你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Azure Front Door 上的 DDoS 防护
Azure Front Door 是一种内容分发网络 (CDN),通过在全球 192 个边缘接入点 (POP) 中分发流量,帮助保护源免受 HTTP(S) DDoS 攻击。 这些 POP 使用 Azure 的大型专用 WAN 更快、更安全地向最终用户提供 Web 应用程序和服务。 Azure Front Door 还包括第 3 层、4 层和 7 层 DDoS 防护和 Web 应用程序防火墙 (WAF),可保护应用程序免受常见攻击和漏洞的伤害。
基础结构 DDoS 防护
Azure Front Door 获益于默认 Azure 基础结构 DDoS 防护。 此防护使用 Azure Front Door 网络的全球缩放和容量实时监视和缓解网络层攻击。 它提供了有效的跟踪记录,用于保护 Microsoft 的企业和消费者服务免受大规模攻击。
协议阻止
Azure Front Door 仅支持 HTTP 和 HTTPS 协议,并且要求每个请求都具有有效的 Host
标头。 此行为有助于阻止常见的 DDoS 攻击类型,例如使用各种协议和端口的容量耗尽攻击、DNS 放大攻击和 TCP 中毒攻击。
容量吸收
Azure Front Door 是一项大规模的全球分布式服务,为许多客户提供服务,包括 Microsoft 自己的云产品,每秒可处理数十万个请求。 Azure Front Door 位于 Azure 网络的边缘,可以拦截和在地理上隔离大容量攻击,防止恶意流量超出 Azure 网络的边缘。
缓存
可以使用 Azure Front Door 缓存功能保护后端避开攻击生成的大规模流量。 Azure Front Door 边缘节点会返回缓存的资源,从而避免将它们转发到后端。 即使动态响应的缓存过期时间很短(几秒或几分钟),也可以大幅减少后端服务上的负载。 有关缓存概念和模式的详细信息,请参阅缓存注意事项和缓存端模式。
Web 应用程序防火墙 (WAF)
可以使用 Azure Web 应用程序防火墙 (WAF) 缓解各种类型的攻击:
- 托管规则集可保护应用程序免受许多常见攻击。 有关详细信息,请参阅托管规则。
- 阻止来自特定地理区域的流量或将其重定向到静态网页。 有关详细信息,请参阅地区筛选。
- 阻止标识为恶意的 IP 地址和范围。 有关详细信息,请参阅 IP 限制。
- 应用速率限制以防止 IP 地址过于频繁地调用服务。 有关详细信息,请参阅速率限制。
- 创建自定义 WAF 规则来自动阻止具有已知签名的 HTTP 或 HTTPS 攻击并对这些攻击进行速率限制。
- 机器人防护托管规则集可针对已知的恶意机器人为应用程序提供保护。 有关详细信息,请参阅配置机器人防护。
有关使用 Azure WAF 防范 DDoS 攻击的指导,请参阅应用程序 DDoS 防护。
保护虚拟网络源
在你的源虚拟网络上启用 Azure DDoS 防护,以保护公共 IP 免受 DDoS 攻击。 此服务提供了更多好处,例如成本保护、SLA 保证,并且可以在攻击期间联系 DDoS 快速响应团队以获得专家协助。
专用链接
通过使用 Azure 专用链接限制对 Azure Front Door 的访问,增强 Azure 托管源的安全性。 此功能支持 Azure Front Door 与应用程序服务器之间的专用网络连接,无需向公共 Internet 公开源。