poziomie infrastruktury dla wszystkich lokacji hostowanych domyślnie na platformie Azure.
Zapora aplikacji internetowej platformy Azure z usługą Azure Front Door
Zapora aplikacji internetowej platformy Azure ma wiele funkcji, które mogą służyć do eliminowania wielu różnych typów ataków, takich jak powodzie HTTP, obejście pamięci podręcznej, ataki uruchamiane przez botnety.
Użyj zestawu reguł zarządzanych ochrony botów, aby chronić przed znanymi złymi botami. Aby uzyskać więcej informacji, zobacz Konfigurowanie ochrony bota.
Zastosuj limity szybkości, aby zapobiec zbyt częstemu wywoływaniu usługi przez adresy IP. Aby uzyskać więcej informacji, zobacz Ograniczanie szybkości.
Blokuj adresy IP i zakresy identyfikowane jako złośliwe. Aby uzyskać więcej informacji, zobacz Ograniczenia adresów IP.
Blokuj lub przekieruj do statycznej strony internetowej dowolny ruch spoza zdefiniowanego regionu geograficznego lub w zdefiniowanym regionie, który nie pasuje do wzorca ruchu aplikacji. Aby uzyskać więcej informacji, zobacz Filtrowanie geograficzne.
Utwórz niestandardowe reguły zapory aplikacji internetowej, aby automatycznie blokować i ograniczać liczbę ataków HTTP lub HTTPS, które mają znane podpisy. Podpis, taki jak określony agent użytkownika lub określony wzorzec ruchu, w tym nagłówki, pliki cookie, parametry ciągu zapytania lub kombinacja wielu podpisów.
Poza zaporą aplikacji internetowej usługa Azure Front Door oferuje również domyślną ochronę przed atakami DDoS infrastruktury platformy Azure w celu ochrony przed atakami DDoS L3/4. Włączenie buforowania w usłudze Azure Front Door może pomóc wchłonąć nagły szczytowy ruch na brzegu i chronić źródła zaplecza przed atakiem.
Aby uzyskać więcej informacji na temat funkcji i ochrony przed atakami DDoS w usłudze Azure Front Door, zobacz Ochrona przed atakami DDoS w usłudze Azure Front Door.
Zapora aplikacji internetowej platformy Azure z usługą aplikacja systemu Azure Gateway
Zalecamy używanie jednostki SKU zapory aplikacji internetowej usługi Application Gateway w wersji 2, które są dostarczane z najnowszymi funkcjami, w tym funkcjami ograniczania ryzyka ataków DDoS L7, w celu obrony przed atakami DDoS L7.
Jednostki SKU zapory aplikacji internetowej usługi Application Gateway mogą służyć do łagodzenia wielu ataków DDoS L7:
Ustaw usługę Application Gateway na automatyczne skalowanie w górę i nie wymuszaj maksymalnej liczby wystąpień.
Używanie zestawu reguł zarządzanych przez ochronę botów zapewnia ochronę przed znanymi złymi botami. Aby uzyskać więcej informacji, zobacz Konfigurowanie ochrony bota.
Zastosuj limity szybkości, aby zapobiec zbyt częstemu wywoływaniu usługi przez adresy IP. Aby uzyskać więcej informacji, zobacz Konfigurowanie reguł niestandardowych ograniczania szybkości.
Blokuj adresy IP i zakresy identyfikowane jako złośliwe. Aby uzyskać więcej informacji, zobacz przykłady na stronie Tworzenie i używanie reguł niestandardowych w wersji 2.
Blokuj lub przekieruj do statycznej strony internetowej dowolny ruch spoza zdefiniowanego regionu geograficznego lub w zdefiniowanym regionie, który nie pasuje do wzorca ruchu aplikacji. Aby uzyskać więcej informacji, zobacz przykłady na stronie Tworzenie i używanie reguł niestandardowych w wersji 2.
Utwórz niestandardowe reguły zapory aplikacji internetowej, aby automatycznie blokować i ograniczać liczbę ataków HTTP lub HTTPS, które mają znane podpisy. Podpisy, takie jak określony agent użytkownika lub określony wzorzec ruchu, w tym nagłówki, pliki cookie, parametry ciągu zapytania lub kombinacja wielu podpisów.
Inne kwestie wymagające rozważenia
Zablokuj dostęp do publicznych adresów IP w miejscu pochodzenia i ogranicz ruch przychodzący, aby zezwolić tylko na ruch z usługi Azure Front Door lub Application Gateway do źródła. Zapoznaj się ze wskazówkami dotyczącymi usługi Azure Front Door. Bramy aplikacji są wdrażane w sieci wirtualnej, upewnij się, że nie ma żadnych publicznie uwidocznionych adresów IP.
Przełącz zasady zapory aplikacji internetowej na tryb zapobiegania. Wdrażanie zasad w trybie wykrywania działa tylko w dzienniku i nie blokuje ruchu. Po zweryfikowaniu i przetestowaniu zasad zapory aplikacji internetowej przy użyciu ruchu produkcyjnego i dostrajaniu w celu zmniejszenia liczby wyników fałszywie dodatnich należy włączyć zasady w tryb zapobiegania (tryb blokowania/obrony).
Monitorowanie ruchu przy użyciu dzienników zapory aplikacji internetowej platformy Azure pod kątem wszelkich anomalii. Możesz utworzyć reguły niestandardowe, aby blokować dowolny ruch, podejrzewając, że adresy IP wysyłają niezwykle dużą liczbę żądań, nietypowy ciąg agenta użytkownika, nietypowe wzorce ciągów zapytań itp.
Zaporę aplikacji internetowej można pominąć pod kątem znanego legalnego ruchu, tworząc opcję Dopasuj reguły niestandardowe za pomocą akcji Zezwalaj, aby zmniejszyć liczbę wyników fałszywie dodatnich. Te reguły należy skonfigurować z wysokim priorytetem (niższą wartością liczbową) niż inne reguły limitu bloków i szybkości.
Co najmniej należy mieć regułę limitu szybkości, która blokuje wysoką szybkość żądań z dowolnego pojedynczego adresu IP. Można na przykład skonfigurować regułę limitu szybkości, aby nie zezwalać żadnemu pojedynczemu adresowi IP klienta na wysyłanie więcej niż XXX ruchu na okno do witryny. Zapora aplikacji internetowej platformy Azure obsługuje dwa okna do śledzenia żądań, 1 i 5 minut. Zaleca się użycie 5-minutowego okna w celu lepszego ograniczenia ataków powodziowych HTTP. Ta reguła powinna być regułą o najniższym priorytcie (priorytet jest uporządkowany z 1 jest najwyższym priorytetem), aby można było utworzyć bardziej szczegółowe reguły limitu szybkości lub reguły dopasowania, aby były zgodne przed tą regułą. Jeśli używasz zapory aplikacji internetowej usługi Application Gateway w wersji 2, możesz użyć dodatkowych konfiguracji ograniczania szybkości do śledzenia i blokowania klientów za pomocą metod innych niż adres IP klienta. Więcej informacji na temat limitów szybkości w zaporze usługi Application Gateway można znaleźć w artykule Rate limiting overview (Omówienie ograniczania szybkości).
Poniższe zapytanie usługi Log Analytics może być przydatne podczas określania progu, którego należy użyć dla powyższej reguły. W przypadku podobnego zapytania, ale za pomocą usługi Application Gateway zastąp ciąg "FrontdoorAccessLog" ciągiem "ApplicationGatewayAccessLog".
AzureDiagnostics | where Category == "FrontdoorAccessLog" | summarize count() by bin(TimeGenerated, 5m), clientIp_s | summarize max(count_), percentile(count_, 99), percentile(count_, 95)Zarządzane reguły, chociaż nie są bezpośrednio przeznaczone do ochrony przed atakami DDoS, zapewniają ochronę przed innymi typowymi atakami. Aby uzyskać więcej informacji, zobacz Reguły zarządzane (Azure Front Door) lub Reguły zarządzane (Application Gateway), aby dowiedzieć się więcej o różnych typach ataków, które te reguły mogą pomóc w ochronie przed.
Analiza dziennika zapory aplikacji internetowej
Dzienniki zapory aplikacji internetowej można analizować w usłudze Log Analytics przy użyciu następującego zapytania.
Azure Front Door
AzureDiagnostics
| where Category == "FrontdoorWebApplicationFirewallLog"
Aby uzyskać więcej informacji, zobacz Azure WAF with Azure Front Door (Zapora aplikacji internetowej platformy Azure z usługą Azure Front Door).
Usługa Azure Application Gateway
AzureDiagnostics
| where Category == "ApplicationGatewayFirewallLog"
Aby uzyskać więcej informacji, zobacz Azure WAF with aplikacja systemu Azure Gateway (Zapora aplikacji internetowej platformy Azure z usługą aplikacja systemu Azure Gateway).
Następne kroki
Tworzenie zasad zapory aplikacji internetowej dla usługi Azure Front Door.
Utwórz usługę Application Gateway za pomocą zapory aplikacji internetowej.
Dowiedz się, jak usługa Azure Front Door może pomóc w ochronie przed atakami DDoS.
Ochrona bramy aplikacji za pomocą usługi Azure DDoS Network Protection.
Dowiedz się więcej o usłudze Azure DDoS Protection.