你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

使用 Azure 防火墙管理器配置 Azure DDoS 保护计划

Azure 防火墙管理器是用于大规模管理和保护网络资源的平台。 可以在 Azure 防火墙管理器中将虚拟网络与 DDoS 防护计划相关联。

提示

DDoS 防护目前不支持虚拟 WAN。 但是,可以通过在关联了 DDoS 防护计划的虚拟网络中强制通过隧道向 Azure 防火墙发送 Internet 流量,来解决此限制。

在单一租户下,DDoS 防护计划可应用于跨多个订阅的虚拟网络。 有关 DDoS 防护计划的详细信息,请参阅 Azure DDoS 防护概述

若要了解此功能的工作原理,请创建一个防火墙策略,并创建一个使用 Azure 防火墙保护的虚拟网络。 然后,创建一个 DDoS 防护计划并将其与该虚拟网络相关联。

创建防火墙策略

使用防火墙管理器创建防火墙策略。

  1. Azure 门户中打开防火墙管理器。
  2. 选择“Azure 防火墙策略”。
  3. 选择“创建 Azure 防火墙策略”。
  4. 对于“资源组”,请选择“新建”并键入“DDoS-Test-rg”
  5. 在“策略详细信息”下的“名称”中,键入“fw-pol-01” 。
  6. 对于“区域”,请选择“美国西部 2” 。
  7. 选择“查看 + 创建”。
  8. 选择“创建”。

创建受保护的虚拟网络

使用防火墙管理器创建受保护的虚拟网络。

  1. 开启防火墙管理器。
  2. 选择“虚拟网络”。
  3. 选择“创建新的受保护虚拟网络”。
  4. 对于“资源组”,请选择“DDoS-Test-rg” 。
  5. 对于“区域”,请选择“美国西部 2” 。
  6. 对于“中心虚拟网络名称”,请键入“Hub-vnet-01” 。
  7. 对于“地址范围”,请键入“10.0.0.0/16” 。
  8. 选择“下一步: Azure 防火墙”。
  9. 对于“公共 IP 地址”,请选择“新建”并键入“fw-pip”作为名称,然后选择“确定” 。
  10. 对于“防火墙子网地址空间”,请键入“10.0.0.0/24” 。
  11. 对于“Azure 防火墙层”,请选择“高级”
  12. 对“防火墙策略”选择“registry.pol-01” 。
  13. 选择“下一步: 查看 + 创建”。
  14. 选择“创建”。

创建 DDoS 防护计划

使用防火墙管理器创建 DDoS 防护计划。 可以使用“DDoS 防护计划”页来创建和管理 Azure DDoS 防护计划。

防火墙管理器“DDoS 防护计划”页的屏幕截图

  1. 开启防火墙管理器。
  2. 选择“DDoS 防护计划”。
  3. 选择创建
  4. 对于“资源组”,请选择“DDos-Test-rg”
  5. 在“实例详细信息”下的“名称”中,键入“DDoS-plan-01” 。
  6. 对于“区域”,请选择“美国西部 2” 。
  7. 选择“查看 + 创建”。
  8. 选择“创建”。

关联 DDoS 防护计划

现在,可以将 DDoS 防护计划与受保护的虚拟网络相关联。

  1. 开启防火墙管理器。
  2. 选择“虚拟网络”。
  3. 选中“Hub-vnet-01”对应的复选框。
  4. 选择“管理安全性”、“管理 DDoS 防护计划”
  5. 对于“DDoS 防护计划标准版”,请选择“启用”
  6. 对于“DDoS 防护计划”,请选择“DDoS-plan-01” 。
  7. 选择“保存”。
  8. 部署完成时,选择“刷新”。

现在应会看到虚拟网络具有一个关联的 DDoS 防护计划。

显示具有 DDoS 防护计划的虚拟网络的屏幕截图

后续步骤