Azure DDoS 防护标准功能,azure ad和传统ad的区别解析-ESG跨境

Azure DDoS 防护标准功能,azure ad和传统ad的区别解析

2022-07-05

694

Azure DDoS 防护标准功能,azure ad和传统ad的区别解析Azure DDoS 防护标准功能以下部分概述了标准Azure DDoS防护服务的重要功能。Always on流量监视DDoS保护标准监控实际流量利用率，并不断将其与DDoS策略中定义的阈值进行比较。当超过流量阈值时，将自动启动DDoS缓解。当流量......

Azure DDoS 防护标准功能,azure ad和传统ad的区别解析

Azure DDoS 防护标准功能

以下部分概述了标准Azure DDoS防护服务的重要功能。

Always on流量监视

DDoS保护标准监控实际流量利用率，并不断将其与DDoS策略中定义的阈值进行比较。当超过流量阈值时，将自动启动DDoS缓解。当流量回到阈值以下时，缓解将移除。

Azure DDoS保护标准缓解措施

在风险缓解期间，DDoS保护服务重定向发国际快递受保护资源的流量，并执行多个检查，如以下检查：

·确保数据包符合Internet规范且格式正确。

·与客户端交互，确定该流量是否可能是欺骗性数据包（例如：SYN Auth或SYN Cookie，或者通过丢弃数据包，让源重新传输它）。

·如果没有其他可以执行的强制方法，将对数据包进行速率限制。

DDoS保护会阻止攻击流量并将剩余流量转发至其预期目的地。在检测到攻击的几分钟内，会使用Azure Monitor指标通知你。通过在DDoS保护标准遥测上配置日志记录，可将日志写入可用选项以供将来分析。Azure Monitor中DDoS保护标准的指标数据会保留30天。

自适应实时优化

Azure DDoS防护基本服务可帮助保护客户，并防止影响其他客户。例如，如果为典型的合法传入流量预配了某个服务，并且该流量小于基础结构范围DDoS防护策略的触发率，那么，针对该客户资源的DDoS攻击可能会被忽略。一般来说，最近攻击（例如多向量DDoS）的复杂性，以及租户的应用程序特定行为，要求按客户采用自定义的保护策略。该服务使用两项见解来实现这种自定义：

·自动学习每个客户（每个IP）的第3层和第4层流量模式。

·尽量减少误报，因为Azure的规模可让它吸收大量的流量。

标准DDoS防护工作原理示意图，其中圈住了“策略生成”

DDoS防护遥测、监视和警报

标准DDoS防护在DDoS攻击持续期间通过Azure Monitor公开丰富的遥测数据。可以针对DDoS防护使用的任何Azure Monitor指标配置警报。可以通过Azure Monitor诊断界面将日志记录与Splunk(Azure事件中心)、Azure Monitor日志和Azure存储集成，以便进行高级分析。

DDoS缓解策略

在Azure门户中，选择监视gt;指标。在“指标”窗格上，依次选择资源组、“公共IP地址”资源类型和Azure公共IP地址。DDoS指标将显示在“可用指标”窗格中。

标准DDoS防护针对已启用DDoS的虚拟网络中受保护资源的每个公共IP，应用三个自动优化的缓解策略（TCP SYN、TCP和UDP）。可以选择“触发DDoS缓解措施的入站数据包数”指标来查看策略阈值。

可用指标和指标图表

策略阈值是通过基于机器学习的网络流量探查自动配置的。仅当超过策略阈值时，才会对受攻击的IP地址进行DDoS缓解。

受DDoS攻击的IP地址的指标

如果公共IP地址受到攻击，则“是否受DDoS攻击”指标的值将切换为1，因为DDoS防护会针对攻击流量执行缓解措施。

“是否受DDoS攻击”指标和图表

我们建议对此指标配置警报。然后，在对公共IP地址执行主动的DDoS缓解措施时会收到通知。

有关详细信息，请参阅使用Azure门户管理标准Azure DDoS防护。

防范资源攻击的Web应用程序防火墙

针对应用层中发生的资源攻击，应该配置Web应用程序防火墙(WAF)来帮助保护Web应用程序。WAF会检查入站Web流量，以阻止SQL注入、跨站点脚本、DDoS和其他第7层攻击。Azure提供WAF作为应用程序网关的一项功能，以便在出现常见攻击和漏洞时为Web应用程序提供集中保护。此外，Azure合作伙伴还会通过Azure市场提供其他WAF产品/服务，它们可能更适合解决你的需求。

即使是Web应用程序防火墙这样的服务，也很容易遭受容量耗尽和状态耗尽攻击。我们强烈建议在WAF虚拟网络上启用标准DDoS防护，以帮助防范容量耗尽攻击和协议攻击。有关详细信息，请参阅DDoS防护参考体系结构部分。

保护计划

规划和准备对于了解系统在遇到DDoS攻击期间的表现至关重要。设计事件管理响应计划属于此工作的一部分。

如果使用标准DDoS防护，请确保在面向Internet的终结点的虚拟网络上启用它。配置DDoS警报有助于持续密切关注基础结构上存在的任何潜在攻击。

独立监视您的应用程序。了解应用程序的正常行为。如果应用程序在遇到DDoS攻击期间的行为不符合预期，请准备好采取措施。

通过模拟测试来了解服务如何响应攻击。

文章推荐
Google Play 账号关联问题解决,鸿蒙系统怎么装google play
Giropay是什么,giropay可以转到什么银行
Google Ads搜索再营销帮你找回流失的客户,谷歌ads推广技巧
FastaiV3GCP(Google Cloud Platform) 配置笔记

特别声明：以上文章内容仅代表作者本人观点，不代表ESG跨境电商观点或立场。如有关于作品内容、版权或其它问题请于作品发表后的30日内与ESG跨境电商联系。