關於 Azure DDoS 保護層比較
本文中的各節將討論 Azure DDoS 保護的資源和設定。
階層
Azure DDoS 保護支援兩種階層類型,DDoS IP 保護與 DDoS 網路保護。 當您設定 Azure DDoS 保護時,階層會在工作流程期間於 Azure 入口網站 中設定。
下表顯示功能和對應的層級。
| 功能 | DDoS IP 保護 | DDoS 網路保護 |
|---|---|---|
| 作用中的流量監視和隨時偵測 | Yes | Yes |
| L3/L4 自動攻擊風險降低 | Yes | Yes |
| 自動降低攻擊風險 | Yes | Yes |
| 應用程式型風險降低原則 | Yes | Yes |
| 計量與警示 | Yes | Yes |
| 風險降低報告 | Yes | Yes |
| 風險降低流量記錄 | Yes | Yes |
| 針對客戶應用程式調整的風險降低原則 | Yes | Yes |
| 與防火牆管理員整合 | Yes | Yes |
| Microsoft Sentinel 數據連接器和活頁簿 | Yes | Yes |
| 在租使用者中跨訂用帳戶保護資源 | Yes | Yes |
| 公用IP標準層保護 | Yes | Yes |
| 公用IP基本層保護 | No | Yes |
| DDoS 快速回應支援 | 無法使用 | Yes |
| 成本保護 | 無法使用 | Yes |
| WAF 折扣 | 無法使用 | Yes |
| 價格 | 每個受保護的IP | 每 100 個受保護的 IP 位址 |
注意
Azure DDoS 基礎結構保護不需額外費用,可保護使用公用 IPv4 和 IPv6 位址的每個 Azure 服務。 此 DDoS 保護服務可協助保護所有 Azure 服務,包括平台即服務 (PaaS) 服務 (例如 Azure DNS)。 如需所支援 PaaS 服務的詳細資訊,請參閱 DDoS 保護參考架構。 Azure DDoS 基礎結構保護不需要使用者設定或應用程式變更。 Azure 提供持續保護來抵禦 DDoS 攻擊。 DDoS 保護不會儲存客戶資料。
限制
DDoS 網路保護和 DDoS IP 保護具有下列限制:
- PaaS 服務(多租使用者),其中包括 Power Apps Azure App 服務 環境、Azure API 管理 與虛擬網路整合的 APIM 以外的部署模式(如需詳細資訊,請參閱 https://techcommunity.microsoft.com/t5/azure-network-security-blog/azure-ddos-standard-protection-now-supports-apim-in-vnet/ba-p/3641671),目前不支援 Azure 虛擬 WAN。
- 不支援保護連結至 NAT 閘道的公用IP資源。
- 不支援傳統/RDFE 部署中的虛擬機。
- VPN 閘道或虛擬網路閘道受到 DDoS 原則的保護。 在這個階段不支援調適型調整。
- 部分支援:Azure DDoS 保護服務可以使用連結至其前端的公用IP位址前綴來保護公用負載平衡器。 其可有效地偵測及減輕 DDoS 攻擊。 不過,前綴範圍內受保護公用IP位址的遙測和記錄目前無法使用。
DDoS IP 保護類似於網路保護,但有下列額外限制:
- 不支援公用IP基本層保護。
注意
支援單一 VM 在公用 IP 後方執行的案例,但不建議這麼做。 如需詳細資訊,請參閱 基本最佳做法。
如需詳細資訊,請參閱 Azure DDoS 保護參考架構。
下一步
- Azure DDoS 保護功能 (部分機器翻譯)
- 參考架構