Udostępnij za pośrednictwem

Ochrona przed atakami DDoS w usłudze Azure Front Door

  • Artykuł

Usługa Azure Front Door to usługa Content Delivery Network (CDN), która pomaga chronić źródła przed atakami DDoS HTTP przez dystrybucję ruchu w 192 punktach obecności na całym świecie. Te dostawcy pops używają dużej prywatnej sieci WAN platformy Azure do szybszego i bezpieczniejszego dostarczania aplikacji internetowych i usług użytkownikom końcowym. Usługa Azure Front Door obejmuje ochronę przed atakami DDoS warstwy 3, 4 i 7 ataków DDoS oraz zaporę aplikacji internetowej w celu ochrony aplikacji przed typowymi lukami w zabezpieczeniach i lukami w zabezpieczeniach.

Ochrona przed atakami DDoS infrastruktury

Usługa Azure Front Door korzysta z domyślnej ochrony przed atakami DDoS infrastruktury platformy Azure. Ta ochrona monitoruje i ogranicza ataki warstwy sieciowej w czasie rzeczywistym przy użyciu globalnej skali i pojemności sieci usługi Azure Front Door. Jest to sprawdzony rekord ochrony przedsiębiorstwa i usług konsumenckich firmy Microsoft przed atakami na dużą skalę.

Blokowanie protokołu

Usługa Azure Front Door obsługuje tylko protokoły HTTP i HTTPS i wymaga prawidłowego Host nagłówka dla każdego żądania. To zachowanie pomaga zapobiegać typowym typom ataków DDoS, takim jak ataki wolumetryczne przy użyciu różnych protokołów i portów, ataków wzmacniania DNS i ataków zatrucia TCP.

Absorbcja pojemności

Azure Front Door to globalnie rozproszona usługa, która obsługuje wielu klientów, w tym własne produkty w chmurze firmy Microsoft, które obsługują setki tysięcy żądań na sekundę. Umieszczona na krawędzi sieci platformy Azure usługa Azure Front Door może przechwytywać i izolować geograficznie duże ataki, uniemożliwiając złośliwemu ruchowi dotarcie poza krawędź sieci platformy Azure.

Buforowanie

Za pomocą funkcji buforowania usługi Azure Front Door można chronić zaplecza przed dużymi ilościami ruchu generowanymi przez atak. Węzły brzegowe usługi Azure Front Door zwracają buforowane zasoby, unikając przekazywania ich do zaplecza. Nawet krótkie czasy wygaśnięcia pamięci podręcznej (w sekundach lub minutach) odpowiedzi dynamicznych mogą znacznie zmniejszyć obciążenie usług zaplecza. Aby uzyskać więcej informacji na temat pojęć i wzorców buforowania, zobacz Zagadnienia dotyczące buforowania i Wzorzec z odkładaniem do pamięci podręcznej.

Zapora aplikacji internetowej

Za pomocą zapory aplikacji internetowej platformy Azure można ograniczyć różne typy ataków:

  • Zestaw reguł zarządzanych chroni aplikację przed wieloma typowymi atakami. Aby uzyskać więcej informacji, zobacz Reguły zarządzane.
  • Blokowanie lub przekierowywanie ruchu z określonych regionów geograficznych do statycznej strony internetowej. Aby uzyskać więcej informacji, zobacz Filtrowanie geograficzne.
  • Blokuj adresy IP i zakresy zidentyfikowane jako złośliwe. Aby uzyskać więcej informacji, zobacz Ograniczenia adresów IP.
  • Zastosuj ograniczanie szybkości, aby zapobiec zbyt częstemu wywoływaniu usługi przez adresy IP. Aby uzyskać więcej informacji, zobacz Ograniczanie szybkości.
  • Utwórz niestandardowe reguły zapory aplikacji internetowej, aby automatycznie blokować i ograniczać liczbę ataków HTTP lub HTTPS ze znanymi podpisami.
  • Zestaw reguł zarządzanych przez ochronę botów chroni aplikację przed znanymi złymi botami. Aby uzyskać więcej informacji, zobacz Konfigurowanie ochrony bota.

Zapoznaj się z tematem Ochrona przed atakami DDoS aplikacji, aby uzyskać wskazówki dotyczące używania zapory aplikacji internetowej platformy Azure do ochrony przed atakami DDoS.

Ochrona źródeł sieci wirtualnej

Włącz usługę Azure DDoS Protection w sieci wirtualnej pochodzenia, aby chronić publiczne adresy IP przed atakami DDoS. Ta usługa oferuje więcej korzyści, takich jak ochrona kosztów, gwarancja UMOWY SLA i dostęp do zespołu DDoS Rapid Response Team w celu uzyskania pomocy ekspertów podczas ataku.

Zwiększ bezpieczeństwo źródeł hostowanych na platformie Azure przy użyciu usługi Azure Private Link , aby ograniczyć dostęp do usługi Azure Front Door. Ta funkcja ustanawia prywatne połączenie sieciowe między usługą Azure Front Door i serwerami aplikacji, eliminując konieczność uwidocznienia źródeł w publicznym Internecie.

Następne kroki