使用 Azure 门户部署 Azure DDoS 防护

拒绝服务攻击 (Dos) 是一种旨在阻止访问服务或系统的攻击。 DoS 攻击源自一个位置。 分布式拒绝服务 (DDoS) 攻击源自多个网络和系统。

DDoS 攻击是客户将应用程序迁移到云中面临的安全问题之一。 DDoS 攻击会尝试耗尽 API 或应用程序的资源，导致合法用户无法使用该应用程序。 DDoS 攻击可能会将任何可通过 Internet 公开访问的终结点作为目标。

Azure DDoS 防护 可保护虚拟网络中的资源。 保护包括虚拟机公共 IP 地址、负载均衡器和应用程序网关。 与应用程序网关 WAF 结合使用时，DDoS 防护可以提供完整的第 3 层到第 7 层缓解功能。

DDoS 攻击类型

DDoS 防护可缓解以下类型的攻击。

• 容量耗尽攻击。 这些攻击通过大量看似合法的流量来淹没网络层。 其中包括 UDP 洪水、放大洪水以及其他欺骗性数据包洪水。

• 协议攻击。 这些攻击通过利用第 3 层和第 4 层协议堆栈中的漏洞，使目标无法访问。 攻击包括 SYN 淹没攻击、反射攻击和其他协议攻击。

• 资源（应用程序）层攻击。 这些攻击针对 Web 应用程序数据包以中断主机之间的数据传输。 攻击包括违反 HTTP 协议、SQL 注入、跨站脚本攻击和其他第 7 层攻击。

DDoS 实现级别

Azure DDoS 防护提供两个层：DDoS IP 保护和 DDoS 网络保护。 这两个等级都提供主动流量监控、全天候检测和自动攻击缓解。 这些层包括基于应用程序的缓解策略、指标和警报、缓解报告以及与防火墙管理器的集成。 每个层旨在满足不同的需求和方案。

• DDoS IP 防护。 此层适用于保护单个公共 IP 地址。 它非常适合以下方案：要保护的公共 IP 资源少于 15 个。

• DDoS 网络保护。 此层提供更多优势，例如快速响应支持和成本保护。 如果具有大于 15 个公共 IP 地址的部署，则选择此层。

Azure DDoS 防护功能

一些 Azure DDoS 防护功能包括：

• 本机平台集成。 本机集成到 Azure 并通过门户进行配置。

• 交钥匙保护。 可立即保护所有资源的简化配置。

• 始终可用的流量监控。 全天候监视应用程序流量模式，以寻找 DDoS 攻击的迹象。

• 自适应优化。 分析并调整以适应你的服务流量。

• 攻击分析。 在攻击期间以五分钟为增量获取详细报告，并在攻击结束后获取完整摘要。

• 攻击指标和警报。 可以通过 Azure Monitor 访问每个攻击的汇总指标。 可以使用内置攻击指标在攻击开始和停止时以及攻击持续期间配置警报。

• 多层保护。 使用 WAF 进行部署时，DDoS 防护可同时在网络层和应用程序层提供保护。