DDoS-skydd på Front Door

  • Artikel

Azure Front Door är ett CDN (Content Delivery Network) som kan hjälpa dig att skydda ditt ursprung från HTTP(S) DDoS-attacker genom att distribuera trafiken över sina 192 edge-IP-adresser över hela världen. Dessa IP-adresser använder vårt stora privata WAN för att leverera dina webbprogram och tjänster snabbare och säkrare till dina slutanvändare. Azure Front Door innehåller även layer 3, 4 och 7 DDoS-skydd och en brandvägg för webbprogram (WAF) för att skydda dina program mot vanliga sårbarheter och sårbarheter.

DDoS-skydd för infrastruktur

Azure Front Door drar nytta av standardskyddet för Azure-infrastrukturen DDoS. Det här skyddet övervakar och minimerar attacker på nätverksnivå i realtid med hjälp av den globala skalan och kapaciteten i Front Door-nätverket. Det här skyddet har en dokumenterad erfarenhet av att skydda Microsofts företags- och konsumenttjänster mot storskaliga attacker.

Protokollblockering

Azure Front Door stöder endast HTTP- och HTTPS-protokollen och kräver en giltig värdrubrik för varje begäran. Det här beteendet hjälper till att förhindra vissa vanliga DDoS-attacktyper, till exempel volymattacker som använder olika protokoll och portar, DNS-förstärkningsattacker och TCP-förgiftningsattacker.

Kapacitetsabsorption

Azure Front Door är en storskalig, globalt distribuerad tjänst. Den betjänar många kunder, inklusive Microsofts egna molnprodukter som hanterar hundratusentals begäranden per sekund. Front Door ligger i utkanten av Azures nätverk, där det kan fånga upp och geografiskt isolera stora volymattacker. Därför kan Front Door förhindra att skadlig trafik når utanför Gränsen för Azure-nätverket.

Cachelagring

Du kan använda Cachelagringsfunktionerna i Front Door för att skydda dina serverdelar från stora trafikvolymer som genereras av en attack. Front Door-kantnoder returnerar cachelagrade resurser och undviker att vidarebefordra dem till serverdelen. Även korta förfallotider för cacheminnet (sekunder eller minuter) för dynamiska svar kan avsevärt minska belastningen på serverdelstjänsterna. Mer information om cachelagring av begrepp och mönster finns i Cachelagring överväganden och cache-aside-mönster.

Brandvägg för webbaserade program (WAF)

Du kan använda Front Door's Web Application Firewall (WAF) för att minimera många olika typer av attacker:

  • Den hanterade regeluppsättningen skyddar ditt program från många vanliga attacker. Mer information finns i Hanterade regler.
  • Du kan blockera eller omdirigera trafik från utanför eller inom en specifik geografisk region till en statisk webbsida. Mer information finns i Geo-filtrering.
  • Du kan blockera IP-adresser och intervall som du identifierar som skadliga. Mer information finns i IP-begränsningar.
  • Du kan använda hastighetsbegränsning för att förhindra att IP-adresser anropar tjänsten för ofta. Mer information finns i Hastighetsbegränsning.
  • Du kan skapa anpassade WAF-regler för att automatiskt blockera och frekvensgränsa HTTP- eller HTTPS-attacker som har kända signaturer.
  • Den hanterade regeluppsättningen för robotskydd skyddar ditt program från kända felaktiga robotar. Mer information finns i Konfigurera robotskydd.

Mer information om hur du använder Azure WAF för att skydda mot DDoS-attacker finns i Program DDoS-skydd.

Skydda ursprung för virtuella nätverk

Om du vill skydda dina offentliga IP-adresser från DDoS-attacker aktiverar du Azure DDoS Protection i det virtuella ursprungsnätverket. DDoS Protection-kunder får extra förmåner som kostnadsskydd, SLA-garanti och åtkomst till experter från DDoS Rapid Response Team för omedelbar hjälp under en attack.

Förbättra säkerheten för ditt Azure-värdbaserade ursprung genom att begränsa deras åtkomst till Azure Front Door via Azure Private Link. Den här funktionen möjliggör en privat nätverksanslutning mellan Azure Front Door och dina programservrar, vilket eliminerar behovet av att exponera ditt ursprung för det offentliga Internet.

Nästa steg