Azure Front Door 上的 DDoS 保護
Azure Front Door 是一種 內容傳遞網路 (CDN),可藉由將流量分散到其全球 192 個邊緣存在點(POP),以協助保護您的來源免受 HTTP(S) DDoS 攻擊。 這些 POP 會使用 Azure 的大型私人 WAN,更快且更安全地將 Web 應用程式和服務傳遞給使用者。 Azure Front Door 包含第 3 層、4 層和 7 層 DDoS 保護和 Web 應用程式防火牆 (WAF),以保護您的應用程式免於常見的惡意探索和弱點。
Azure Front Door 受益於 預設的 Azure 基礎結構 DDoS 保護。 此保護會使用 Azure Front Door 網路的全球規模和容量,即時監視並減輕網路層攻擊。 它有一個經過證實的記錄,可保護Microsoft的企業和消費者服務免受大規模攻擊。
Azure Front Door 僅支援 HTTP 和 HTTPS 通訊協定,而且每個要求都需要有效的 Host
標頭。 此行為有助於防止常見的 DDoS 攻擊類型,例如使用各種通訊協定和埠的大量攻擊、DNS 放大攻擊,以及 TCP 中毒攻擊。
Azure Front Door 是一項大規模的全球分散式服務,可服務許多客戶,包括Microsoft自己的雲端產品,每秒處理數十萬個要求。 Azure Front Door 位於 Azure 網路邊緣,可以攔截和隔離大量攻擊,防止惡意流量超出 Azure 網路的邊緣。
您可以使用 Azure Front Door 快取功能 ,保護您的後端免於遭受攻擊所產生的大量流量。 Azure Front Door 邊緣節點會傳回快取的資源,避免將它們轉送至後端。 即使是動態回應上的短快取到期時間 (秒或分),也可以大幅降低後端服務上的負載。 如需快取概念和模式的詳細資訊,請參閱快取考量和另行快取模式。
您可以使用 Azure Web 應用程式防火牆 (WAF) 來減輕不同類型的攻擊:
- 受控規則集可保護您的應用程式免於許多常見的攻擊。 如需詳細資訊,請參閱受控規則。
- 封鎖或將來自特定地理區域的流量重新導向至靜態網頁。 如需詳細資訊,請參閱地區篩選。
- 封鎖識別為惡意的IP位址和範圍。 如需詳細資訊,請參閱 IP 限制。
- 套用速率限制以防止IP位址太頻繁地呼叫您的服務。 如需詳細資訊,請參閱速率限制。
- 建立 自定義 WAF 規則 ,以使用已知的簽章自動封鎖和速率限制 HTTP 或 HTTPS 攻擊。
- Bot 保護受控規則集可保護您的應用程式免於已知的不良 Bot。 如需詳細資訊,請參閱設定 Bot 保護。
如需 使用 Azure WAF 防範 DDoS 攻擊的指引,請參閱應用程式 DDoS 保護 。
在來源虛擬網路上啟用 Azure DDoS 保護 ,以保護公用 IP 免受 DDoS 攻擊。 此服務提供更多優點,例如成本保護、SLA 保證,以及存取 DDoS 快速回應小組,以取得攻擊期間的專家協助。
使用 Azure Private Link 來限制對 Azure Front Door 的存取,以增強 Azure 裝載來源的安全性。 這項功能會在 Azure Front Door 與應用程式伺服器之間建立專用網連線,而不需要向公用因特網公開您的來源。
- 設定 Azure Front Door 的 WAF 原則。
- 建立 Azure Front Door 設定檔。
- 瞭解 Azure Front Door 的運作方式。