介绍 Azure DDoS 防护
任何公司(无论大小)都可能成为严重网络攻击的目标。 这些攻击发生的本质可能是为了发表声明,或者是因为攻击者想要挑战。
分布式拒绝服务攻击
分布式拒绝服务 (DDoS) 攻击的目的是让应用程序和服务器上的资源过载,令它们对真正的用户没有响应或反应缓慢。 DDoS 攻击通常以可通过 Internet 访问的面向公众的设备为目标。
DDoS 攻击最常见的三种类型是:
- 容量耗尽式攻击:这些是基于卷的攻击,用看似合法的流量填满网络层,占用可用的带宽。 合法流量无法通过。
- 协议攻击:协议攻击利用第 3 层(网络)和第 4 层(传输)协议中的弱点,通过错误的协议请求耗尽服务器资源,令目标变成不可访问的。
- 资源(应用程序)层攻击:这些攻击以 Web 应用程序数据包为目标来中断主机之间的数据传输。
什么是 Azure DDoS 防护?
Azure DDoS 防护服务旨在通过分析网络流量,并放弃看似 DDoS 攻击的任何内容,来帮助保护应用程序和服务器。
Azure DDoS 防护服务保护第 3 层(网络层)和第 4 层(传输层)。 提供的主要优势包括:
- 始终可用的流量监视:全天候监视应用程序流量模式,以寻找 DDoS 攻击的迹象。 一旦检测到攻击,Azure DDoS 防护会立即自动缓解攻击。 在缓解期间,DDoS 防护服务会重定向发送到受保护资源的流量,并会执行多个检查。 Azure DDoS 防护服务会丢弃攻击流量,并将剩余流量转发至其预期目标。 在检测到攻击的几分钟内,系统会使用 Azure Monitor 指标通知你。
- 自适应实时优化:智能流量分析了解一段时间的应用程序流量,并选择和更新最适合你的服务的配置文件。 当流量随时间变化时,配置文件将进行调整。
- DDoS 防护遥测、监视和警报:Azure DDoS 防护通过 Azure Monitor 公开丰富的遥测数据。 可以针对 DDoS 防护使用的任何 Azure Monitor 指标配置警报。 可将日志记录集成到 Azure 事件中心、Azure Monitor 日志和 Azure 存储,以通过 Azure Monitor 诊断界面进行高级分析。
Azure DDoS 防护支持两种层级类型:DDoS IP 保护和 DDoS 网络保护。 配置 Azure DDoS 防护时,会在 Azure 门户中配置层级。
- DDoS 网络保护:DDoS 网络保护服务(作为 SKU 提供)结合应用程序设计最佳做法,提供增强的 DDoS 缓解功能用于防范 DDoS 攻击。 这种防护自动经过优化,可帮助保护虚拟网络中的特定 Azure 资源。 可在任何新的或现有的虚拟网络上启用保护,且无需对应用程序或资源做出任何更改。
- DDoS IP 保护:DDoS IP 保护是一种按受保护 IP 进行计费的模型。 DDoS IP 保护包含的核心工程功能与 DDoS 网络保护相同,不同之处在于,它不包括 DDoS 快速响应支持、成本保护以及 Web 应用程序防火墙 (WAF) 折扣等增值服务,这些服务属于 DDoS 网络保护范畴。 有关功能和相应层的完整列表,请参阅关于 Azure DDoS 防护层比较
一个经常被提出的问题是,如果 Azure 上运行的服务本质上受到默认基础结构级 DDoS 防护的保护,为什么还要考虑添加 DDos 防护服务? 这是因为这种保护只保护阈值高于大多数应用程序的基础结构,提供处理功能,但不提供遥测或警报。 因此,尽管平台可能会认为流量是无害的,但流量可能会对接收它的应用程序造成毁灭性影响。 通过加入 Azure DDoS 防护服务,应用程序可获取专用监视,用于检测攻击和应用程序特定的阈值。 服务将通过调整到其预期流量的配置文件得到保护,从而更加严密地防御 DDoS 攻击。
如前所述,Azure DDos 防护只保护第 3 层和第 4 层。 对于第 7 层(应用程序层)的 Web 应用程序保护,需要使用 Web 应用程序防火墙 (WAF) 产品在应用层添加保护,如本模块的后续单元中所述。