關於 Azure DDoS 保護層比較
本文中的各節將討論 Azure DDoS 保護的資源和設定。
階層
Azure DDoS 保護支援兩種階層類型,DDoS IP 保護與 DDoS 網路保護。 當您設定 Azure DDoS 保護時,階層會在工作流程期間於 Azure 入口網站中進行設定。
下表顯示功能和對應的階層。
| 功能 | DDoS IP 保護 | DDoS 網路保護 |
|---|---|---|
| 作用中的流量監視和隨時偵測 | Yes | Yes |
| L3/L4 自動攻擊風險降低 | Yes | Yes |
| 自動降低攻擊風險 | Yes | Yes |
| 以應用程式為基礎的風險降低原則 | Yes | Yes |
| 計量與警示 | Yes | Yes |
| 風險降低報告 | Yes | Yes |
| 風險降低流量記錄 | Yes | Yes |
| 為客戶應用程式量身打造的風險降低原則 | Yes | Yes |
| 與防火牆管理員整合 | Yes | Yes |
| Microsoft Sentinel 資料連接器與活頁簿 | Yes | Yes |
| 保護租用戶中跨訂用帳戶的資源 | Yes | Yes |
| 公用 IP 標準層保護 | Yes | Yes |
| 公用 IP 基本層保護 | No | Yes |
| DDoS 快速回應支援 | 無法使用 | Yes |
| 成本保護 | 無法使用 | Yes |
| WAF 折扣 | 無法使用 | Yes |
| 價格 | 每個受保護的 IP | 每 100 個受保護的 IP 位址 |
注意
「Azure DDoS 基礎結構保護」無需額外的費用,它會保護使用公用 IPv4 和 IPv6 位址的每一個 Azure 服務。 此 DDoS 保護服務可協助保護所有 Azure 服務,包括平台即服務 (PaaS) 服務 (例如 Azure DNS)。 如需支援 PaaS 服務的詳細資訊,請參閱 DDoS 保護參考架構。 「Azure DDoS 基礎結構保護」不需要進行任何的使用者設定或應用程式變更。 Azure 提供持續保護來抵禦 DDoS 攻擊。 DDoS 保護不會儲存客戶資料。
限制
DDoS 網路保護和 DDoS IP 保護具有下列限制:
- 目前不支援 PaaS 服務 (多租用戶),這些不支援的服務包括適用於 Power Apps 的 Azure App Service 環境、除了使用虛擬網路整合之 APIM 以外的部署模式中 Azure API 管理 (如需詳細資訊,請參閱 https://techcommunity.microsoft.com/t5/azure-network-security-blog/azure-ddos-standard-protection-now-supports-apim-in-vnet/ba-p/3641671),以及 Azure Virtual WAN。
- 不支援保護連結至 NAT 閘道的公用 IP 資源。
- 不支援傳統/RDFE 部署中的虛擬機器。
- VPN 閘道或虛擬網路閘道受到 DDoS 原則的保護。 本階段不支援調適型微調。
- 部分支援:Azure DDoS 保護服務可透過連結至其前端的公用 IP 位址前置詞來保護公用負載平衡器。 其可有效地偵測及減輕 DDoS 攻擊。 不過,在前置詞範圍內受保護公用 IP 位址的遙測和記錄目前無法使用。
DDoS IP 保護類似於網路保護,但有下列額外限制:
- 不支援公用 IP 基本層保護。
注意
支援在公用 IP 後面執行單一 VM 的情節,但不建議。 如需詳細資訊,請參閱基礎最佳做法。
如需詳細資訊,請參閱 Azure DDoS 保護參考結構 (部分機器翻譯)。
下一步
- Azure DDoS 保護功能 (部分機器翻譯)
- 參考架構
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應