你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

什么是 Azure DDoS 防护?

分布式拒绝服务 (DDoS) 攻击是将应用程序移动到云的客户所面临的一些最大的可用性和安全性问题。 DDoS 攻击尝试耗尽应用程序的资源,使应用程序对于合法用户不可用。 DDoS 攻击可能会将任何可通过 Internet 公开访问的终结点作为目标。

Azure DDoS 防护与应用程序设计最佳做法相结合,提供增强的 DDoS 缓解功能来防御 DDoS 攻击。 这种防护自动经过优化,可帮助保护虚拟网络中的特定 Azure 资源。 可在任何新的或现有的虚拟网络上启用保护,且无需对应用程序或资源做出任何更改。

受 DDoS 保护的 PaaS Web 应用程序的参考体系结构示意图。

区域可用性

DDoS IP 保护当前在以下区域提供。

美洲 欧洲 中东 非洲 亚太区
美国中西部 法国中部 阿联酋中部 南非北部 澳大利亚中部
美国中北部 德国中西部 卡塔尔中部 韩国中部
美国西部 瑞士北部 Japan East
美国西部 3 法国南部 印度西部
挪威东部 Jio 印度中部
瑞典中部 澳大利亚中部 2
德国北部

主要优点

始终可用的流量监控

全天候监视应用程序流量模式,以寻找 DDoS 攻击的迹象。 一旦检测到攻击,Azure DDoS 防护会立即自动缓解攻击。

自适应实时优化

智能流量分析了解不同时段的应用程序流量,并选择和更新最适合服务的配置文件。 当流量随时间变化时,配置文件将进行调整。

DDoS 防护遥测、监视和警报

Azure DDoS 对启用了 DDoS 的虚拟网络中受保护资源的每个公共 IP 应用三种自动优化的缓解策略(TCP SYN、TCP 和 UDP)。 策略阈值是通过基于机器学习的网络流量分析自动配置的。 仅当超过策略阈值时,才会对受攻击的 IP 地址进行 DDoS 缓解。

Azure DDoS 快速响应

在主动攻击期间,Azure DDoS 防护客户有权联系 DDoS 快速响应 (DRR) 团队,该团队可在攻击过程中帮助进行攻击调查,并且可在攻击之后帮助进行分析。 有关详细信息,请参阅 Azure DDoS 快速响应

SKU

Azure DDoS 防护提供两个可用的 SKU:DDoS IP 保护预览版和 DDoS 网络保护。 有关 SKU 的详细信息,请参阅 SKU 比较

本机平台集成

以本机方式集成到 Azure 中。 包括通过 Azure 门户进行配置。 Azure DDoS 防护了解你的资源和资源配置。

统包保护

一旦启用 DDoS 网络保护,简化后的配置会立即保护虚拟网络上的所有资源。 要求没有干预或用户定义。 同样,启用 DDoS IP 保护后,简化后的配置会立即保护公共 IP 资源。

多层保护

与 Web 应用程序防火墙 (WAF) 一起部署时,Azure DDoS 防护在网络层(由 Azure DDoS 防护提供支持的第 3 层和第 4 层)和应用程序层(由 WAF 提供支持的第 7 层)均提供保护。 WAF 产品/服务包括 Azure 应用程序网关 WAF SKU,以及 Azure 市场中提供的第三方 Web 应用程序防火墙产品/服务。

广泛的缓解规模

可以使用全球容量缓解所有 L3/L4 攻击途径,从而防止最大的已知 DDoS 攻击。

攻击分析

在攻击期间以五分钟为增量获取详细报告,并在攻击结束后获取完整摘要。 将缓解流日志流式传输到 Microsoft Sentinel 或离线安全信息和事件管理 (SIEM) 系统,以便在攻击期间进行准实时监视。 请参阅查看和配置 DDoS 诊断日志记录了解详细信息。

攻击指标

可以通过 Azure Monitor 访问每个攻击的汇总指标。 请参阅查看和配置 DDoS 防护遥测以了解详细信息。

攻击警报

可以使用内置攻击指标在攻击开始和停止时以及攻击持续期间配置警报。 警报会集成到操作软件中,如 Microsoft Azure Monitor 日志、Splunk、Azure 存储、电子邮件和 Azure 门户。 请参阅查看和配置 DDoS 保护警报以了解详细信息。

成本保证

获得因记录的 DDoS 攻击而产生的资源成本的数据传输和应用程序横向扩展服务额度。

体系结构

Azure DDoS 防护面向虚拟网络中部署的服务。 对于其他服务,会应用默认的基础结构级 DDoS 防护,这可防范常见网络层攻击。 要详细了解支持的体系结构,请参阅 DDoS 防护参考体系结构

定价

对于 DDoS 网络保护,在租户下,可以跨多个订阅使用单个 DDoS 防护计划,因此无需创建多个 DDoS 防护计划。 对于 DDoS IP 保护,无需创建 DDoS 防护计划。 客户可对任何公共 IP 资源启用 DDoS IP 保护。

要了解 Azure DDoS 防护定价,请参阅 Azure DDoS 防护定价

DDoS 防护常见问题解答

有关常见问题解答,请参阅 DDoS 防护常见问题解答

后续步骤