Om jämförelse av Azure DDoS Protection-nivå
I avsnitten i den här artikeln beskrivs resurser och inställningar för Azure DDoS Protection.
Nivåer
Azure DDoS Protection stöder två typer av nivåer, DDoS IP Protection och DDoS Network Protection. Nivån konfigureras i Azure-portalen under arbetsflödet när du konfigurerar Azure DDoS Protection.
I följande tabell visas funktioner och motsvarande nivåer.
| Funktion | DDoS IP-skydd | DDoS-nätverksskydd |
|---|---|---|
| Aktiv trafikövervakning och alltid vid identifiering | Ja | Ja |
| L3/L4 Automatisk attackreducering | Ja | Ja |
| Automatisk attackreducering | Ja | Ja |
| Programbaserade åtgärdsprinciper | Ja | Ja |
| Mått och aviseringar | Ja | Ja |
| Åtgärdsrapporter | Ja | Ja |
| Flödesloggar för minskning | Ja | Ja |
| Åtgärdsprinciper som är anpassade till kundernas program | Ja | Ja |
| Integrering med Firewall Manager | Ja | Ja |
| Microsoft Sentinel-dataanslutning och arbetsbok | Ja | Ja |
| Skydd av resurser mellan prenumerationer i en klientorganisation | Ja | Ja |
| Skydd på offentlig IP Standard-nivå | Ja | Ja |
| Skydd på offentlig IP Basic-nivå | Nej | Ja |
| Stöd för snabba DDoS-svar | Inte tillgängliga | Ja |
| Kostnadsskydd | Inte tillgängliga | Ja |
| WAF-rabatt | Inte tillgängliga | Ja |
| Pris | Per skyddad IP-adress | Per 100 skyddade IP-adresser |
Kommentar
Utan extra kostnad skyddar Azure DDoS-infrastrukturskyddet varje Azure-tjänst som använder offentliga IPv4- och IPv6-adresser. Den här DDoS-skyddstjänsten hjälper till att skydda alla Azure-tjänster, inklusive PaaS-tjänster (plattform som en tjänst), till exempel Azure DNS. Mer information om PaaS-tjänster som stöds finns i DDoS Protection-referensarkitekturer. Azure DDoS-infrastrukturskydd kräver ingen användarkonfiguration eller programändringar. Azure ger kontinuerligt skydd mot DDoS-attacker. DDoS-skydd lagrar inte kunddata.
Begränsningar
DDoS Network Protection och DDoS IP Protection har följande begränsningar:
- PaaS-tjänster (flera klientorganisationer), som omfattar Azure App Service-miljön för Power Apps, Azure API Management i andra distributionslägen än APIM med integrering av virtuella nätverk (mer information finns i https://techcommunity.microsoft.com/t5/azure-network-security-blog/azure-ddos-standard-protection-now-supports-apim-in-vnet/ba-p/3641671) och Azure Virtual WAN stöds inte för närvarande.
- Det går inte att skydda en offentlig IP-resurs som är kopplad till en NAT Gateway.
- Virtuella datorer i klassiska/RDFE-distributioner stöds inte.
- VPN-gateway eller virtuell nätverksgateway skyddas av en DDoS-princip. Anpassningsbar justering stöds inte i det här skedet.
- Stöds delvis: Azure DDoS Protection-tjänsten kan skydda en offentlig lastbalanserare med ett offentligt IP-adressprefix som är länkat till klientdelen. Den identifierar och minimerar effektivt DDoS-attacker. Telemetri och loggning för de skyddade offentliga IP-adresserna inom prefixintervallet är dock för närvarande inte tillgängliga.
DDoS IP Protection liknar Network Protection, men har följande ytterligare begränsning:
- Skydd på den offentliga IP Basic-nivån stöds inte.
Kommentar
Scenarier där en enskild virtuell dator körs bakom en offentlig IP-adress stöds, men rekommenderas inte. Mer information finns i Grundläggande metodtips.
Mer information finns i Referensarkitekturer för Azure DDoS Protection.