DDoS-védelem a Front Dooron

  • Cikk

Az Azure Front Door egy tartalomkézbesítési hálózat (CDN), amely segíthet megvédeni az eredetét a HTTP(S) DDoS-támadásoktól azáltal, hogy világszerte 192 peremhálózatán terjeszti a forgalmat. Ezek a poP-k a nagy privát WAN-unkat használják a webalkalmazások és szolgáltatások gyorsabb és biztonságosabb biztosításához a végfelhasználók számára. Az Azure Front Door 3., 4. és 7. rétegbeli DDoS-védelmet, valamint egy webalkalmazási tűzfalat (WAF) is tartalmaz, amely segít megvédeni az alkalmazásokat a gyakori biztonsági résekkel és biztonsági résekkel szemben.

Infrastruktúra DDoS-védelme

Az Azure Front Door az alapértelmezett Azure-infrastruktúra DDoS-védelemmel rendelkezik. Ez a védelem valós időben figyeli és mérsékli a hálózati réteg támadásait a Front Door hálózatának globális skálájával és kapacitásával. Ez a védelem bizonyított múlttal rendelkezik a Microsoft nagyvállalati és fogyasztói szolgáltatásainak nagy léptékű támadások elleni védelmében.

Protokollblokkolás

Az Azure Front Door csak a HTTP- és HTTPS-protokollokat támogatja, és minden kéréshez érvényes "Gazdagép" fejléc szükséges. Ez a viselkedés segít megelőzni néhány gyakori DDoS-támadástípust, például a különböző protokollokat és portokat használó kötetes támadásokat, a DNS-erősítő támadásokat és a TCP-mérgezéses támadásokat.

Kapacitásbővülés

Az Azure Front Door egy nagy léptékű, globálisan elosztott szolgáltatás. Számos ügyfelet szolgál ki, köztük a Microsoft saját felhőtermékeit, amelyek másodpercenként több százezer kérést kezelnek. A Front Door az Azure hálózatának peremén található, ahol képes elfogni és földrajzilag elkülöníteni a nagy mennyiségű támadást. Ezért a Front Door megakadályozhatja, hogy a rosszindulatú forgalom az Azure-hálózat peremhálózatán túlra jusson.

Gyorsítótárazás

A Front Door gyorsítótárazási képességeivel megvédheti a háttérrendszereket a támadás által generált nagy mennyiségű forgalomtól. A Front Door élcsomópontjai gyorsítótárazott erőforrásokat ad vissza, és nem továbbítják őket a háttérrendszerbe. A dinamikus válaszok esetében még a gyorsítótár rövid lejárati ideje (másodperc vagy perc) is jelentősen csökkentheti a háttérszolgáltatások terhelését. A gyorsítótárazási fogalmakkal és mintákkal kapcsolatos további információkért lásd a gyorsítótárazási szempontokat és a gyorsítótár-feltöltési mintát.

Webalkalmazási tűzfal (WAF)

A Front Door webalkalmazási tűzfalával (WAF) számos különböző típusú támadást mérsékelhet:

  • A felügyelt szabálykészlet számos gyakori támadástól védi az alkalmazást. További információ: Felügyelt szabályok.
  • Letilthatja vagy átirányíthatja a forgalmat egy adott földrajzi régión kívülről vagy belülről egy statikus weblapra. További információ: Geoszűrés.
  • Letilthatja a rosszindulatúként azonosított IP-címeket és tartományokat. További információ: IP-korlátozások.
  • Sebességkorlátozással megakadályozhatja, hogy az IP-címek túl gyakran hívják meg a szolgáltatást. További információ: Sebességkorlátozás.
  • Létrehozhat egyéni WAF-szabályokat az ismert aláírásokkal rendelkező HTTP- vagy HTTPS-támadások automatikus letiltásához és sebességkorlátozásához.
  • A robotvédelem által felügyelt szabálykészlet megvédi az alkalmazást az ismert rossz robotoktól. További információ: Robotvédelem konfigurálása.

Az Azure WAF DDoS-támadásokkal szembeni védelmével kapcsolatos útmutatásért tekintse meg az Application DDoS Protectiont.

Virtuális hálózati források védelme

A nyilvános IP-címek DDoS-támadásokkal szembeni védelméhez engedélyezze az Azure DDoS Protectiont a forrás virtuális hálózaton. A DDoS Protection ügyfelei olyan extra előnyöket kapnak, mint a költségvédelem, az SLA-garancia és a DDoS gyorsreagálási csapat szakértőinek hozzáférése a támadás során történő azonnali segítségnyújtáshoz.

Az Azure-ban üzemeltetett források biztonságának növeléséhez korlátozza az Azure Front Doorhoz való hozzáférést az Azure Private Linken keresztül. Ez a funkció privát hálózati kapcsolatot tesz lehetővé az Azure Front Door és az alkalmazáskiszolgálók között, így nincs szükség arra, hogy a forrásokat közzétehesse a nyilvános interneten.

Következő lépések