共用方式為

Azure Front Door 上的 DDoS 保護

  • 發行項

Azure Front Door 是一種 內容傳遞網路 (CDN),可藉由將流量分散到其全球 192 個邊緣存在點(POP),以協助保護您的來源免受 HTTP(S) DDoS 攻擊。 這些 POP 會使用 Azure 的大型私人 WAN,更快且更安全地將 Web 應用程式和服務傳遞給使用者。 Azure Front Door 包含第 3 層、4 層和 7 層 DDoS 保護和 Web 應用程式防火牆 (WAF),以保護您的應用程式免於常見的惡意探索和弱點。

基礎結構 DDoS 保護

Azure Front Door 受益於 預設的 Azure 基礎結構 DDoS 保護。 此保護會使用 Azure Front Door 網路的全球規模和容量,即時監視並減輕網路層攻擊。 它有一個經過證實的記錄,可保護Microsoft的企業和消費者服務免受大規模攻擊。

通訊協議封鎖

Azure Front Door 僅支援 HTTP 和 HTTPS 通訊協定,而且每個要求都需要有效的 Host 標頭。 此行為有助於防止常見的 DDoS 攻擊類型,例如使用各種通訊協定和埠的大量攻擊、DNS 放大攻擊,以及 TCP 中毒攻擊。

容量吸收

Azure Front Door 是一項大規模的全球分散式服務,可服務許多客戶,包括Microsoft自己的雲端產品,每秒處理數十萬個要求。 Azure Front Door 位於 Azure 網路邊緣,可以攔截和隔離大量攻擊,防止惡意流量超出 Azure 網路的邊緣。

快取功能

您可以使用 Azure Front Door 快取功能 ,保護您的後端免於遭受攻擊所產生的大量流量。 Azure Front Door 邊緣節點會傳回快取的資源,避免將它們轉送至後端。 即使是動態回應上的短快取到期時間 (秒或分),也可以大幅降低後端服務上的負載。 如需快取概念和模式的詳細資訊,請參閱快取考量另行快取模式

Web Application Firewall (WAF)

您可以使用 Azure Web 應用程式防火牆 (WAF) 來減輕不同類型的攻擊:

  • 受控規則集可保護您的應用程式免於許多常見的攻擊。 如需詳細資訊,請參閱受控規則
  • 封鎖或將來自特定地理區域的流量重新導向至靜態網頁。 如需詳細資訊,請參閱地區篩選
  • 封鎖識別為惡意的IP位址和範圍。 如需詳細資訊,請參閱 IP 限制
  • 套用速率限制以防止IP位址太頻繁地呼叫您的服務。 如需詳細資訊,請參閱速率限制
  • 建立 自定義 WAF 規則 ,以使用已知的簽章自動封鎖和速率限制 HTTP 或 HTTPS 攻擊。
  • Bot 保護受控規則集可保護您的應用程式免於已知的不良 Bot。 如需詳細資訊,請參閱設定 Bot 保護

如需 使用 Azure WAF 防範 DDoS 攻擊的指引,請參閱應用程式 DDoS 保護

保護 虛擬網絡 來源

在來源虛擬網路上啟用 Azure DDoS 保護 ,以保護公用 IP 免受 DDoS 攻擊。 此服務提供更多優點,例如成本保護、SLA 保證,以及存取 DDoS 快速回應小組,以取得攻擊期間的專家協助。

使用 Azure Private Link 來限制對 Azure Front Door 的存取,以增強 Azure 裝載來源的安全性。 這項功能會在 Azure Front Door 與應用程式伺服器之間建立專用網連線,而不需要向公用因特網公開您的來源。

下一步