Share via


關於 Azure DDoS 保護層比較

本文中的各節將討論 Azure DDoS 保護的資源和設定。

階層

Azure DDoS 保護支援兩種階層類型,DDoS IP 保護與 DDoS 網路保護。 當您設定 Azure DDoS 保護時,階層會在工作流程期間於 Azure 入口網站 中設定。

下表顯示功能和對應的層級。

功能 DDoS IP 保護 DDoS 網路保護
作用中的流量監視和隨時偵測 Yes Yes
L3/L4 自動攻擊風險降低 Yes Yes
自動降低攻擊風險 Yes Yes
應用程式型風險降低原則 Yes Yes
計量與警示 Yes Yes
風險降低報告 Yes Yes
風險降低流量記錄 Yes Yes
針對客戶應用程式調整的風險降低原則 Yes Yes
與防火牆管理員整合 Yes Yes
Microsoft Sentinel 數據連接器和活頁簿 Yes Yes
在租使用者中跨訂用帳戶保護資源 Yes Yes
公用IP標準層保護 Yes Yes
公用IP基本層保護 No Yes
DDoS 快速回應支援 無法使用 Yes
成本保護 無法使用 Yes
WAF 折扣 無法使用 Yes
價格 每個受保護的IP 每 100 個受保護的 IP 位址

注意

Azure DDoS 基礎結構保護不需額外費用,可保護使用公用 IPv4 和 IPv6 位址的每個 Azure 服務。 此 DDoS 保護服務可協助保護所有 Azure 服務,包括平台即服務 (PaaS) 服務 (例如 Azure DNS)。 如需所支援 PaaS 服務的詳細資訊,請參閱 DDoS 保護參考架構。 Azure DDoS 基礎結構保護不需要使用者設定或應用程式變更。 Azure 提供持續保護來抵禦 DDoS 攻擊。 DDoS 保護不會儲存客戶資料。

限制

DDoS 網路保護和 DDoS IP 保護具有下列限制:

  • PaaS 服務(多租使用者),其中包括 Power Apps Azure App 服務 環境、Azure API 管理 與虛擬網路整合的 APIM 以外的部署模式(如需詳細資訊,請參閱 https://techcommunity.microsoft.com/t5/azure-network-security-blog/azure-ddos-standard-protection-now-supports-apim-in-vnet/ba-p/3641671),目前不支援 Azure 虛擬 WAN。
  • 不支援保護連結至 NAT 閘道的公用IP資源。
  • 不支援傳統/RDFE 部署中的虛擬機。
  • VPN 閘道或虛擬網路閘道受到 DDoS 原則的保護。 在這個階段不支援調適型調整。
  • 部分支援:Azure DDoS 保護服務可以使用連結至其前端的公用IP位址前綴來保護公用負載平衡器。 其可有效地偵測及減輕 DDoS 攻擊。 不過,前綴範圍內受保護公用IP位址的遙測和記錄目前無法使用。

DDoS IP 保護類似於網路保護,但有下列額外限制:

  • 不支援公用IP基本層保護。

注意

支援單一 VM 在公用 IP 後方執行的案例,但不建議這麼做。 如需詳細資訊,請參閱 基本最佳做法

如需詳細資訊,請參閱 Azure DDoS 保護參考架構

下一步