你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

Front Door 的 DDoS 防护

Azure Front Door 是一种内容分发网络 (CDN)，通过在全球 192 个边缘 POP 中分发流量，帮助保护源免受 HTTP(S) DDoS 攻击。 这些 POP 使用我们的大型专用 WAN 更快、更安全地向最终用户提供 Web 应用程序和服务。 Azure Front Door 还包括第 3 层、4 层和 7 层 DDoS 防护和 Web 应用程序防火墙 (WAF)，以帮助保护应用程序免受常见攻击和漏洞的伤害。

基础结构 DDoS 防护

Azure Front Door 获益于默认 Azure 基础结构 DDoS 防护。 此防护使用 Front Door 网络的全球缩放和容量实时监视和缓解网络层攻击。 此防护提供了有效的跟踪记录，用于保护 Microsoft 的企业和消费者服务免受大规模攻击。

协议阻止

Azure Front Door 仅支持 HTTP 和 HTTPS 协议，并且要求每个请求都具有有效“主机”标头。 此行为有助于阻止一些常见的 DDoS 攻击类型，例如使用各种协议和端口的容量耗尽攻击、DNS 放大攻击和 TCP 中毒攻击。

容量吸收

Azure Front Door 是可缩放的大型全球分布型服务。 它为许多客户提供服务，其中包括 Microsoft 自己的云产品，每秒处理成千上万个请求。 Front Door 位于 Azure 网络的边缘，可以拦截并从地理位置上隔离大容量攻击。 因此，Front Door 可以防止恶意流量超过 Azure 网络的边缘。

缓存

可以使用 Front Door 的缓存功能保护后端避开攻击生成的大规模流量。 Front Door 边缘节点返回缓存的资源，并避免将它们转发到后端。 即使动态响应的缓存过期时间很短（几秒或几分钟），也可以大幅减少后端服务上的负载。 有关缓存概念和模式的详细信息，请参阅缓存注意事项和缓存端模式。

Web 应用程序防火墙 (WAF)

可以使用 Front Door 的 Web 应用程序防火墙 (WAF) 缓解许多不同类型的攻击：

• 托管规则集可保护应用程序免受许多常见攻击。 有关详细信息，请参阅托管规则。
• 可以阻止来自特定地理区域外部或内部的流量或将其重定向到静态网页。 有关详细信息，请参阅地区筛选。
• 可以阻止标识为恶意的 IP 地址和范围。 有关详细信息，请参阅 IP 限制。
• 可以应用速率限制以防止 IP 地址过于频繁地调用服务。 有关详细信息，请参阅速率限制。
• 可以创建自定义 WAF 规则来自动阻止具有已知签名的 HTTP 或 HTTPS 攻击并对这些攻击进行速率限制。
• 机器人防护托管规则集可针对已知的恶意机器人为应用程序提供保护。 有关详细信息，请参阅配置机器人防护。

有关如何使用 Azure WAF 防范 DDoS 攻击的指导，请参阅应用程序 DDoS 防护。

保护虚拟网络源

若要保护公共 IP 免受 DDoS 攻击，请在源虚拟网络上启用 Azure DDoS 防护。 DDoS 防护客户可获得额外益处，例如成本保护、SLA 保证，并且可以在攻击期间联系 DDoS 快速响应团队的专家以便立即获得帮助。

专用链接

通过 Azure 专用链接限制其对 Azure Front Door 的访问，增强 Azure 托管源的安全性。 此功能支持 Azure Front Door 与应用程序服务器之间的专用网络连接，无需向公共 Internet 公开源。

后续步骤

• 了解如何设置 Azure Front Door 的 WAF 策略。
• 了解如何创建 Azure Front Door 配置文件。
• 了解 Azure Front Door 的工作原理。