Защита от атак DDoS в Front Door

Azure Front Door имеет несколько функций и характеристик, которые могут помочь предотвратить распределенные атаки типа "отказ в обслуживании" (DDoS). Эти функции могут препятствовать получению злоумышленниками доступа к приложению и их влиянию на доступность и производительность приложения.

Защита инфраструктуры от DDoS-атак

Front Door защищен стандартными средствами защиты инфраструктуры от DDoS-атак в Azure. Полный масштаб и емкость глобально развернутой сети Front Door обеспечивают защиту от распространенных атак сетевого уровня за счет постоянно контролируемого мониторинга трафика и устранения атак в режиме реального времени. Такая защита инфраструктур от DDoS-атак также имеет доказанный высокий профессиональный уровень работы в области защиты корпоративных и потребительских служб Майкрософт от крупномасштабных атак.

Блокировка протокола

Front Door принимает только трафик по протоколам HTTP и HTTPS и обрабатывает только допустимые запросы с известным заголовком Host. Такое поведение помогает решить проблемы некоторых распространенных типов атак DDoS, в том числе объемных атак, которые распределяются по диапазонам протоколов и портов, атак DNS с лавинообразным умножением данных и отравляющих TCP-атак.

Поглощение емкости

Front Door — это крупномасштабная глобально распределенная служба. У нас есть много клиентов, включая собственные крупномасштабные облачные продукты Майкрософт, которые получают сотни тысяч запросов каждую секунду. Находясь на границе сети Azure, Front Door поглощает и географически изолирует высокообъемные атаки. Это может препятствовать распространению вредоносного трафика за границы сети Azure.

Кэширование

Возможности кэширования Front Door можно использовать для защиты серверных систем от высокообъемного трафика, созданного атакой. Граничные узлы Front Door вернут кэшированные ресурсы, чтобы они не перенаправлялись на серверные системы. Даже короткий срок действия кэша (секунды или минуты) для динамических ответов может значительно снизить нагрузку на серверные системы. Дополнительные сведения о принципах кэширования и шаблонах см. в статье Рекомендации по кэшированию и Шаблон программирования отдельно от кэша.

Брандмауэр веб-приложения (WAF)

Брандмауэр веб-приложения (WAF) Front Door можно использовать для устранения ряда различных типов атак:

  • Использование набора управляемых правил обеспечивает защиту от ряда распространенных атак.
  • Трафик, находящийся за пределами определенного географического региона или в определенном регионе, может быть заблокирован или перенаправлен на статическую веб-страницу. Дополнительные сведения см. в статье Геофильтрация.
  • Могут блокироваться IP-адреса и диапазоны, которые вы укажете как вредоносные.
  • Может быть применено ограничение скорости для предотвращения слишком частого вызова службы IP-адресами.
  • Вы можете создать настраиваемые правила WAF, чтобы автоматически выполнять блокировку и ограничивать скорость при атаках HTTP или HTTPS с известными подписями.

Для дополнительной защиты

Если требуется дополнительная защита, вы можете включить стандартную защиту от атак DDoS Azure для виртуальной сети, в которой развернуты серверные системы. Стандартная защита от атак DDoS обеспечивает дополнительные преимущества, включая защиту от затрат, гарантии по соглашению об уровне обслуживания и оперативную помощь экспертов из службы быстрого реагирования «Защиты от атак DDoS» во время атаки.

Дальнейшие действия