你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
本文介绍如何使用网关负载均衡器和合作伙伴网络虚拟设备(NVA)为 Azure 中的延迟敏感工作负荷实施内联第 7 层 DDoS 保护。 你将了解全面的 DDoS 缓解方案、体系结构、部署步骤和最佳做法。
概述
Azure DDoS 防护在网络层(L3/4)提供可靠的始终开启防御功能,可在 30-60 秒内快速检测和缓解攻击。 虽然它侧重于防范批量和基于协议的威胁,但可以添加应用程序层(L7)检查,以增强安全性。
某些工作负载,例如游戏、Web 应用程序、金融服务和流式处理服务、要求超低延迟和持续保护。 对于这些方案,内联保护可确保所有流量都随时通过 DDoS 保护管道主动路由。 此方法不仅能立即缓解,而且还能深入检查数据包有效负载,帮助检测和阻止针对应用程序层漏洞(L7)的低容量攻击。
与 Azure DDoS 防护集成并使用网关负载均衡器部署的合作伙伴网络虚拟设备(NVA),提供全面的内嵌 L7 DDoS 防护,适用于需要高性能和高可用性的场景。 此组合提供 L3-L7 保护,以防止大流量和小流量 DDoS 攻击。
情境
内联 L7 DDoS 保护适用于以下情况:
- Web 应用程序:防范 HTTP 泛洪和慢速攻击。
- 金融服务: 保护事务系统免受目标应用程序层攻击。
- 流式处理服务: 通过缓解低容量、有针对性的攻击,确保不间断流式传输。
- 游戏工作负载: 预防由于目标攻击导致游戏服务器发生短暂的宕机和中断。
什么是网关负载均衡器?
网关负载均衡器是 Azure 负载均衡器的 SKU,专为具有第三方 NVA 的高性能和高可用性方案而设计。
使用网关负载均衡器,可以轻松部署、缩放和管理 NVA。 可以使用单个配置步骤将网关负载均衡器连接到公共终结点。 借助此功能,可以将 NVA 添加到网络路径,例如防火墙、高级数据包分析、入侵检测系统、入侵防护系统或其他自定义解决方案。 网关负载均衡器还维护后端池中特定实例的流对称性,确保会话一致性。
有关详细信息,请参阅 网关负载均衡器。
建筑
对延迟敏感型工作负载(如游戏)的 DDoS 攻击可能会导致持续 2-10 秒的中断,从而中断可用性。 网关负载均衡器通过确保将相关 NVA 注入 Internet 流量的入口路径来保护此类工作负载。 将网关负载均衡器连接到标准公共负载均衡器前端或虚拟机的 IP 配置后,传入和传出应用程序终结点的流量会自动通过网关负载均衡器路由,无需其他配置。
NVA 会检查入站流量,已过滤的流量会返回到后端基础设施(例如游戏服务器)。
流量从使用者虚拟网络流向提供商虚拟网络,然后返回到使用者虚拟网络。 使用者和提供商虚拟网络可以位于不同的订阅、租户或区域中,从而实现更大的灵活性和管理性。
流量流步骤:
- 来自 Internet 的流量到达标准负载均衡器的公共 IP。
- 流量会重定向到网关负载均衡器,该负载均衡器将其转发到合作伙伴 NVA。
- NVA 检查和筛选流量,缓解 L7 攻击。
- 净化后的流量会返回到后端服务器进行处理。
- Azure DDoS 防护在标准负载均衡器上提供额外的 L3/L4 保护。
在标准公共负载均衡器前端或虚拟机的虚拟网络上启用 Azure DDoS 防护,可防止 L3/4 DDoS 攻击。
有关详细的部署说明,请参阅 使用 Azure DDoS 防护保护公共负载均衡器。
最佳做法
若要确保使用网关负载均衡器和合作伙伴 NVA 进行有效的 DDoS 保护,请遵循以下最佳做法。
适当地缩放 NVA 以处理高峰流量:
确保 NVA 的大小和配置可以适应预期的最高流量级别。 预配不足的 NVA 可能会成为瓶颈,降低 DDoS 缓解的有效性,并可能影响应用程序性能。 使用 Azure 监视工具跟踪流量模式并根据需要调整缩放。 有关详细信息,请参阅 Azure Monitor 和 网络观察程序。
在高可用性配置中部署 NVA,以避免单一故障点:
在主动-主动或主动-被动配置中配置多个 NVA,确保即使单台设备发生故障或需要维护时仍能持续提供防护。 使用 Azure 负载均衡器运行状况探测监视 NVA 运行状况,并在实例不可用时自动重新路由流量。 有关详细信息,请参阅 Azure 负载均衡器运行状况探测。
定期监视和优化 NVA 以保持最佳性能:
使用 Azure Monitor、网络观察程序和 NVA 特定的仪表板持续监视 NVA 的性能和运行状况。 查看日志和警报,了解异常活动或性能下降。 定期更新 NVA 软件和签名,以防止最新的威胁和漏洞。
测试 DDoS 保护设置,以验证端到端流量流和缓解措施:
定期模拟 DDoS 攻击方案并执行故障转移测试,以确保保护设置按预期工作。 验证流量是否按预期流经 NVA,并相应地触发缓解操作。 记录测试结果,并根据需要更新配置或运行手册,以解决可能出现的任何问题。 有关详细信息,请参阅 测试 DDoS 防护。
后续步骤
- 详细了解我们的发布合作伙伴 A10 Networks
- 详细了解 网关负载均衡器。
- 详细了解 Azure 专用链接 以及如何将其与网关负载均衡器配合使用。
- 详细了解 Azure DDoS 防护体系结构。