Azure DDoS 防护标准功能,azure web安全防护-ESG跨境

Azure DDoS 防护标准功能,azure web安全防护

Azure DDoS保护标准功能

以下部分概述了标准Azure DDoS保护服务的重要功能。

始终开启流量监控

DDoS保护标准监控实际流量利用率，并不断将其与DDoS策略中定义的阈值进行比较。当超过流量阈值时，将自动启动DDoS缓解。当流量回到阈值以下时，缓解将被移除。

天蓝色保护标准的缓解措施

在风险缓解期间，DDoS保护服务会重定向发国际快递受保护资源的流量，并执行多项检查，例如:

…确保数据包符合互联网规范并具有正确的格式。

…与客户端交互，以确定流量是否可能是欺骗性数据包(例如:SYN Auth或SYN Cookie，或者通过丢弃数据包，让源重新传输它)。

…如果没有其他可以执行的强制方法，数据包的速率将会受到限制。

DDoS保护会阻止攻击流量，并将剩余流量转发到其预期目的地。在检测到攻击的几分钟内，您会收到Azure Monitor指示器的通知。通过在DDoS保护标准遥测上配置日志记录，可以将日志写入可用选项以供将来分析。Azure中DDoS保护标准的指标数据将保存30天。

自适应实时优化

Azure protection基本服务可以帮助保护客户并防止其他客户受到影响。例如，如果为典型的合法输入流量提供服务，并且该流量小于基础结构范围内的DDoS保护策略的触发速率，则可以忽略针对客户资源的DDoS攻击。一般来说，最近攻击的复杂性(例如，多媒介DDoS)和租户特定于应用的行为要求客户采用定制的保护策略。该服务使用两种见解来实现这种定制:

…每个客户(每个IP)的自动学习第3层和第4层流量模式。

尽量减少误报，因为Azure的规模允许它吸收大量流量。

标准DDoS防护的工作原理示意图，其中“策略生成”被圈出。

DDoS保护遥测、监控和报警

标准DDoS保护在DDoS攻击期间通过Azure Monitor暴露丰富的遥测数据。您可以为DDoS保护使用的任何Azure Monitor指标配置警报。您可以通过Azure Monitor诊断界面将日志记录与Splunk(Azure事件中心)、Azure Monitor日志和Azure存储集成，以进行高级分析。

DDoS缓解策略

在Azure portal中，选择监视器gt；指标。在“度量”窗格上，选择资源组、公共IP地址资源类型和Azure公共IP地址。DDoS指标将显示在可用指标窗格中。

标准DDoS保护应用三种缓解策略(TCP SYN、TCP和UDP ),这些策略针对支持DDoS的虚拟网络中受保护资源的每个公共IP自动优化。您可以选择“触发DDoS缓解措施的入站数据包数量”指标来查看策略阈值。

可用指标和指标图表

策略阈值是通过基于machine 学习的网络流量探测自动配置的。只有当超过策略阈值时，才会对受攻击的IP地址执行DDoS缓解。

指示被DDoS攻击的IP地址

如果公共IP地址受到攻击，“是否受到DDoS攻击”指示器的值将切换为1，因为DDoS保护会对攻击流量采取缓解措施。

“您受到DDoS攻击了吗”指示器和图表

我们建议您为此指示器配置警报。然后，当在公共IP地址上执行主动DDoS缓解措施时，您会收到通知。

有关详细信息，请参阅使用Azure Portal管理标准Azure DDoS保护。

防止资源攻击的Web应用程序防火墙

针对应用层的资源攻击，我们应该配置Web应用防火墙(WAF)来帮助保护Web应用。WAF检查入站Web流量，以防止SQL注入、跨站点脚本、DDoS和其他第7层攻击。Azure WAF作为应用程序网关的一项功能提供，在常见攻击和漏洞的情况下为Web应用程序提供集中保护。此外，Azure partners还会通过Azure market提供其他WAF产品/服务，可能更适合解决你的需求。

甚至像Web应用防火墙这样的服务也容易受到容量耗尽和状态耗尽的攻击。我们强烈建议在WAF虚拟网络上启用标准DDoS保护，以帮助防止容量耗尽攻击和协议攻击。详情请参考DDoS保护参考架构部分。

保护计划

规划和准备对于了解DDoS攻击期间系统的性能至关重要。设计事故管理响应计划是这项工作的一部分。

如果使用标准DDoS保护，请确保在面向互联网的端点的虚拟网络上启用该保护。配置DDoS警报有助于密切关注基础结构上的任何潜在攻击。

独立监控您的应用程序。理解应用程序的正常行为。如果应用在DDoS攻击期间的行为不符合预期，请做好采取措施的准备。

通过模拟测试了解服务如何响应攻击。

特别声明：以上文章内容仅代表作者本人观点，不代表ESG跨境电商观点或立场。如有关于作品内容、版权或其它问题请于作品发表后的30日内与ESG跨境电商联系。