Azure DDoS 保護的運作方式
檢閱過上一章之後,您發現 Contoso 可受益於 DDoS 保護服務透過基礎結構保護服務所提供的額外保護。 在此單元中,您會了解 DDoS 保護的功能及運作方式。
DDoS 保護的功能
如上一個單元中所述,比起基礎結構保護,Azure DDoS 保護可提供更多功能。
DDoS 保護
啟用 DDoS 保護時,第一個步驟是將虛擬網路或 IP 位址與 DDoS 保護產生關聯。 只有在虛擬網路上具有公用 IP 位址的服務才會受到保護。 例如,Azure 應用程式閘道中可提供的,並已針對第 7 層保護進行部署的 Azure Web 應用程式防火牆公用 IP 會受到保護。 在受保護的虛擬網路上使用非可路由 IP 位址的任何系統都不會包含在保護方案中。 這是客戶的權益,因為這些系統不是網際網路對向的,因此不會對其保護收費。
注意
為了簡化部署,您可以為組織設定 DDoS 網路保護,並將多個訂用帳戶的虛擬網路連結至相同的方案。
設定 DDoS 網路保護之後,您必須新增受保護的資源。 您可以使用使用者定義的 Azure 資源群組、管理群組或訂用帳戶,選取將取得 DDoS 保護的服務。 或者,您可以在單一 IP 位址上啟用 DDoS IP 保護。 如果需要保護的 IP 位址少於 100 個,或是您要在環境中測試 DDoS 保護,則這是個實用的方法。
您的 DDoS 原則會在啟用 DDoS 保護時產生。 此原則會套用機器學習演算法,並使用特定的網路流量監視,自動進行設定和最佳化。
DDoS 保護會監視網路流量,並持續與 DDoS 原則中定義的限制進行比較。 當流量超過上限時,會自動起始 DDoS 風險降低措施。 在風險降低期間,系統會將 DDoS 保護服務重新路由傳送至受保護資源的封包。 此流量會執行幾項檢查,以協助確保封包符合網際網路規格,且格式正確。 有效的 IP 流量會轉送到預期的服務。 DDoS 保護會將三個自動調整防護原則套用至每個與受保護資源相關聯的公用 IP 位址,分別為 TCP SYN、TCP 和 UDP。
當流量減少到小於適用的閾值時,就會暫停風險降低措施。 此保護不適用於 App Service 環境。
下圖描述通過 DDoS 保護的資料流程。
在下圖中,DDoS 網路保護會在具有與其相關聯之公用 IP 的 Azure (網際網路) 負載平衡器的虛擬網路上啟用。
在下圖中,DDoS IP 保護會在公用負載平衡器的前端公用 IP 位址上啟用。
Azure DDoS 保護適應性調整
每個 Azure 應用程式都有自己的流量模式,與人類指紋相同,這些流量模式是唯一的。 在 DDoS 保護中,此流程是偵測攻擊,然後停止攻擊。 DDoS 保護使用專屬的機器學習演算法,識別應用程式 (指紋) 的流量模式,並使用該模式來建立應用程式流量設定檔。
當此應用程式開始接收標準範圍之外的流量時,您的 DDoS 保護風險降低原則上限會提高,以支援可能是季節性的流量激增。
如果有人嘗試利用 DDoS 使用您的應用程式,流量會持續成長。 屆時,DDoS 保護會觸發警示,因為流量看起來像是異常。 系統會即時檢查應用程式的連入流量,以測試是否出現有效的封包。 系統會捨棄不正確的封包,因此不會影響應用程式的可用性和效能。
DDoS 保護計量
在上述範例中,在偵測到攻擊之後不久,DDoS 保護會使用 Azure 監視器計量和任何 DDoS 保護警示來傳送通知。 您應該使用在該攻擊期間所記錄的資料來分析攻擊。 您可以針對此目的使用 Microsoft Sentinel、合作夥伴 SIEM 工具、Azure 監視器記錄和其他診斷服務。 記錄資料會保留 30 天。
測試您的 DDoS 保護
測試與驗證對於了解在發生 DDoS 攻擊時系統將如何執行,至關重要。 Azure 客戶可以使用我們核准的測試合作夥伴,測試受保護服務在 DDoS 攻擊期間的效能:
- BreakingPoint Cloud:自助流量產生器,您的客戶可以對啟用 DDOS 保護的公用端點產生流量,以進行模擬。
- Red Button:與專門的專家小組合作,在受控制環境中模擬真實的 DDoS 攻擊案例。
- RedWolf 是搭配即時控制的自助式或引導式 DDoS 測試提供者。
您可以使用攻擊模擬器:
驗證您的金鑰服務在 DDoS 攻擊期間是否受到保護。
針對 DDoS 攻擊練習您的事件回應。
協助訓練您的安全性人員。
您可以藉由檢閱摘要單元中的參考連結,找到有關這些服務的詳細資訊。