描述 Azure DDoS 保護
任何公司,無論大小,都可能成為嚴重的網路攻擊的目標。 這些攻擊的本質可能是要發表聲明,或只是因為攻擊者想要挑戰。
分散式阻斷服務攻擊
分散式阻斷服務 (DDoS) 攻擊的目標是使應用程式和伺服器上的資源負荷過重,讓實際使用者遭遇沒有回應或變慢的情況。 DDoS 攻擊通常會以可透過網際網路存取的任何公用裝置為目標。
其中三種最常見的 DDoS 攻擊類型是:
- 容量攻擊: 這些是磁碟區式攻擊,它會以看似合法的流量淹沒網路層,使頻寬負荷過重。 合法的流量無法通過。
- 通訊協定攻擊:通訊協定攻擊會將耗盡伺服器資源而無法存取的目標轉譯為錯誤的通訊協定要求,以惡意探索第 3 層 (網路) 和第 4 層 (傳輸) 通訊協定的弱點。
- 資源 (應用程式) 層攻擊:這些攻擊會鎖定 Web 應用程式封包,以中斷主機之間的資料傳輸。
Azure DDoS 保護是什麼?
Azure DDoS 保護服務的設計目的是要協助保護您的應用程式和伺服器,方法是分析網路流量,並捨棄看似 DDoS 攻擊的任何事物。
Azure DDoS 保護服務會保護第 3 層 (網路層) 和第 4 層 (傳輸層)。 提供的金鑰優點包含:
- Always On 流量監視: 一週 7 天每天 24 小時監視應用程式流量模式,以尋找 DDoS 攻擊的指標。 一旦偵測到攻擊,Azure DDoS 保護會立即且自動地減緩攻擊。 作為緩和措施的一部份,DDoS 保護服務會重新導向送往受保護資源的流量,並執行數個檢查。 Azure DDoS 保護會捨棄攻擊流量並將剩餘流量轉送至其預定目的地。 在偵測到攻擊的幾分鐘內,系統會使用 Azure 監視器計量通知您。
- 自適性即時調整: 智慧型流量分析功能可了解不同時間的應用程式流量,並選取及更新最適合您服務的設定檔。 設定檔會隨著流量因時間的改變而調整。
- DDoS 保護遙測、監視和警示: Azure DDoS 保護會透過 Azure 監視器公開豐富的遙測。 您可以針對 DDoS 保護所使用的任何 Azure 監視器計量設定警示。 您可以將記錄功能與 Azure 事件中樞、Azure 監視器記錄和 Azure 儲存體整合,以透過 Azure 監視器診斷介面進行進階分析。
Azure DDoS 保護支援兩種階層類型,DDoS IP 保護與 DDoS 網路保護。 當您設定 Azure DDoS 保護時,階層會在 Azure 入口網站中進行設定。
- DDoS 網路保護:DDoS 網路保護服務 (以 SKU 提供使用) 結合應用程式設計最佳做法,提供了增強的 DDoS 風險降低功能來防禦 DDoS 攻擊。 可自動調整以保護虛擬網路中的特定 Azure 資源。 只需在任何新的或現有的虛擬網路上啟用保護,而不需進行任何應用程式或資源變更。
- DDoS IP 保護:DDoS IP 保護是依每個保護的 IP 模型付費。 DDoS IP 保護包含與 DDoS 網路保護相同的核心工程功能,但不同之處在于不包含例如 DDoS 快速回應支援、成本保護和 Web 應用程式防火牆 (WAF) 的折扣,這些屬於 DDoS 網路保護一部分的加值服務。 如需功能和對應層的完整清單,請參閱 關於 Azure DDoS 保護層比較
經常有人提出的一個常見問題是,如果在 Azure 上運行的服務本質上受到預設基礎設施層級 DDoS 保護,為什麼要考慮新增 DDoS 保護服務? 原因是保護基礎結構的保護閾值高於大部分應用程式可處理的容量,而且不會提供遙測或警示。 因此,雖然平臺可能會將流量視為無傷害,但它可能對接收它的應用程式造成破壞性影響。 上線至 Azure DDoS 保護服務後,應用程式即可取得專用監視功能,來偵測攻擊和應用程式特定閾值。 會透過根據預期流量而調整的設定檔來保護服務,進而提供對 DDoS 攻擊的更嚴密防禦。
如先前所述,Azure DDos 保護會在第 3 層和第 4 層保護。 針對應用層第 7 層 (Web 應用程式保護),您必須使用本課程模組後續單元中所述的 Web 應用程式防火牆 (WAF) 供應項目,在應用層新增保護。