Porównanie warstw usługi Azure DDoS Protection — informacje
W sekcjach w tym artykule omówiono zasoby i ustawienia usługi Azure DDoS Protection.
Warstwy
Usługa Azure DDoS Protection obsługuje dwa typy warstw: DDoS IP Protection i DDoS Network Protection. Warstwa jest konfigurowana w witrynie Azure Portal podczas przepływu pracy podczas konfigurowania usługi Azure DDoS Protection.
W poniższej tabeli przedstawiono funkcje i odpowiednie warstwy.
| Funkcja | Ochrona adresów IP przed atakami DDoS | Ochrona sieci przed atakami DDoS |
|---|---|---|
| Aktywne monitorowanie ruchu i zawsze włączone wykrywanie | Tak | Tak |
| Automatyczne ograniczanie ryzyka ataków L3/L4 | Tak | Tak |
| Automatyczne ograniczanie ryzyka ataków | Tak | Tak |
| Zasady ograniczania ryzyka opartego na aplikacjach | Tak | Tak |
| Metryki i alerty | Tak | Tak |
| Raporty ograniczania ryzyka | Tak | Tak |
| Dzienniki przepływu ograniczania ryzyka | Tak | Tak |
| Zasady ograniczania ryzyka dostosowane do aplikacji klientów | Tak | Tak |
| Integracja z usługą Firewall Manager | Tak | Tak |
| Łącznik danych i skoroszyt usługi Microsoft Sentinel | Tak | Tak |
| Ochrona zasobów między subskrypcjami w dzierżawie | Tak | Tak |
| Ochrona warstwy Standardowa publicznego adresu IP | Tak | Tak |
| Ochrona warstwy Podstawowa publicznego adresu IP | Nie. | Tak |
| Obsługa szybkiego reagowania na atak DDoS | Niedostępny | Tak |
| Ochrona kosztów | Niedostępny | Tak |
| Rabat zapory aplikacji internetowej | Niedostępny | Tak |
| Cena | Na chroniony adres IP | Na 100 chronionych adresów IP |
Uwaga
Bez dodatkowych kosztów ochrona infrastruktury usługi Azure DDoS chroni każdą usługę platformy Azure korzystającą z publicznych adresów IPv4 i IPv6. Ta usługa ochrony przed atakami DDoS pomaga chronić wszystkie usługi platformy Azure, w tym usługi typu platforma jako usługa (PaaS), takie jak Azure DNS. Aby uzyskać więcej informacji na temat obsługiwanych usług PaaS, zobacz Architektury referencyjne usługi DDoS Protection. Ochrona infrastruktury usługi Azure DDoS nie wymaga żadnych zmian konfiguracji użytkownika ani aplikacji. Platforma Azure zapewnia ciągłą ochronę przed atakami DDoS. Ochrona przed atakami DDoS nie przechowuje danych klientów.
Ograniczenia
Ochrona przed atakami DDoS Network Protection i ochrona przed atakami DDoS IP mają następujące ograniczenia:
- Usługi PaaS (wielodostępne), które obejmują aplikacja systemu Azure Service Environment for Power Apps, Azure API Management w trybach wdrażania innych niż usługa APIM z integracją sieci wirtualnej (aby uzyskać więcej informacji, zobacz https://techcommunity.microsoft.com/t5/azure-network-security-blog/azure-ddos-standard-protection-now-supports-apim-in-vnet/ba-p/3641671), a usługa Azure Virtual WAN nie jest obecnie obsługiwana.
- Ochrona zasobu publicznego adresu IP dołączonego do bramy translatora adresów sieciowych nie jest obsługiwana.
- Maszyny wirtualne we wdrożeniach klasycznych/RDFE nie są obsługiwane.
- Brama sieci VPN lub brama sieci wirtualnej jest chroniona przez zasady DDoS. Na tym etapie dostrajanie adaptacyjne nie jest obsługiwane.
- Częściowo obsługiwane: usługa Azure DDoS Protection może chronić publiczny moduł równoważenia obciążenia przy użyciu prefiksu publicznego adresu IP połączonego z frontonem. Skutecznie wykrywa i ogranicza ataki DDoS. Jednak dane telemetryczne i rejestrowanie chronionych publicznych adresów IP w zakresie prefiksów są obecnie niedostępne.
Ochrona przed atakami DDoS IP jest podobna do ochrony sieci, ale ma następujące dodatkowe ograniczenie:
- Ochrona warstwy Podstawowa publicznego adresu IP nie jest obsługiwana.
Uwaga
Scenariusze, w których jedna maszyna wirtualna jest uruchomiona za publicznym adresem IP, jest obsługiwana, ale nie jest zalecana. Aby uzyskać więcej informacji, zobacz Podstawowe najlepsze rozwiązania.
Aby uzyskać więcej informacji, zobacz Architektury referencyjne usługi Azure DDoS Protection.