DDoS Protection-referentiearchitectarchitecten

DDoS Protection Standard is ontworpen voor services die zijn geïmplementeerd in een virtueel netwerk. Voor andere services is de standaardinstelling DDoS Protection Basic-service van toepassing. De volgende referentiearchitecten zijn gerangschikt op scenario's, met architectuurpatronen gegroepeerd.

Workloads voor virtuele machines (Windows/Linux)

Toepassing die wordt uitgevoerd op VM's met load-balanceding

Deze referentiearchitectuur toont een reeks bewezen procedures voor het uitvoeren van meerdere Windows-VM's in een schaalset achter een load balancer, om de beschikbaarheid en schaalbaarheid te verbeteren. Deze architectuur kan worden gebruikt voor elke staatloze workload, zoals een webserver.

In deze architectuur wordt een werkbelasting verdeeld over meerdere VM-exemplaren. Er is één openbaar IP-adres en internetverkeer wordt via een load balancer. DDoS Protection Standard is ingeschakeld in het virtuele netwerk van de Azure-load balancer (internet) waar het openbare IP-adres aan is gekoppeld.

De load balancer inkomende internetaanvragen naar de VM-exemplaren distribueren. Virtuele-machineschaalsets maken het mogelijk om het aantal VM's handmatig in of uit te schalen, of automatisch op basis van vooraf gedefinieerde regels. Dit is belangrijk als de resource wordt aangevallen door DDoS. Zie dit artikel voor meer informatie over deze referentiearchitectuur.

Toepassing die wordt uitgevoerd Windows N-laag

Er zijn veel manieren om een architectuur met meerdere lagen te implementeren. In het volgende diagram ziet u een typische webtoepassing met drie lagen. Deze architectuur is gebaseerd op het artikel Run load-balanced VMs for scalability and availability. De web- en bedrijfslagen gebruiken VM's met taakverdeling.

In deze architectuur is DDoS Protection Standard ingeschakeld in het virtuele netwerk. Alle openbare IP's in het virtuele netwerk krijgen DDoS-beveiliging voor laag 3 en 4. Voor laag 7-beveiliging implementeert u Application Gateway in de WAF-SKU. Zie dit artikel voor meer informatie over deze referentiearchitectuur.

PaaS-webtoepassing

Deze referentiearchitectuur toont het uitvoeren van Azure App Service toepassing in één regio. Deze architectuur toont een reeks bewezen procedures voor een webtoepassing die gebruikmaakt van Azure App Service en Azure SQL Database. Er wordt een stand-byregio ingesteld voor failoverscenario's.

Azure Traffic Manager routeer binnenkomende aanvragen naar Application Gateway in een van de regio's. Tijdens normale bewerkingen worden aanvragen gerouteerd naar Application Gateway in de actieve regio. Als deze regio niet meer beschikbaar is, wordt Traffic Manager overgenomen naar Application Gateway in de stand-byregio.

Al het verkeer van internet dat is bestemd voor de webtoepassing wordt via een Application Gateway doorgeleid naar het Traffic Manager. In dit scenario is de app-service (web-app) zelf niet rechtstreeks extern gericht en wordt deze beveiligd door Application Gateway.

We raden u aan de Application Gateway WAF-SKU (modus voorkomen) te configureren om u te beschermen tegen aanvallen van laag 7 (HTTP/HTTPS/WebSocket). Daarnaast zijn web-apps zo geconfigureerd dat alleen verkeer van het Application Gateway IP-adres wordt geaccepteerd.

Zie dit artikel voor meer informatie over deze referentiearchitectuur.

On-premises resources beveiligen

U kunt gebruikmaken van de schaal, capaciteit en efficiëntie van Azure DDoS Protection Standard om uw on-premises resources te beschermen door een openbaar IP-adres in Azure te hosten en het verkeer om te leiden naar de back-end-oorsprong naar uw on-premises omgeving.

Als u een webtoepassing hebt die verkeer van internet ontvangt, kunt u de webtoepassing achter Application Gateway hosten en deze vervolgens beschermen met WAF tegen webaanvallen in laag 7, zoals SQL injectie. De oorsprong van de back-end van uw toepassing vindt u in uw on-premises omgeving, die is verbonden via het VPN.

De back-end-resources in de on-premises omgeving worden niet blootgesteld aan het openbare internet. Alleen het openbare IP-adres van AppGW/WAF wordt blootgesteld aan internet en de DNS-naam van uw toepassing wordt aan dat openbare IP-adres toe te voegen.

Wanneer DDoS Protection Standard is ingeschakeld in het virtuele netwerk dat de AppGW/WAF bevat, zal DDoS Protection Standard uw toepassing beschermen door slecht verkeer te verminderen en het veronderstelde schone verkeer naar uw toepassing te routeren.

In dit artikel wordt beschreven hoe u DDoS Protection Standard kunt gebruiken naast Application Gateway web-app die wordt uitgevoerd op Azure VMware Solution.

Beperking voor niet-web PaaS-services

HDInsight in Azure

Deze referentiearchitectuur toont het configureren DDoS Protection Standard voor een Azure HDInsight cluster. Zorg ervoor dat het HDInsight-cluster is gekoppeld aan een virtueel netwerk en dat DDoS Protection is ingeschakeld in het virtuele netwerk.

In deze architectuur wordt verkeer dat is bestemd voor het HDInsight-cluster van internet, gerouteerd naar het openbare IP-adres dat is gekoppeld aan de HDInsight-gateway load balancer. De gateway load balancer het verkeer vervolgens rechtstreeks naar de hoofdknooppunten of de werkknooppunten. Omdat DDoS Protection Standard is ingeschakeld in het virtuele HDInsight-netwerk, krijgen alle openbare IP's in het virtuele netwerk DDoS-beveiliging voor Laag 3 en 4. Deze referentiearchitectuur kan worden gecombineerd met de referentiearchitecten N-tier en meerdere regio's.

Zie de documentatie Extend Azure HDInsight using an Azure Virtual Network (Een azure-Virtual Network gebruiken) voor meer informatie over Virtual Network referentiearchitectuur.

Volgende stappen

• Meer informatie over het maken van een DDoS-beveiligingsplan.