حول مقارنة مستوى حماية Azure DDoS
تناقش الأقسام في هذه المقالة موارد وإعدادات Azure DDoS Protection.
مستويات
تدعم Azure DDoS Protection نوعين من المستويات، DDoS IP Protection وDDoS Network Protection. يتم تكوين الطبقة في مدخل Microsoft Azure أثناء سير العمل عند تكوين Azure DDoS Protection.
يعرض الجدول التالي الميزات والمستواني المقابلة.
| ميزة | DDoS IP Protection | حماية شبكة DDoS |
|---|---|---|
| مراقبة نسبة استخدام الشبكة النشطة والكشف قيد التشغيل | نعم | نعم |
| تخفيف الهجوم التلقائي L3/L4 | نعم | نعم |
| تخفيف مخاطر الهجوم التلقائي | نعم | نعم |
| نُهج التقليل المستندة إلى التطبيق | نعم | نعم |
| المقاييس والتنبيهات | نعم | نعم |
| تقارير التخفيف من المخاطر | نعم | نعم |
| سجلات تدفق تخفيف المخاطر | نعم | نعم |
| نهج التخفيف التي تم ضبطها لتطبيق العملاء | نعم | نعم |
| التكامل مع Firewall Manager | نعم | نعم |
| موصل ومصنف بيانات Microsoft Sentinel | نعم | نعم |
| حماية الموارد عبر الاشتراكات في المستأجر | نعم | نعم |
| حماية مستوى IP Standard العام | نعم | نعم |
| حماية الطبقة العامة ل IP Basic | لا | نعم |
| دعم الاستجابة السريعة لموزع لحجب الخدمة | غير متوفرة | نعم |
| حماية التكلفة | غير متوفرة | نعم |
| خصم WAF | غير متوفرة | نعم |
| السعر | لكل عنوان IP محمي | لكل 100 عنوان IP محمي |
إشعار
دون أي تكلفة إضافية، تحمي حماية البنية الأساسية ل Azure DDoS كل خدمة Azure تستخدم عناوين IPv4 وIPv6 العامة. تساعد خدمة حماية موزع لحجب الخدمة هذه على حماية كافة خدمات Azure، بما في ذلك النظام الأساسي كخدمة (PaaS) مثل Azure DNS. لمزيد من المعلومات حول خدمات PaaS المدعومة، راجع البنيات المرجعية لحماية DDoS. لا تتطلب حماية البنية الأساسية ل Azure DDoS أي تكوين مستخدم أو تغييرات في التطبيق. يوفر Azure حماية مستمرة ضد هجمات موزع لحجب الخدمة. لا تقوم حماية موزع لحجب الخدمة بتخزين بيانات العميل.
القيود
DDoS Network Protection وDDoS IP Protection لها القيود التالية:
- خدمات PaaS (متعددة المستأجرين)، والتي تتضمن Azure App Service Environment ل Power Apps، وإدارة واجهة برمجة تطبيقات Azure في أوضاع النشر بخلاف APIM مع تكامل الشبكة الظاهرية (لمزيد من المعلومات راجع https://techcommunity.microsoft.com/t5/azure-network-security-blog/azure-ddos-standard-protection-now-supports-apim-in-vnet/ba-p/3641671)، وAzure Virtual WAN غير مدعومة حاليا.
- حماية مورد IP عام متصل ببوابة NAT غير مدعوم.
- الأجهزة الظاهرية في عمليات توزيع Classic/RDFE غير مدعومة.
- بوابة VPN أو بوابة الشبكة الظاهرية محمية بواسطة نهج DDoS. لا يتم دعم الضبط التكيفي في هذه المرحلة.
- مدعوم جزئيا: يمكن لخدمة Azure DDoS Protection حماية موازن تحميل عام ببادئة عنوان IP عام مرتبطة بالواجهة الأمامية الخاصة به. يكتشف بشكل فعال هجمات DDoS ويخفف منها. ومع ذلك، لا تتوفر حاليا بيانات تتبع الاستخدام وتسجيل عناوين IP العامة المحمية ضمن نطاق البادئة.
تشبه DDoS IP Protection حماية الشبكة، ولكن لها القيد الإضافي التالي:
- حماية مستوى IP Basic العامة غير مدعومة.
إشعار
يتم دعم السيناريوهات التي يتم فيها تشغيل جهاز ظاهري واحد خلف IP عام، ولكن لا يوصى به. لمزيد من المعلومات، راجع أفضل الممارسات الأساسية.
لمزيد من المعلومات، راجع البنى المرجعية ل Azure DDoS Protection.