Поделиться через

Защита от атак DDoS в Azure Front Door

  • Статья

Azure Front Door — это сеть доставки содержимого (CDN), которая помогает защитить источники от атак DDoS HTTP(S) путем распространения трафика по всему миру 192 пограничных точек присутствия .. Эти поставщики услуг используют большую частную глобальную сеть Azure для доставки веб-приложений и служб быстрее и безопаснее для конечных пользователей. Azure Front Door включает уровень 3, 4 и 7 защиты от атак DDoS и Брандмауэр веб-приложений (WAF) для защиты приложений от распространенных эксплойтов и уязвимостей.

Защита от атак DDoS инфраструктуры

Azure Front Door использует защиту от защиты от атак DDoS инфраструктуры Azure по умолчанию. Эта защита отслеживает и устраняет атаки сетевого слоя в режиме реального времени с помощью глобального масштаба и емкости сети Azure Front Door. Она имеет проверенный послужной список защиты корпоративных и потребительских служб Майкрософт от крупномасштабных атак.

Блокировка протокола

Azure Front Door поддерживает только протоколы HTTP и HTTPS и требует допустимого Host заголовка для каждого запроса. Это поведение помогает предотвратить распространенные типы атак DDoS, такие как объемные атаки, используя различные протоколы и порты, атаки с расширением DNS и атаки на отравление TCP.

Поглощение емкости

Azure Front Door — это масштабируемая глобально распределенная служба, которая обслуживает многих клиентов, включая собственные облачные продукты Майкрософт, которые обрабатывают сотни тысяч запросов в секунду. Расположенный на границе сети Azure, Azure Front Door может перехватывать и географически изолировать крупные атаки томов, предотвращая вредоносный трафик от достижения за пределами границы сети Azure.

Кэширование

Вы можете использовать возможности кэширования Azure Front Door, чтобы защитить серверные части от больших объемов трафика, созданных атакой. Пограничные узлы Azure Front Door возвращают кэшированные ресурсы, избегая переадресации их в серверную часть. Даже короткое время истечения срока действия кэша (секунды или минуты) в динамических ответах может значительно снизить нагрузку на внутренние службы. Дополнительные сведения о принципах кэширования и шаблонах см. в статье Рекомендации по кэшированию и Шаблон программирования отдельно от кэша.

Web Application Firewall (WAF)

Вы можете использовать Azure Брандмауэр веб-приложений (WAF) для устранения различных типов атак:

  • Управляемый набор правил защищает приложение от многих распространенных атак. Дополнительные сведения см. в разделе "Управляемые правила".
  • Блокировать или перенаправлять трафик из определенных географических регионов на статическую веб-страницу. Дополнительные сведения см. в статье Геофильтрация.
  • Блокировать IP-адреса и диапазоны, идентифицированные как вредоносные. Дополнительные сведения см. в разделе об ограничениях IP-адресов.
  • Примените ограничение скорости, чтобы предотвратить слишком частый вызов IP-адресов вашей службы. Дополнительные сведения см. в разделе "Ограничение скорости".
  • Создайте настраиваемые правила WAF для автоматического блокировки и ограничения скорости атак HTTP или HTTPS с известными сигнатурами.
  • Набор правил управляемого правила защиты бота защищает приложение от известных плохих ботов. Дополнительные сведения см. в разделе "Настройка защиты бота".

Сведения об использовании Azure WAF для защиты от атак DDoS см. в статье "Защита от атак DDoS приложения".

Защита источников виртуальная сеть

Включите защиту от атак DDoS Azure в исходной виртуальной сети, чтобы защитить общедоступные IP-адреса от атак DDoS. Эта служба предлагает дополнительные преимущества, такие как защита затрат, гарантия обслуживания и доступ к группе быстрого реагирования DDoS для помощи экспертов во время атаки.

Повышение безопасности размещенных в Azure источников с помощью Приватный канал Azure для ограничения доступа к Azure Front Door. Эта функция устанавливает частное сетевое подключение между Azure Front Door и серверами приложений, устраняя необходимость предоставления источников общедоступному Интернету.

Следующие шаги