Azure Front Door 的 DDoS 防護(hù)

Azure Front Door 具有多種功能和特征，有助于防止分布式拒絕服務(wù) (DDoS) 攻擊。 這些功能可防止攻擊者訪問應(yīng)用程序和影響應(yīng)用程序的可用性與性能。

與 Azure DDoS 防護(hù)基礎(chǔ)版集成

Front Door 受 Azure DDoS 防護(hù)基礎(chǔ)版保護(hù)。 該保護(hù)機(jī)制默認(rèn)集成在 Front Door 平臺中，無需額外費(fèi)用。 Front Door 具有全球部署的網(wǎng)絡(luò)，其完整的規(guī)模和容量通過始終開啟的流量監(jiān)視和實(shí)時(shí)緩解措施來提供對常見網(wǎng)絡(luò)層攻擊的防御。 基本 DDoS 防護(hù)還可以抵御最常見的、頻繁出現(xiàn)的第 7 層 DNS 查詢泛濫以及針對公共終結(jié)點(diǎn)的第 3 層和第 4 層容量耗盡攻擊。 此服務(wù)還提供了有效的跟蹤記錄，用于保護(hù) Microsoft 的企業(yè)和消費(fèi)者服務(wù)免受大規(guī)模攻擊。 有關(guān)詳細(xì)信息，請參閱 Azure DDoS 防護(hù)。

協(xié)議阻止

Front Door 只接受 HTTP 和 HTTPS 協(xié)議上的流量，并且將只處理具有已知 Host 標(biāo)頭的有效請求。 此行為有助于緩解一些常見的 DDoS 攻擊類型，包括在各種協(xié)議和端口間傳播的容量耗盡攻擊、DNS 放大攻擊和 TCP 中毒攻擊。

容量吸收

Front Door 是高度縮放的全球分布的服務(wù)。 我們有許多客戶，其中包括 Microsoft 自己的大規(guī)模云產(chǎn)品，每秒接收成千上萬個(gè)請求。 Front Door 位于 Azure 網(wǎng)絡(luò)的邊緣，吸收并從地理位置上隔離大容量攻擊。 這樣就可以防止惡意流量進(jìn)一步超過 Azure 網(wǎng)絡(luò)的邊緣。

Caching

Front Door的緩存功能可用于保護(hù)后端免受攻擊生成的大規(guī)模流量。 緩存的資源將從 Front Door 邊緣節(jié)點(diǎn)返回，因此不會被轉(zhuǎn)發(fā)到后端。 即使動態(tài)響應(yīng)的緩存過期時(shí)間很短（幾秒或幾分鐘），也可以大幅減少后端服務(wù)上的負(fù)載。 有關(guān)緩存概念和模式的詳細(xì)信息，請參閱緩存注意事項(xiàng)和緩存端模式。

Web 應(yīng)用程序防火墻 (WAF)

Front Door 的 Web 應(yīng)用程序防火墻 (WAF) 可用于緩解多種不同類型的攻擊：

• 使用托管規(guī)則集可針對多種常見攻擊提供保護(hù)。

• 來自某個(gè)定義的地理區(qū)域之外的或在某個(gè)定義的區(qū)域之內(nèi)的流量可以被阻止，或者被重定向到某個(gè)靜態(tài)網(wǎng)頁。 有關(guān)詳細(xì)信息，請參閱地區(qū)篩選。

• 可以阻止標(biāo)識為惡意的 IP 地址和范圍。

• 可以應(yīng)用速率限制來防止 IP 地址過于頻繁地調(diào)用服務(wù)。

• 可以創(chuàng)建自定義 WAF 規(guī)則來自動阻止具有已知簽名的 HTTP 或 HTTPS 攻擊并對這些攻擊進(jìn)行速率限制。

如需進(jìn)一步保護(hù)

如果需要進(jìn)一步保護(hù)，可在部署了后端的 VNet 上啟用 Azure DDoS 防護(hù)標(biāo)準(zhǔn)。 DDoS 防護(hù)標(biāo)準(zhǔn)客戶可獲得更多益處，包括成本保護(hù)、SLA 保證，并且可以在攻擊期間聯(lián)系 DDoS 快速響應(yīng)團(tuán)隊(duì)的專家以便立即獲得幫助。