Dela via

DDoS Protection på Azure Front Door

  • Artikel

Azure Front Door är ett CDN (Content Delivery Network) som hjälper dig att skydda ditt ursprung från HTTP(S) DDoS-attacker genom att distribuera trafik över 192 edge Points of Presence (POPs) över hela världen. Dessa IP-adresser använder Azures stora privata WAN för att leverera dina webbprogram och tjänster snabbare och säkrare till slutanvändarna. Azure Front Door innehåller layer 3, 4 och 7 DDoS-skydd och en brandvägg för webbprogram (WAF) för att skydda dina program mot vanliga sårbarheter och sårbarheter.

DDoS-skydd för infrastruktur

Azure Front Door drar nytta av standardskyddet för Azure-infrastrukturen DDoS. Det här skyddet övervakar och minimerar attacker på nätverksnivå i realtid med hjälp av den globala skalan och kapaciteten i Azure Front Door-nätverket. Det har en dokumenterad erfarenhet av att skydda Microsofts företags- och konsumenttjänster från storskaliga attacker.

Protokollblockering

Azure Front Door stöder endast HTTP- och HTTPS-protokoll och kräver ett giltigt Host huvud för varje begäran. Det här beteendet hjälper till att förhindra vanliga DDoS-attacktyper, till exempel volymattacker med hjälp av olika protokoll och portar, DNS-förstärkningsattacker och TCP-förgiftningsattacker.

Kapacitetsabsorption

Azure Front Door är en storskalig, globalt distribuerad tjänst som betjänar många kunder, inklusive Microsofts egna molnprodukter, som hanterar hundratusentals begäranden per sekund. Azure Front Door är placerat i utkanten av Azures nätverk och kan fånga upp och geografiskt isolera stora volymattacker, vilket förhindrar att skadlig trafik når utanför Gränsen för Azure-nätverket.

Cachelagring

Du kan använda cachelagringsfunktioner i Azure Front Door för att skydda dina serverdelar från stora trafikvolymer som genereras av en attack. Azure Front Door-kantnoder returnerar cachelagrade resurser och undviker att vidarebefordra dem till serverdelen. Även korta förfallotider för cacheminnet (sekunder eller minuter) för dynamiska svar kan avsevärt minska belastningen på serverdelstjänsterna. Mer information om cachelagringsbegrepp och mönster finns i Cachelagringsöverväganden och Cache-aside-mönster.

Brandvägg för webbaserade program (WAF)

Du kan använda Azure Web Application Firewall (WAF) för att minimera olika typer av attacker:

  • Den hanterade regeluppsättningen skyddar ditt program från många vanliga attacker. Mer information finns i Hanterade regler.
  • Blockera eller omdirigera trafik från specifika geografiska regioner till en statisk webbsida. Mer information finns i Geo-filtrering.
  • Blockera IP-adresser och intervall som identifierats som skadliga. Mer information finns i IP-begränsningar.
  • Använd hastighetsbegränsning för att förhindra att IP-adresser anropar tjänsten för ofta. Mer information finns i Hastighetsbegränsning.
  • Skapa anpassade WAF-regler för att automatiskt blockera och hastighetsgränsa HTTP- eller HTTPS-attacker med kända signaturer.
  • Den hanterade regeluppsättningen för robotskydd skyddar ditt program från kända felaktiga robotar. Mer information finns i Konfigurera robotskydd.

Se Application DDoS-skydd för vägledning om hur du använder Azure WAF för att skydda mot DDoS-attacker.

Skydda virtuella nätverksprung

Aktivera Azure DDoS Protection i ditt ursprungliga virtuella nätverk för att skydda dina offentliga IP-adresser från DDoS-attacker. Den här tjänsten erbjuder fler fördelar som kostnadsskydd, en SLA-garanti och åtkomst till DDoS Rapid Response Team för experthjälp under en attack.

Förbättra säkerheten för ditt Azure-värdbaserade ursprung genom att använda Azure Private Link för att begränsa åtkomsten till Azure Front Door. Den här funktionen upprättar en privat nätverksanslutning mellan Azure Front Door och dina programservrar, vilket eliminerar behovet av att exponera ditt ursprung för det offentliga Internet.

Nästa steg