Sdílet prostřednictvím

DDoS Protection ve službě Azure Front Door

  • Článek

Azure Front Door je síť pro doručování obsahu (CDN), která pomáhá chránit vaše původy před útoky DDoS http(S) tím, že distribuuje provoz přes 192 hraničních bodů přítomnosti (POPs) po celém světě. Tyto pops využívají velkou privátní síť WAN Azure k rychlejšímu a bezpečnějšímu doručování webových aplikací a služeb koncovým uživatelům. Azure Front Door zahrnuje ochranu před útoky DDoS vrstvy 3, 4 a 7 a firewall webových aplikací (WAF), které chrání vaše aplikace před běžným zneužitím a ohrožením zabezpečení.

Ochrana před útoky DDoS infrastruktury

Azure Front Door přináší výhody výchozí ochrany před útoky DDoS infrastruktury Azure. Tato ochrana monitoruje a snižuje útoky na síťovou vrstvu v reálném čase pomocí globálního škálování a kapacity sítě služby Azure Front Door. Má prověřený záznam o ochraně podnikových a spotřebitelských služeb Microsoftu před rozsáhlými útoky.

Blokování protokolu

Azure Front Door podporuje pouze protokoly HTTP a HTTPS a pro každý požadavek vyžaduje platnou Host hlavičku. Toto chování pomáhá předcházet běžným typům útoků DDoS, jako jsou útoky typu volumetric, pomocí různých protokolů a portů, útoků dns amplifikace a útoků typu otrava protokolem TCP.

Absorpční kapacita

Azure Front Door je rozsáhlá globálně distribuovaná služba, která obsluhuje mnoho zákazníků, včetně vlastních cloudových produktů Microsoftu, které zpracovávají stovky tisíc požadavků za sekundu. Azure Front Door umístěný na okraji sítě Azure dokáže zachytit a geograficky izolovat velké objemy útoků, což brání škodlivému provozu v dosažení přes okraj sítě Azure.

Ukládání do mezipaměti

Pomocí funkcí ukládání do mezipaměti služby Azure Front Door můžete chránit back-endy před velkými objemy přenosů generovanými útokem. Hraniční uzly služby Azure Front Door vrací prostředky uložené v mezipaměti a předávají je do back-endu. I krátká doba vypršení platnosti mezipaměti (v sekundách nebo minutách) u dynamických odpovědí může výrazně snížit zatížení vašich back-endových služeb. Další informace o konceptech a vzorech ukládání do mezipaměti najdete v tématu Aspekty ukládání do mezipaměti a model doplňování mezipaměti.

Web Application Firewall (WAF)

Ke zmírnění různých typů útoků můžete použít Azure Web Application Firewall (WAF ):

  • Sada spravovaných pravidel chrání vaši aplikaci před mnoha běžnými útoky. Další informace najdete v tématu Spravovaná pravidla.
  • Zablokujte nebo přesměrujte provoz z konkrétních geografických oblastí na statickou webovou stránku. Další informace najdete v tématu Geografické filtrování.
  • Blokovat IP adresy a rozsahy identifikované jako škodlivé. Další informace najdete v tématu Omezení IP adres.
  • Použijte omezení rychlosti, abyste zabránili příliš častému volání IP adres vaší služby. Další informace naleznete v tématu Omezování rychlosti.
  • Vytvořte vlastní pravidla WAF, která automaticky blokují a omezují útoky HTTP nebo HTTPS se známými podpisy.
  • Sada spravovaných pravidel ochrany robota chrání vaši aplikaci před známými špatnými roboty. Další informace najdete v tématu Konfigurace ochrany robota.

Pokyny k použití Azure WAF k ochraně před útoky DDoS v aplikacích najdete v tématu Ochrana před útoky DDoS.

Ochrana původu virtuální sítě

Povolte službu Azure DDoS Protection ve vaší původní virtuální síti, abyste ochránili vaše veřejné IP adresy před útoky DDoS. Tato služba nabízí další výhody, jako je ochrana nákladů, záruka SLA a přístup k týmu DDoS Rapid Response Team za účelem odborné pomoci během útoku.

Vylepšení zabezpečení původu hostovaných v Azure pomocí služby Azure Private Link za účelem omezení přístupu ke službě Azure Front Door. Tato funkce vytvoří privátní síťové připojení mezi Službou Azure Front Door a aplikačními servery a eliminuje nutnost zveřejnit vaše původy pro veřejný internet.

Další kroky