分享方式:


使用 Azure 防火牆管理員設定 Azure DDoS 保護計劃

Azure 防火牆管理員是大規模管理及保護網路資源的平台。 您可以將您的虛擬網路與 Azure 防火牆管理員內的 DDoS 保護計劃建立關聯。

提示

DDoS 保護目前不支援虛擬 WAN。 不過,您可以強制將網際網路流量透過通道傳送至虛擬網路中與 DDoS 保護計劃相關聯的 Azure 防火牆,以避開這項限制。

在單一租用戶下,DDoS 保護計劃可以套用至多個訂用帳戶的虛擬網路。 如需 DDoS 保護計劃的詳細資訊,請參閱 Azure DDoS 保護概觀

若要了解運作方式,您需建立防火牆原則,然後建立使用 Azure 防火牆保護的虛擬網路。 接下來需建立 DDoS 保護計劃,並與虛擬網路建立關聯。

建立防火牆原則

使用防火牆管理員建立防火牆原則。

  1. Azure 入口網站開啟防火牆管理員。
  2. 選取 [Azure 防火牆原則]
  3. 選取 [建立 Azure 防火牆原則]
  4. 在 [資源群組] 中,選取 [DDoS-Test-rg]
  5. 在 [原則詳細資料]、[名稱] 底下,輸入 fw-pol-01
  6. 針對 [區域],選取 [美國西部 2]
  7. 選取 [檢閱 + 建立]。
  8. 選取 建立

建立受保護的虛擬網路

使用防火牆管理員建立受保護的虛擬網路。

  1. 開啟防火牆管理員。
  2. 選取 [虛擬網路]
  3. 選取 [建立新的受保護虛擬網路]
  4. 在 [資源群組] 中,選取 [DDoS-Test-rg]
  5. 針對 [區域],選取 [美國西部 2]
  6. 針對 [中樞虛擬網路名稱],輸入 Hub-vnet-01
  7. 在 [位址範圍] 中,輸入 10.0.0.0/16
  8. 選取 [下一步: Azure 防火牆]
  9. 在 [公用 IP 位址] 中,選取 [新增],然後輸入 fw-pip 作為名稱,再選取 [確定]
  10. 針對 [防火牆子網路位址空間],輸入 10.0.0.0/24
  11. 針對 [防火牆原則] 選取 [fw-pol-01]
  12. 選取[下一步:檢閱 + 建立]
  13. 選取 建立

建立 DDoS 保護計劃

使用防火牆管理員建立 DDoS 保護計劃。 您可以使用 [DDoS 保護計劃] 頁面來建立和管理 Azure DDoS 保護計劃。

Screenshot of the Firewall Manager DDoS Protection Plans page

  1. 開啟防火牆管理員。
  2. 選取 [DDoS 保護計劃]
  3. 選取 建立
  4. 在 [資源群組] 中,選取 [新建]
  5. 資源群組名稱輸入 DDos-Test-rg
  6. 在 [執行個體詳細資料]、[名稱] 底下,輸入 DDoS-plan-01
  7. 針對 [區域],選取 [(美國) 美國西部 2]
  8. 選取 [檢閱 + 建立]。
  9. 選取 建立

與 DDoS 保護計劃建立關聯

現在您可以為 DDoS 保護計劃與受保護的虛擬網路建立關聯。

  1. 開啟防火牆管理員。
  2. 選取 [虛擬網路]
  3. 選取 Hub-vnet-01 的核取方塊。
  4. 選取 [管理安全性]、[新增 DDoS 保護計劃]
  5. 針對 [DDoS 保護計劃],選取 [啟用]
  6. 針對 [DDoS 保護方案],選取 [DDoS-plan-01]
  7. 選取 [新增]。
  8. 部署完成時,選取 [重新整理]

現在應該會看到虛擬網路有一個相關聯的 DDoS 保護計劃。

Screenshot showing virtual network with DDoS Protection Plan

下一步