Informationen zum Vergleich der Azure DDoS Protection-Tarife
In den Abschnitten in diesem Artikel werden die Ressourcen und Einstellungen für Azure DDoS Protection erläutert.
Ebenen
Azure DDoS Protection unterstützt zwei Tariftypen, DDoS-IP-Schutz und DDoS-Netzwerkschutz. Der Tarif wird während des Workflows im Azure-Portal konfiguriert, wenn Sie Azure DDoS Protection konfigurieren.
Die folgende Tabelle enthält die Features der entsprechenden Tarife.
Funktion | DDoS-IP-Schutz | DDoS-Netzwerkschutz |
---|---|---|
Aktive Überwachung des Datenverkehrs und Always On-Erkennung | Ja | Ja |
L3/L4 Automatische Angriffsentschärfung | Ja | Ja |
Automatische Angriffsentschärfung | Ja | Ja |
Anwendungsbasierte Entschärfungsrichtlinien | Ja | Ja |
Metriken und Warnungen | Ja | Ja |
Risikominderungsberichte | Ja | Ja |
Protokolle des Risikominderungsflusses | Ja | Ja |
Auf die Kundenanwendung abgestimmte Entschärfungsrichtlinien | Ja | Ja |
Integration mit Firewall Manager | Ja | Ja |
Microsoft Sentinel-Datenconnector und Arbeitsmappe | Ja | Ja |
Schutz von Ressourcen über Abonnements in einem Mandanten hinweg | Ja | Ja |
Schutz für öffentliche IP-Adressen – Tarif „Standard“ | Ja | Ja |
Schutz für öffentliche IP-Adressen – Tarif „Basic“ | Nein | Ja |
Unterstützung von DDoS Rapid Response | Nicht verfügbar | Ja |
Kostenschutz | Nicht verfügbar | Ja |
WAF-Rabatt | Nicht verfügbar | Ja |
Preis | Pro geschützte IP | Pro 100 geschützte IP-Adressen |
Hinweis
Ohne zusätzliche Kosten schützt Azure DDoS-Infrastrukturschutz jeden Azure-Dienst, der öffentliche IPv4- und IPv6-Adressen verwendet. Dieser DDoS Protection-Dienst schützt alle Azure-Dienste, einschließlich PaaS-Dienste (Platform-as-a-Service) wie Azure DNS. Weitere Informationen zu unterstützten PaaS-Diensten finden Sie unter DDoS Protection-Referenzarchitekturen. Der Azure DDoS-Infrastrukturschutz erfordert keine Konfiguration oder Anwendungsänderungen durch den Benutzer. Azure bietet dauerhaften Schutz gegen DDoS-Angriffe. DDoS Protection speichert keine Kundendaten.
Einschränkungen
DDoS-Netzwerkschutz und DDoS-IP-Schutz haben die folgenden Einschränkungen:
- PaaS-Dienste (mit mehreren Mandanten), die Azure App Service-Umgebung für Power Apps, Azure API Management in anderen als den Bereitstellungsmodus für APIM mit VM-Integration, und Azure Virtual WAN umfassen, werden derzeit nicht unterstützt. Weitere Informationen finden Sie unter Azure DDoS Protection APIM in der VNET-Integration.
- Der Schutz einer öffentlichen IP-Ressource, die an ein NAT Gateway angefügt ist, wird nicht unterstützt.
- Virtuelle Maschinen in klassischen/RDFE-Bereitstellungen werden nicht unterstützt.
- VPN-Gateway oder Gateway für virtuelle Netzwerke wird durch eine DDoS-Richtlinie geschützt. Die adaptive Optimierung wird in dieser Phase nicht unterstützt.
- Der Schutz für das Präfix einer öffentlichen IP-Adresse, die mit dem Frontend eines öffentlichen Lastenausgleichs verknüpft ist, wird in der Netzwerkschutz-SKU von Azure DDoS unterstützt.
- DDoS-Telemetrie für einzelne Instanzen virtueller Computer in Virtual Machine Scale Sets ist im flexiblen Orchestrierungsmodus verfügbar.
DDoS IP-Schutz ähnelt dem Netzwerkschutz, weist jedoch die folgende zusätzliche Einschränkung auf:
- Basic-Tarif-Schutz für öffentliche IP-Adressen wird nicht unterstützt.
Hinweis
Szenarien, in denen eine einzelne VM mit einer öffentlichen IP-Adresse ausgeführt wird, werden unterstützt, aber nicht empfohlen. Weitere Informationen finden Sie unter Grundlegende bewährte Methoden.
Weitere Informationen finden Sie unter Azure DDoS Protection – Referenzarchitekturen.