Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Den här artikeln beskriver hur du implementerar inline Layer 7 (L7) DDoS-skydd för svarstidskänsliga arbetsbelastningar i Azure med hjälp av Gateway Load Balancer och virtuella nätverksinstallationer för partnernätverk (NVA). Du får lära dig mer om scenarier, arkitektur, distributionssteg och metodtips för omfattande DDoS-åtgärder.
Översikt
Azure DDoS Protection ger robust, alltid på-skydd på nätverksskiktet (L3/4), vilket snabbt identifierar och minimerar attacker inom 30–60 sekunder. Den fokuserar på att skydda mot volymtriska och protokollbaserade hot, men kontroll av programskikt (L7) kan läggas till för ännu större säkerhet.
Vissa arbetsbelastningar, till exempel spel, webbprogram, finansiella tjänster och streamingtjänster, kräver ultralåg svarstid och kontinuerligt skydd. I dessa scenarier säkerställer infogat skydd att all trafik dirigeras proaktivt genom DDoS-skyddspipelinen hela tiden. Den här metoden ger inte bara omedelbar åtgärd utan möjliggör också djupgranskning av paketnyttolaster, vilket hjälper till att identifiera och blockera lågvolymattacker som riktar sig mot sårbarheter på programskiktet (L7).
Partner-NVA:er som distribuerats med Gateway Load Balancer och integrerats med Azure DDoS Protection erbjuder omfattande infogat L7 DDoS Protection för scenarier med höga prestanda och hög tillgänglighet. Den här kombinationen ger L3-L7 skydd mot volymtriska DDoS-attacker och DDoS-attacker med låg volym.
Scenarier
Infogat L7 DDoS-skydd är värdefullt för:
- Webbprogram: Skyddar mot HTTP-översvämningar och slowloris-attacker.
- Finansiella tjänster: Skyddar transaktionssystem från riktade attacker på programnivå.
- Strömningstjänster: Säkerställer oavbruten strömning genom att mildra riktade attacker med låg volym.
- Spelarbetsbelastningar: Förhindrar korta avbrott och störningar som orsakas av riktade attacker på spelservrar.
Vad är en Gateway Load Balancer?
Gateway Load Balancer är en SKU för Azure Load Balancer som är utformad för scenarier med höga prestanda och hög tillgänglighet med nva från tredje part.
Med Gateway Load Balancer kan du enkelt distribuera, skala och hantera NVA:er. Du kan ansluta en Gateway Load Balancer till din offentliga slutpunkt med ett enda konfigurationssteg. Med den här funktionen kan du lägga till NVA:er i nätverkssökvägen för scenarier som brandväggar, avancerad paketanalys, intrångsidentifieringssystem, intrångsskyddssystem eller andra anpassade lösningar. Gateway Load Balancer upprätthåller också flödessymmetrin till en specifik instans i serverdelspoolen, vilket säkerställer sessionskonsekvens.
Mer information finns i Gateway Load Balancer.
Arkitektur
DDoS-attacker på svarstidskänsliga arbetsbelastningar som spel kan orsaka avbrott i 2–10 sekunder, vilket stör tillgängligheten. Gateway Load Balancer möjliggör skydd av sådana arbetsbelastningar genom att se till att relevanta NVA:er integreras i ingresssökvägen för internettrafiken. När du har anslutit gatewayens lastbalanserare till en offentlig Standard Load Balancer-klientdel eller till IP-konfigurationen för en virtuell dator dirigeras trafik till och från programslutpunkten automatiskt via gatewayens lastbalanserare – ingen ytterligare konfiguration krävs.
Inkommande trafik inspekteras av NVA:erna, och ren trafik återvänder till back-end-infrastrukturen (till exempel spelservrar).
Trafiken flödar från det virtuella konsumentnätverket till det virtuella providernätverket och återgår sedan till det virtuella konsumentnätverket. De virtuella konsument- och providernätverken kan finnas i olika prenumerationer, klientorganisationer eller regioner, vilket ger större flexibilitet och enklare hantering.
Trafikflödessteg:
- Trafik från Internet når den offentliga IP-adressen för Standard Load Balancer.
- Trafiken omdirigeras till gatewayens lastbalanserare, som vidarebefordrar den till partner-NVA:er.
- NVA:er inspekterar och filtrerar trafik, vilket minskar L7-attacker.
- Ren trafik återgår till backend-servrarna för bearbetning.
- Azure DDoS Protection ger ytterligare L3/L4-skydd i Standard Load Balancer.
Aktivering av Azure DDoS Protection i det virtuella nätverket på standardklientdelen för offentlig lastbalanserare eller virtuell dator skyddar mot L3/4 DDoS-attacker.
Detaljerade distributionsinstruktioner finns i Skydda din offentliga lastbalanserare med Azure DDoS Protection.
Metodtips
Följ dessa metodtips för att säkerställa ett effektivt DDoS-skydd med hjälp av Gateway Load Balancer och partner-NVA:er.
Skala NVA:er på rätt sätt för att hantera trafiktoppar:
Se till att dina NVA:er är storleksanpassade och konfigurerade för att hantera de högsta förväntade trafiknivåerna. Underetablerade NVA:er kan bli en flaskhals, vilket minskar effektiviteten för DDoS-åtgärder och kan påverka programmets prestanda. Använd Azure-övervakningsverktyg för att spåra trafikmönster och justera skalning efter behov. Mer information finns i Azure Monitor och Network Watcher.
Distribuera NVA:er i en konfiguration med hög tillgänglighet för att undvika enskilda felpunkter:
Konfigurera flera NVA:er i en aktiv-aktiv eller aktiv-passiv konfiguration för att säkerställa kontinuerligt skydd, även om en installation misslyckas eller kräver underhåll. Använd Azure Load Balancer-statuskontroller för att övervaka NVA-status och automatiskt omdirigera trafiken om en instans blir otillgänglig. Mer information finns i Hälsoavsökningar för Azure Load Balancer.
Övervaka och finjustera NVA:er regelbundet för att upprätthålla optimala prestanda:
Övervaka kontinuerligt prestanda och hälsa för dina NVA:er med hjälp av Azure Monitor, Network Watcher och NVA-specifika instrumentpaneler. Granska loggar och aviseringar för ovanlig aktivitet eller prestandaförsämring. Uppdatera NVA-programvara och signaturer regelbundet för att skydda mot de senaste hoten och sårbarheterna.
Testa konfigurationen av DDoS-skyddet för att verifiera trafikflödet och begränsningen från slutpunkt till slutpunkt:
Simulera regelbundet DDoS-attackscenarier och utför redundanstester för att säkerställa att din skyddskonfiguration fungerar som avsett. Kontrollera att trafiken flödar via nva:erna som förväntat och att åtgärdsåtgärder utlöses på rätt sätt. Dokumentera testresultaten och uppdatera konfigurationen eller runbooks efter behov för att åtgärda eventuella problem. Mer information finns i Testa DDoS Protection.
Nästa steg
- Läs mer om vår lanseringspartner A10 Networks
- Läs mer om Gateway Load Balancer.
- Läs mer om Azure Private Link och hur det kan användas med Gateway Load Balancer.
- Läs mer om Azure DDoS Protection-arkitektur.