Защита от атак DDoS в Front Door

  • Статья

Azure Front Door — это сеть доставки содержимого (CDN), которые помогают защитить источники от атак DDoS HTTP(S) путем распространения трафика по всему миру. Эти поставщики услуг используют большую частную глобальную сеть для доставки веб-приложений и служб быстрее и безопаснее для конечных пользователей. Azure Front Door также включает уровень 3, 4 и 7 защиты от атак DDoS и брандмауэр веб-приложения (WAF) для защиты приложений от распространенных эксплойтов и уязвимостей.

Защита инфраструктуры от DDoS-атак

Azure Front Door использует защиту от защиты от атак DDoS инфраструктуры Azure по умолчанию. Эта защита отслеживает и устраняет атаки сетевого слоя в режиме реального времени с помощью глобального масштаба и емкости сети Front Door. Эта защита имеет проверенный послужной список в защите корпоративных и потребительских служб Майкрософт от крупномасштабных атак.

Блокировка протокола

Azure Front Door поддерживает только протоколы HTTP и HTTPS и требует допустимого заголовка Host для каждого запроса. Это поведение помогает предотвратить некоторые распространенные типы атак DDoS, такие как объемные атаки, использующие различные протоколы и порты, атаки с расширением DNS и атаки на отравление TCP.

Поглощение емкости

Azure Front Door — это масштабируемая глобально распределенная служба. Она обслуживает многих клиентов, включая собственные облачные продукты Майкрософт, которые обрабатывают сотни тысяч запросов в секунду. Front Door находится на границе сети Azure, где она может перехватывать и географически изолировать крупные атаки томов. Таким образом, Front Door может предотвратить доступ вредоносного трафика за пределами границы сети Azure.

Кэширование

Вы можете использовать возможности кэширования Front Door, чтобы защитить серверные части от больших объемов трафика, созданных атакой. Пограничные узлы Front Door возвращают кэшированные ресурсы и не перенаправлять их на серверную часть. Даже короткое время истечения срока действия кэша (секунды или минуты) в динамических ответах может значительно снизить нагрузку на внутренние службы. Дополнительные сведения о принципах кэширования и шаблонах см. в статье Рекомендации по кэшированию и Шаблон программирования отдельно от кэша.

Web Application Firewall (WAF)

Вы можете использовать Брандмауэр веб-приложений Front Door (WAF) для устранения различных типов атак:

  • Управляемый набор правил защищает приложение от многих распространенных атак. Дополнительные сведения см. в разделе "Управляемые правила".
  • Вы можете заблокировать или перенаправить трафик извне или внутри определенного географического региона на статическую веб-страницу. Дополнительные сведения см. в статье Геофильтрация.
  • Вы можете заблокировать IP-адреса и диапазоны, которые вы определяете как вредоносные. Дополнительные сведения см. в разделе об ограничениях IP-адресов.
  • Вы можете применить ограничение скорости, чтобы предотвратить слишком частый вызов IP-адресов вашей службы. Дополнительные сведения см. в разделе "Ограничение скорости".
  • Вы можете создать настраиваемые правила WAF, чтобы автоматически выполнять блокировку и ограничивать скорость при атаках HTTP или HTTPS с известными подписями.
  • Набор правил управляемого правила защиты бота защищает приложение от известных плохих ботов. Дополнительные сведения см. в разделе "Настройка защиты бота".

Сведения о том, как использовать Azure WAF для защиты от атак DDoS, см. в статье "Защита от атак DDoS в приложении".

Защита источников виртуальной сети

Чтобы защитить общедоступные IP-адреса от атак DDoS, включите защиту от атак DDoS Azure в исходной виртуальной сети. Клиенты защиты от атак DDoS получают дополнительные преимущества, такие как защита затрат, гарантия обслуживания и доступ к экспертам из группы быстрого реагирования DDoS для немедленной помощи во время атаки.

Повышение безопасности размещенных в Azure источников путем ограничения доступа к Azure Front Door через Приватный канал Azure. Эта функция обеспечивает подключение частной сети между Azure Front Door и серверами приложений, устраняя необходимость предоставления источников общедоступному Интернету.

Следующие шаги