你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
什么是 Azure DDoS 防护?
分布式拒绝服务 (DDoS) 攻击是将应用程序移动到云的客户所面临的一些最大的可用性和安全性问题。 DDoS 攻击尝试耗尽应用程序的资源,使应用程序对于合法用户不可用。 DDoS 攻击可能会将任何可通过 Internet 公开访问的终结点作为目标。
Azure DDoS 防护与应用程序设计最佳做法相结合,提供增强的 DDoS 缓解功能来防御 DDoS 攻击。 这种防护自动经过优化,可帮助保护虚拟网络中的特定 Azure 资源。 可在任何新的或现有的虚拟网络上启用保护,且无需对应用程序或资源做出任何更改。
Azure DDoS 防护在第 3 层和第 4 层网络层进行保护。 对于第 7 层的 Web 应用程序保护,需要使用 WAF 产品/服务在应用程序层添加保护。 有关详细信息,请参阅应用程序 DDoS 防护。
层
DDoS 网络保护
Azure DDoS 网络保护与应用程序设计最佳做法相结合,提供增强的 DDoS 缓解功能来防御 DDoS 攻击。 这种防护自动经过优化,可帮助保护虚拟网络中的特定 Azure 资源。 有关启用 DDoS 网络保护的详细信息,请参阅快速入门:使用 Azure 门户创建和配置 Azure DDoS 网络保护。
DDoS IP 保护
DDoS IP 保护是一种按受保护 IP 进行计费的模型。 DDoS IP 保护包含与 DDoS 网络保护相同的核心工程功能,但在以下增值服务中将有所不同:DDoS 快速响应支持、成本保护和 WAF 折扣。 有关启用 DDoS IP 保护的详细信息,请参阅快速入门:使用 Azure PowerShell 创建和配置 Azure DDoS IP 保护。
有关层级的详细信息,请参阅 DDoS 防护层级比较。
关键功能
始终可用的流量监视:全天候监视应用程序流量模式,以寻找 DDoS 攻击的迹象。 一旦检测到攻击,Azure DDoS 防护会立即自动缓解攻击。
自适应实时优化:智能流量分析了解一段时间的应用程序流量,并选择和更新最适合你的服务的配置文件。 当流量随时间变化时,配置文件将进行调整。
DDoS 防护分析、指标和警报:Azure DDoS 防护对启用了 DDoS 的虚拟网络中受保护资源的每个公共 IP 应用三种自动优化的缓解策略(TCP SYN、TCP 和 UDP)。 策略阈值是通过基于机器学习的网络流量分析自动配置的。 仅当超过策略阈值时,才会对受攻击的 IP 地址进行 DDoS 缓解。
攻击分析:在攻击期间以五分钟为增量获取详细报告,在攻击结束后获取完整摘要。 将缓解流日志流式传输到 Microsoft Sentinel 或离线安全信息和事件管理 (SIEM) 系统,以便在攻击期间进行准实时监视。 请参阅查看和配置 DDoS 诊断日志记录了解详细信息。
攻击指标:可以通过 Azure Monitor 访问每个攻击的汇总指标。 请参阅查看和配置 DDoS 防护遥测以了解详细信息。
攻击警报: 可以使用内置攻击指标在攻击开始和停止时以及攻击持续期间配置警报。 警报会集成到操作软件中,如 Microsoft Azure Monitor 日志、Splunk、Azure 存储、电子邮件和 Azure 门户。 请参阅查看和配置 DDoS 保护警报以了解详细信息。
Azure DDoS 快速响应:在主动攻击期间,启用了 Azure DDoS 网络保护的客户有权联系 DDoS 快速响应 (DRR) 团队,该团队可在攻击过程中帮助进行攻击调查,并且可在攻击之后帮助进行分析。 有关详细信息,请参阅 Azure DDoS 快速响应。
本机平台集成:本机集成到 Azure 中。 包括通过 Azure 门户进行配置。 Azure DDoS 防护了解你的资源和资源配置。
统包保护:启用 DDoS 网络保护后,简化后的配置会立即保护虚拟网络上的所有资源。 要求没有干预或用户定义。 同样,启用 DDoS IP 保护后,简化后的配置会立即保护公共 IP 资源。
多层保护:与 Web 应用程序防火墙 (WAF) 一起部署时,Azure DDoS 防护在网络层(由 Azure DDoS 防护提供支持的第 3 层和第 4 层)和应用程序层(由 WAF 提供支持的第 7 层)均提供保护。 WAF 产品/服务包括 Azure 应用程序网关 WAF SKU,以及 Azure 市场中提供的第三方 Web 应用程序防火墙产品/服务。
广泛的缓解规模:可以使用全球容量缓解所有 L3/L4 攻击途径,从而防止最大的已知 DDoS 攻击。
成本保证:获得因记录的 DDoS 攻击而产生的资源成本的数据传输和应用程序横向扩展服务额度。
体系结构
Azure DDoS 防护面向虚拟网络中部署的服务。 对于其他服务,会应用默认的基础结构级 DDoS 防护,这可防范常见网络层攻击。 要详细了解支持的体系结构,请参阅 DDoS 防护参考体系结构。
定价
对于 DDoS 网络保护,在租户下,可以跨多个订阅使用单个 DDoS 防护计划,因此无需创建多个 DDoS 防护计划。 对于 DDoS IP 保护,无需创建 DDoS 防护计划。 客户可对任何公共 IP 资源启用 DDoS IP 保护。
要了解 Azure DDoS 防护定价,请参阅 Azure DDoS 防护定价。
最佳方案
请通过遵循以下最佳做法来最大程度地提高 DDoS 防护和缓解策略的有效性:
- 在设计应用程序和基础结构时考虑到冗余和复原能力。
- 实现多层安全方法,包括网络、应用程序和数据保护。
- 准备事件响应计划,确保对 DDoS 攻击的协调响应。
若要详细了解最佳做法,请参阅基本最佳做法。
常见问题
有关常见问题解答,请参阅 DDoS 防护常见问题解答。