你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

Azure DDoS 防护常见问题解答

本文解答了有关 Azure DDoS 防护的常见问题。

什么是分布式拒绝服务 (DDoS) 攻击?

分布式拒绝服务 (DDoS) 是一种攻击,其中攻击者向应用程序发送的请求数超过了应用程序的处理能力。 产生的影响是资源耗尽,从而影响应用程序的可用性以及为其客户提供服务的能力。 在过去几年中,该行业的攻击急剧增加,攻击变得越来越复杂,规模也越来越大。 DDoS 攻击可能会将任何可通过 Internet 公开访问的终结点作为目标。

什么是 Azure DDoS 防护服务?

Azure DDoS 防护与应用程序设计最佳做法相结合,提供增强的 DDoS 缓解功能来防御 DDoS 攻击。 这种防护自动经过优化,可帮助保护虚拟网络中的特定 Azure 资源。 可在任何新的或现有的虚拟网络上启用保护,且无需对应用程序或资源做出任何更改。 有关详细信息,请参阅 Azure DDoS 防护概述。 

如何定价?

DDoS 防护计划具有每月固定费用,涵盖最多 100 个公共 IP 地址。 可以保护其他资源。

在租户下,可以跨多个订阅使用单个 DDoS 防护计划,因此无需创建多个 DDoS 防护计划。

在受 DDoS 保护的 VNet 中部署具有 WAF 的应用程序网关时,WAF 不会产生额外费用 - 你以较低的非 WAF 费率为应用程序网关付费。 此策略适用于应用程序网关 v1 和 v2 SKU。

有关定价和更多详细信息,请参阅 Azure DDoS 防护定价

应选择哪个 Azure DDoS 防护层?

如果需要保护的公共 IP 资源少于 15 个,则 IP 保护层是更具成本效益的选项。 如果需要保护的公共 IP 资源多余 15 个,则网络保护层更具成本效益。 网络保护还提供其他功能,包括 DDoS 防护快速响应 (DRR)、成本保护保障和 Web 应用程序防火墙 (WAF) 折扣。

服务区域是否可复原?

是的。 默认情况下,Azure DDoS 防护可在区域内复原。

如何将服务配置为可在区域内复原?

客户无需配置即可启用区域复原能力。 Azure DDoS 防护资源默认提供区域复原能力,由服务自身进行管理。

服务层(第 7 层)的保护怎样?

客户可以将 Azure DDoS 防护服务与 Web 应用程序防火墙 (WAF) 结合使用,以在网络层(第 3 层和第 4 层,由 Azure DDoS 防护提供)和应用程序层(第 7 层,由 WAF 提供)进行保护。 WAF 产品/服务包括 Azure 应用程序网关 WAF SKU,以及 Azure 市场中提供的第三方 Web 应用程序防火墙产品/服务。

若没有该服务,Azure 中的服务是否不安全?

在 Azure 上运行的服务本质上受到默认基础结构级 DDoS 防护的保护。 但是,保护基础结构的保护的阈值比大多数具有处理能力的应用程序高得多,并且不提供遥测或警报功能,因此尽管平台可能会将流量视为无害,但对于接收该流量的应用程序来说可能是毁灭性的。

通过加入 Azure DDoS 防护服务,应用程序可获取专用监视,用于检测攻击和应用程序特定的阈值。 服务将通过调整到其预期流量的配置文件得到保护,从而更加严密地防御 DDoS 攻击。

受支持的受保护资源类型有哪些?

基于 ARM 的 VNet 中的公共 IP 目前是唯一受保护的资源类型。 受保护的资源包括连接到 IaaS VM 的公共 IP、负载均衡器(经典和标准负载均衡器)、应用程序网关(包括 WAF)群集、防火墙、Bastion、VPN 网关、Service Fabric 或基于 IaaS 的网络虚拟设备 (NVA)。 保护还涵盖通过自定义 IP 前缀 (BYOIP) 引入 Azure 的公共 IP 范围。

如果要了解限制,请参阅 Azure DDoS 防护参考体系结构

是否支持经典/RDFE 保护的资源?

预览版仅支持基于 ARM 的受保护资源。 不支持经典/RDFE 部署中的 VM。 目前尚不打算针对经典/RDFE 资源提供支持。 有关详细信息,请参阅 Azure DDoS 防护参考体系结构

是否可以使用 DDoS 防护来保护 PaaS 资源?

目前不支持附加到多租户、单 VIP PaaS 服务的公共 IP。 不受支持的资源的示例包括存储 VIP、事件中心 VIP 和应用/云服务应用程序。 有关详细信息,请参阅 Azure DDoS 防护参考体系结构

是否可以使用 DDoS 防护来保护本地资源?

需要将服务的公共终结点关联到 Azure 中的 VNet,才能启用 DDoS 防护。 示例设计包括:

  • Azure 中的网站 (IaaS) 和本地数据中心中的后端数据库。
  • Azure 中的应用程序网关(在应用程序网关/WAF 上启用了 DDoS 防护)和本地数据中心中的网站。

有关详细信息,请参阅 Azure DDoS 防护参考体系结构

能否在 Azure 外部注册某个域,并将其关联到受保护的资源(如 VM 或 ELB)?

对于公共 IP 方案,DDoS 防护服务将支持任何应用程序,无论关联域在何处注册或托管,只要关联的公共 IP 托管在 Azure 上即可。

是否可以手动配置应用于 VNet/公共 IP 的 DDoS 策略?

不可以,很遗憾,策略自定义目前不可用。

能否将特定 IP 地址添加到允许列表/阻止列表?

不可以,很遗憾,手动配置目前不可用。

如何测试 DDoS 防护?

在门户上加载指标需要多长时间?

指标应在 5 分钟内显示在门户上。 如果资源受到攻击,其他指标将在 5-7 分钟内开始显示在门户上。

该服务是否存储客户数据?

否,Azure DDoS 防护不存储客户数据。

是否支持公共 IP 后面的单个 VM 部署?

支持单个 VM 在公共 IP 后运行的方案,但不建议这样做。 当检测到 DDoS 攻击时,DDoS 缓解可能不会立即启动。 因此,在这种情况下,无法横向扩展的单个 VM 部署将会失败。 有关详细信息,请参阅基本最佳做法