本文會解答 Azure DDoS 保護相關的常見問題。
什麼是分散式阻斷服務 (DDoS) 攻擊?
分散式阻斷服務 (即 DDoS) 是一種攻擊,攻擊者會將超出應用程式處理能力的要求量傳送到應用程式上。 這種攻擊會導致資源耗盡,並影響應用程式可用性以及服務客戶的能力。 業界在過去幾年發現攻擊大幅增加,攻擊變得更複雜、規模更大。 DDoS 攻擊可以鎖定可透過網際網路公開觸達的任何端點。
什麼是 Azure DDoS 保護服務?
「Azure DDoS 保護」(結合應用程式設計最佳做法) 可提供增強的 DDoS 風險降低功能來防禦 DDoS 攻擊。 可自動調整以保護虛擬網路中的特定 Azure 資源。 只需在任何新的或現有的虛擬網路上啟用保護,而不需進行任何應用程式或資源變更。 如需詳細資訊,請參閱 Azure DDoS 保護概觀。
價格如何運作?
DDoS 保護方案每個月收取固定月費,最多可涵蓋 100 個公用 IP 位址。 其他資源的保護可供使用。
在租用戶下,單一的 DDoS 保護計劃可以跨多個訂用帳戶使用,因此不需要建立一個以上的 DDoS 保護方案。
當包含 WAF 的應用程式閘道部署在 DDoS 受保護的 VNet 中時,WAF 不會產生額外費用,您會以較低的非 WAF 費率支付應用程式閘道的費用。 此原則適用於應用程式閘道第 1 版和第 2 版 SKU。
如需價格和更多詳細資料,請參閱 Azure DDoS 保護價格。
我應該選擇哪一個 Azure DDoS 保護層?
如果您需要保護的公用 IP 資源少於 15 個,IP 保護層是更具成本效益的選項。 如果您需要保護的公用 IP 資源超過 15 個,則網路保護層會更具成本效益。 網路保護也提供其他功能,包括 DDoS 保護快速回應 (DRR)、成本保護保證,以及 Web 應用程式防火牆 (WAF) 折扣。
服務區域是否有復原性?
是。 依預設,Azure DDoS 保護有區域復原性。
如何將服務設定為具有區域復原性?
不需要客戶設定即可啟用區域復原。 依預設可以使用 Azure DDoS 保護資源的區域復原功能,並由服務本身進行管理。
服務層級 (第 7 層) 的保護為何?
客戶可以搭配 Web 應用程式防火牆 (WAF) 使用 Azure DDoS 保護服務,以在網路層 (第 3 層和第 4 層,由 Azure DDoS 保護提供) 和應用程式層 (第 7 層,由 WAF 提供) 提供保護。 WAF 供應項目包括 Azure 應用程式閘道 WAF SKU,以及 Azure Marketplace 中提供的第三方 Web 應用程式防火牆供應項目。
在沒有該服務的情況下,Azure 中的服務是否不安全?
在 Azure 上執行的服務原本就受到預設基礎結構層級 DDoS 保護的保護。 不過,用於保護基礎結構的保護功能門檻高於大部分應用程式的處理能力,而且不提供遙測或警示。因此,雖然該平台可能會將某些流量視為無害,但可能會對接收該流量的應用程式造成損害。
上線至 Azure DDoS 保護服務後,應用程式即可取得專用監視功能,來偵測攻擊和應用程式特定閾值。 會透過根據預期流量而調整的設定檔來保護服務,進而提供對 DDoS 攻擊的更嚴密防禦。
支援的受保護資源類型有哪些?
以 ARM 為基礎的 VNET 中的公用 IP 目前是唯一的受保護資源類型。 受保護的資源包括連結至 IaaS VM 的公用 IP、負載平衡器 (傳統與標準負載平衡器)、應用程式閘道 (包括 WAF) 叢集、防火牆、Bastion、VPN 閘道、Service Fabric 或 IaaS 型網路虛擬設備 (NVA)。 保護也涵蓋透過自訂 IP 首碼 (BYOIP) 帶入 Azure 的公用 IP 範圍。
若要深入了解限制,請參閱 Azure DDoS 保護參考結構 (部分機器翻譯)。
是否支援傳統/RDFE 受保護的資源?
預覽版僅支援以 ARM 為基礎的受保護資源。 不支援傳統/RDFE 部署中的虛擬機器。 目前未計畫支援傳統/RDFE 資源。 如需詳細資訊,請參閱 Azure DDoS 保護參考結構 (部分機器翻譯)。
我是否可以使用 DDoS 保護來保護 PaaS 資源?
目前不支援連結到多租用戶的公用 IP、單一 VIP PaaS 服務。 不支援資源的範例包括儲存體 VIP、事件中樞 VIP 和應用程式/雲端服務應用程式。 如需詳細資訊,請參閱 Azure DDoS 保護參考結構 (部分機器翻譯)。
我是否可以使用 DDoS 保護來保護內部部署資源?
您必須將服務的公用端點與 Azure 中的 VNet 建立關聯,才能啟用 DDoS 保護。 範例設計包括:
- Azure 中的網站 (IaaS) 和內部部署資料中心內的後端資料庫。
- Azure 中的應用程式閘道 (在應用程式閘道/WAF 上啟用的 DDoS 保護) 和內部部署資料中心啟用的網站。
如需詳細資訊,請參閱 Azure DDoS 保護參考結構 (部分機器翻譯)。
我是否可以在 Azure 外部註冊網域,並將其與 VM 或 ELB 等受保護的資源建立關聯?
在公用 IP 案例中,只要相關聯的公用 IP 裝載於 Azure 上,DDoS 保護服務就會支援任何應用程式,不論相關聯的網域是在何處註冊或裝載。
我是否可以手動設定套用至 Vnet/公用 IP 的 DDoS 原則?
否,很抱歉,目前不提供原則自訂。
我是否可以將特定 IP 位址列入允許清單/封鎖清單?
否,很抱歉,目前無法使用手動設定。
如何測試 DDoS 保護?
請參閱透過模擬測試。
在入口網站上載入計量需要多久時間?
在 5 分鐘內,應該會在入口網站上顯示計量。 如果您的資源受到攻擊,則會在 5-7 分鐘內,於入口網站上開始顯示其他計量。
服務是否會儲存客戶資料?
否,DDoS 保護不會儲存客戶資料。
支援公用 IP 背後的單一 VM 部署嗎?
支援在公用 IP 後面執行單一 VM 的案例,但不建議。 偵測到 DDoS 攻擊時,可能不會立即起始 DDoS 風險降低。 因此,在這類情況下,將會關閉無法擴增的單一 VM 部署。 如需詳細資訊,請參閱基礎最佳做法。