运维开发网

Azure DDOS ***防护能力

运维开发网 https://www.qedev.com 2020-10-31 09:25 出处:51CTO 作者:mxy00000
今天准备来浅谈下Azure 的DDOS防护能力,很多人好奇在Azure上应该怎么防护DDOS,这个问题其实要看你是在哪个Azure上要做DDOS防护,如果是21V mooncake,那很遗憾,目前Mooncake只提供basic级别的DDOS防护能力,也就是说Azure本身平台级别的DDOS是有防护的,比如***者***了Azure的某个服务,如storage或者sql等等,这个时候Azure是可以抵御DDOS***的,但是如果***者***的是你的某个网站或者服务,那很遗憾,Mooncake目前还没有这种防护手段,在国内一般还是要借助第三方厂商的产品来实现DDOS防护

    今天准备来浅谈下Azure 的DDOS防护能力,很多人好奇在Azure上应该怎么防护DDOS,这个问题其实要看你是在哪个Azure上要做DDOS防护,如果是21V mooncake,那很遗憾,目前Mooncake只提供basic级别的DDOS防护能力,也就是说Azure本身平台级别的DDOS是有防护的,比如***者***了Azure的某个服务,如storage或者sql等等,这个时候Azure是可以抵御DDOS***的,但是如果***者***的是你的某个网站或者服务,那很遗憾,Mooncake目前还没有这种防护手段,在国内一般还是要借助第三方厂商的产品来实现DDOS防护

    但是在Azure Global, 其实一直都有提供给用户的DDOS防护产品,可以直接用于保护自己的网站或服务,也就是我们今天要介绍的Azure DDOS Standard。Basic和standard的具体区别,可以参考下图或者链接

    https://docs.microsoft.com/zh-cn/azure/ddos-protection/ddos-protection-overview?WT.mc_id=AZ-MVP-5001235

    

Azure DDOS ***防护能力

    Azure DDOS Standard可以防护以下类型的***

    

    DDoS 保护标准可缓解以下***类型:

  •     容量耗尽*** :这些***通过大量看似合法的流量淹没网络层。 它们包括 UDP 洪水、放大洪水以及其他欺骗数据包洪水。 对于 Azure 的全球网络规模,DDoS 保护标准通过吸收和清理这些潜在的多 gb ***,自动进行处理。

  •     协议*** :这些***通过利用第3层和第4层协议堆栈中的漏洞,使目标无法访问。 它们包括 SYN 洪水***、反射***和其他协议***。 DDoS 保护标准通过与客户端交互来区分恶意流量和合法流量并阻止恶意流量,从而缓解这些***。

  •     资源(应用程序)层*** :这些***以 Web 应用程序数据包为目标来中断主机之间的数据传输。 它们包括 HTTP 协议冲突、SQL 注入、跨站点脚本和其他第7层***。 使用 Web 应用程序防火墙(例如,Azure 应用程序网关 web 应用程序防火墙)以及 DDoS 保护标准来防范这些***。 

    可以保护包括与虚拟机、负载均衡器和应用程序网关相关联的公共 IP 地址,具体的信息可以参考以下的链接

    https://docs.microsoft.com/zh-cn/azure/ddos-protection/types-of-attacks?WT.mc_id=AZ-MVP-5001235

   

    在Azure Global防护DDOS其实是个挺简单的事,我们只需要创建好Azure DDOS的服务,然后关联到需要防护的虚拟网络即可,平台会自动进行可能得DDOS***防护,不需要我们手动做任何事,***的整个过程最后也会有报告提供,下边看下操作步骤,基本都很简单

    首先需要创建一个DDOS Plan,不同的订阅其实可以共用一个Plan,所以没必要每个订阅都创建,定价上Azure DDOS是按照防护的资源数量计算的,所以和订阅也没太大关系

    在DDOS Plan里直接创建

    

Azure DDOS ***防护能力

    需要填写的信息非常少

    

Azure DDOS ***防护能力

    接下来就可以添加受保护的资源了,资源都是以虚拟网络添加,这个能看到可以跨订阅来选择虚拟网络

    

Azure DDOS ***防护能力

    之后就可以在虚拟网络的选项里看到DDOS Plan的信息了

    

Azure DDOS ***防护能力

    开启DDOS Standard之后,表面看上去其实是没有什么太大区别的,如果想知道是否受到了DDOS***,可以在Azure Monitor里可以通过Metrics查看

比如找到一个受保护的公网IP,然后metrics这里选择Under DDOS or not就可以了

    

Azure DDOS ***防护能力

    如果是没受DDOS保护的,查看的时候结果不会有显示

Azure DDOS ***防护能力

    如果想看到一些历史数据,还可以在受保护资源的diag里开启把DDOS相关数据保存到storage account里或者发送到Log Analytics,可以看到的数据包括

  • ***途径

  • 流量统计信息

  • 丢弃数据包的原因

  • 所涉及的协议

  • 前 10 个源国家或地区

  • 前 10 个源 ASN

    

Azure DDOS ***防护能力

扫码领视频副本.gif

0

精彩评论

暂无评论...
验证码 换一张
取 消

关注公众号