Megosztás a következőn keresztül:

DDoS Protection az Azure Front Dooron

  • Cikk

Az Azure Front Door egy tartalomkézbesítési hálózat (CDN), amely segít megvédeni az eredetét a HTTP(S) DDoS-támadásoktól a világszerte 192 peremhálózati jelenléti pontok (POP-k) közötti forgalom elosztásával. Ezek a poP-k az Azure nagy privát WAN-jával gyorsabban és biztonságosabban biztosítják webalkalmazásait és szolgáltatásait a végfelhasználóknak. Az Azure Front Door tartalmazza a 3., 4. és 7. rétegbeli DDoS-védelmet, valamint egy webalkalmazási tűzfalat (WAF), amely megvédi az alkalmazásokat a gyakori biztonsági résektől és biztonsági résektől.

Infrastruktúra DDoS Protection

Az Azure Front Door az alapértelmezett Azure-infrastruktúra DDoS-védelemmel rendelkezik. Ez a védelem valós időben figyeli és csökkenti a hálózati réteg támadásait az Azure Front Door hálózatának globális mérete és kapacitása használatával. Bizonyított múltja van a Microsoft nagyvállalati és fogyasztói szolgáltatásainak a nagy léptékű támadások elleni védelméről.

Protokollblokkolás

Az Azure Front Door csak HTTP- és HTTPS-protokollokat támogat, és minden kéréshez érvényes Host fejléc szükséges. Ez a viselkedés segít megelőzni a gyakori DDoS-támadástípusokat, például a különböző protokollokat és portokat használó mennyiségi támadásokat, a DNS-erősítő támadásokat és a TCP-mérgezéses támadásokat.

Kapacitásbővülés

Az Azure Front Door egy nagy méretű, globálisan elosztott szolgáltatás, amely számos ügyfelet kiszolgál, beleértve a Microsoft saját felhőtermékeit is, amelyek másodpercenként több százezer kérést kezelnek. Az Azure hálózatának peremén elhelyezett Azure Front Door képes elfogni és földrajzilag elkülöníteni a nagy mennyiségű támadást, megakadályozva, hogy a rosszindulatú forgalom az Azure-hálózat peremhálózatán túlra jusson.

Gyorsítótárazás

Az Azure Front Door gyorsítótárazási képességeivel megvédheti a háttérrendszereket a támadás által generált nagy adatforgalomtól. Az Azure Front Door peremhálózati csomópontjai gyorsítótárazott erőforrásokat ad vissza, így nem továbbítják őket a háttérrendszerbe. A dinamikus válaszok esetében még a gyorsítótár rövid lejárati ideje (másodperc vagy perc) is jelentősen csökkentheti a háttérszolgáltatások terhelését. A gyorsítótárazási fogalmakkal és mintákkal kapcsolatos további információkért lásd a gyorsítótárazási szempontokat és a gyorsítótár-feltöltési mintát.

Webalkalmazási tűzfal (WAF)

Az Azure Web Application Firewall (WAF) használatával különböző típusú támadásokat mérsékelhet:

  • A felügyelt szabálykészlet számos gyakori támadástól védi az alkalmazást. További információ: Felügyelt szabályok.
  • Forgalom letiltása vagy átirányítása adott földrajzi régiókból egy statikus weblapra. További információ: Geoszűrés.
  • Tiltsa le a rosszindulatúként azonosított IP-címeket és tartományokat. További információ: IP-korlátozások.
  • Alkalmazza a sebességkorlátozást, hogy megakadályozza, hogy az IP-címek túl gyakran hívják meg a szolgáltatást. További információ: Sebességkorlátozás.
  • Egyéni WAF-szabályok létrehozásával automatikusan letilthatja és korlátozhatja a HTTP- vagy HTTPS-támadásokat ismert aláírásokkal.
  • A robotvédelem által felügyelt szabálykészlet megvédi az alkalmazást az ismert rossz robotoktól. További információ: Robotvédelem konfigurálása.

Az Azure WAF DDoS-támadások elleni védelemmel kapcsolatos útmutatásért tekintse meg az Application DDoS Protectiont.

Virtuális hálózati források védelme

Engedélyezze az Azure DDoS Protectiont a forrás virtuális hálózaton a nyilvános IP-címek DDoS-támadások elleni védelméhez. Ez a szolgáltatás további előnyöket kínál, például költségvédelmet, SLA-garanciát és hozzáférést a DDoS gyorsreagálási csapatához, hogy szakértői segítséget nyújtsunk egy támadás során.

Az Azure-ban üzemeltetett források biztonságának növelése az Azure Private Link használatával az Azure Front Doorhoz való hozzáférés korlátozásához. Ez a funkció privát hálózati kapcsolatot hoz létre az Azure Front Door és az alkalmazáskiszolgálók között, így nincs szükség arra, hogy a forrásokat elérhetővé tegye a nyilvános interneten.

Következő lépések