Front Door 上的 DDoS 保護

Azure Front Door 是內容傳遞網路 (CDN)，可透過將流量散發到其全球 192 個邊緣 POP，協助您保護來源免於 HTTP(S) DDoS 攻擊。 這些 POP 會使用我們的大型私人 WAN，更快且更安全地將 Web 應用程式和服務傳遞給終端使用者。 Azure Front Door 也包含第 3 層、第 4 層和第 7 層 DDoS 保護和 Web 應用程式防火牆 (WAF)，以協助保護您的應用程式免於常見的惡意探索和弱點。

基礎結構 DDoS 保護

Azure Front Door 受益於預設的 Azure 基礎結構 DDoS 保護。 此保護會使用 Front Door 網路的全球規模和容量，即時監視並減輕網路層攻擊。 此保護也有經實證的追蹤記錄，可防護 Microsoft 的企業和消費者服務免於大規模攻擊。

通訊協定封鎖

Azure Front Door 僅支援 HTTP 和 HTTPS 通訊協定，而且每個要求都需要有效的「主機」標頭。 此行為有助於防止一些常見的 DDoS 攻擊類型，例如使用各種通訊協定和連接埠的大量攻擊、DNS 放大攻擊，以及 TCP 破壞攻擊。

容量吸收

Azure Front Door 是大規模且全球散發的服務。 它為許多客戶提供服務，包括每秒可處理數十萬個要求的 Microsoft 自有雲端產品。 Front Door 位於 Azure 網路的邊緣，可在其中攔截和隔離大量攻擊。 因此，Front Door 可防止惡意流量超出 Azure 網路的邊緣。

快取功能

您可以使用 Front Door 的快取功能來保護後端免於攻擊所產生的大量流量。 Front Door 邊緣節點會傳回快取的資源，並避免將它們轉送至後端。 即使是動態回應上的短快取到期時間 (秒或分)，也可以大幅降低後端服務上的負載。 如需快取概念和模式的詳細資訊，請參閱快取考量和另行快取模式。

Web Application Firewall (WAF)

您可以使用 Front Door 的 Web 應用程式防火牆 (WAF) 來緩解許多不同類型的攻擊：

• 受控規則集可保護您的應用程式免於許多常見的攻擊。 如需詳細資訊，請參閱受控規則。
• 您可以將來自特定地理區域外部或內部的流量封鎖或重新導向至靜態網頁。 如需詳細資訊，請參閱地區篩選。
• 您可以將發現為惡意的 IP 位址和範圍封鎖。 如需詳細資訊，請參閱 IP 限制。
• 您可以套用速率限制，以防止 IP 位址太頻繁地呼叫您的服務。 如需詳細資訊，請參閱速率限制。
• 您可以建立自訂 WAF 規則以自動封鎖具有已知特徵標記的 HTTP 或 HTTPS 攻擊並限制其速率。
• Bot 保護受控規則集可保護您的應用程式免於已知的不良 Bot。 如需詳細資訊，請參閱設定 Bot 保護。

如需如何使用 Azure WAF 防範 DDoS 攻擊的指導，請參閱應用程式 DDoS 保護。

保護虛擬網路來源

若要保護您的公用 IP 免受 DDoS 攻擊，請在來源虛擬網路上啟用 Azure DDoS 保護。 DDoS 保護客戶可以獲得額外的權益，包括成本保護、SLA 保證，以及連絡 DDoS 快速回應小組專家的管道，以在攻擊期間取得立即協助。

Private Link

透過 Azure Private Link 限制其對 Azure Front Door 的存取，以增強 Azure 裝載來源的安全性。 此功能可讓您在 Azure Front Door 與應用程式伺服器之間建立私人網路連線，而不需要向公用網際網路公開您的來源。

下一步

• 了解如何設定適用於 Azure Front Door 的 WAF 原則。
• 了解如何建立 Azure Front Door 設定檔。
• 了解 Azure Front Door 的運作方式。