關於 Azure DDoS 保護層比較
本文中的各節將討論 Azure DDoS 保護的資源和設定。
階層
Azure DDoS 保護支援兩種階層類型,DDoS IP 保護與 DDoS 網路保護。 當您設定 Azure DDoS 保護時,階層會在工作流程期間於 Azure 入口網站中進行設定。
下表顯示功能和對應的階層。
| 功能 | DDoS IP 保護 | DDoS 網路保護 |
|---|---|---|
| 作用中的流量監視和隨時偵測 | Yes | Yes |
| L3/L4 自動攻擊風險降低 | Yes | Yes |
| 自動降低攻擊風險 | Yes | Yes |
| 以應用程式為基礎的風險降低原則 | Yes | Yes |
| 計量與警示 | Yes | Yes |
| 風險降低報告 | Yes | Yes |
| 風險降低流量記錄 | Yes | Yes |
| 為客戶應用程式量身打造的風險降低原則 | Yes | Yes |
| 與防火牆管理員整合 | Yes | Yes |
| Microsoft Sentinel 資料連接器與活頁簿 | Yes | Yes |
| 保護租用戶中跨訂用帳戶的資源 | Yes | Yes |
| 公用 IP 標準層保護 | Yes | Yes |
| 公用 IP 基本層保護 | No | Yes |
| DDoS 快速回應支援 | 無法使用 | Yes |
| 成本保護 | 無法使用 | Yes |
| WAF 折扣 | 無法使用 | Yes |
| 價格 | 每個受保護的 IP | 每 100 個受保護的 IP 位址 |
注意
「Azure DDoS 基礎結構保護」無需額外的費用,它會保護使用公用 IPv4 和 IPv6 位址的每一個 Azure 服務。 此 DDoS 保護服務可協助保護所有 Azure 服務,包括平台即服務 (PaaS) 服務 (例如 Azure DNS)。 如需支援 PaaS 服務的詳細資訊,請參閱 DDoS 保護參考架構。 「Azure DDoS 基礎結構保護」不需要進行任何的使用者設定或應用程式變更。 Azure 提供持續保護來抵禦 DDoS 攻擊。 DDoS 保護不會儲存客戶資料。
限制
DDoS 網路保護和 DDoS IP 保護具有下列限制:
- 目前不支援 PaaS 服務 (多租用戶),這些不支援的服務包括適用於 Power Apps 的 Azure App Service 環境、除了使用虛擬網路整合之 APIM 以外的部署模式中 Azure API 管理,以及 Azure Virtual WAN。 如需詳細資訊,請參閱VNET 整合中的 Azure DDoS 保護 APIM
- 不支援保護連結至 NAT 閘道的公用 IP 資源。
- 不支援傳統/RDFE 部署中的虛擬機器。
- VPN 閘道或虛擬網路閘道受到 DDoS 原則的保護。 本階段不支援調適型微調。
- Azure DDoS 網路保護 SKU 支援連結至公用負載平衡器前端的公用 IP 位址前綴。
- 虛擬機器擴展集中個別虛擬機器執行個體的 DDoS 遙測可供彈性協調流程模式使用。
DDoS IP 保護類似於網路保護,但有下列額外限制:
- 不支援公用 IP 基本層保護。
注意
支援在公用 IP 後面執行單一 VM 的情節,但不建議。 如需詳細資訊,請參閱基礎最佳做法。
如需詳細資訊,請參閱 Azure DDoS 保護參考結構 (部分機器翻譯)。
下一步
- Azure DDoS 保護功能 (部分機器翻譯)
- 參考架構