Azure DDoS 防护标准功能

小提示：您能找到这篇{Azure DDoS 防护标准功能}绝对不是偶然，我们能帮您找到潜在客户，解决您的困扰。如果您对本页介绍的Azure DDoS 防护标准功能内容感兴趣，有相关需求意向欢迎拨打我们的服务热线，或留言咨询，我们将第一时间联系您！

< ">以下部分概述了标准Azure DDoS防护服务的重要功能。

< ">Always on流量监视

< ">DDoS保营销资源有哪些护标准监控实际流量利用率，并不断将其与DDoS策略中定义的阈值进行比较。当超过流量阈值时，将自动启动DDoS缓解。当流量回到阈值以下时，缓解将移除。

Azure DDoS保护标准缓解措施

< ">在风险缓解期间，DDoS保护服务重定向发送到受保护资源的流量，并执行多个检查，如以下检查：

< ">确保数据包符合Internet规范且格式正确。

< ">与客户端交互，确定该流量是否可能是欺骗性数据包（例如：SYN Auth或SYN Cookie，或者通过丢弃数据包，让源重新传输它）。

< ">如果没有其他可以执行的强制方法，将对数据包进行速率限制。

< ">DDoS保护会阻止攻击流量并将剩余流量转发至其预期目的地。在检测到攻击的几分钟内，会使用Azure Monitor指标通知你。通过在DDoS保护标准遥测上配置日志记录，可将日志写入可用选项以供将来分析。Azure Monitor中DDoS保护标准的指标数据会保留30天。

< ">自适应实时优化

< ">Azure DDoS防护基本服务可帮助保护客户，并防止影响其他客户。例如，如果为典型的合法传入流量预配了某个服务，并且该流量小于基础结构范围DDoS防护策略的触发率，那么，针对该客户资源的DDoS攻击可能会被忽略。一般来说，最近攻击（例如多向量DDoS）的复杂性，以及租户的网站建设一站式服务应用程序特定行为，要求按客户采用自定义的保护策略。该服务使用两项见解来实现这种自定义：

< ">自动学习每个客户（每个IP）的第3层和第4层流量模式。

< ">尽量减少误报，因为Azure的规模可让它吸收大量的流量。

< ">

标准DDoS防护工作原理示意图，其中圈住了“策略生成”

< ">DDoS防护遥测、监视和警报

< ">标准DDoS防护在DDoS攻击持续期间通过Azure Monitor公开丰富的遥测数据。可以针对DDoS防护使用的任何Azure Monitor指标配置警报。可以通过Azure Monitor诊断界面将日志记录与Splunk(Azure事件中心)、Azure Monitor日志和Azure存储集成，以便进行高级分析。

< ">DDoS缓解策略

< ">在Azure门户中，选择"监视&gt;指标"。在“指标”窗格上，依次选择资源组、“公共IP地址”资源类型和Azure公共IP地址。DDoS指标将显示在“可用指标”窗格中。

< ">标准DDoS防护针对已启用DDoS的虚拟网络中受保护资源的每个公共IP，应用三个自动优化的缓解策略（TCP SYN、TCP和UDP）。可以选择“触发DDoS缓解措施的入站数据包数”指标来查看策略阈值。

可用指标和指标图表

< ">策略阈值是通过基于机器学习的网络流量探查自动配置的。仅当超过策略阈值时，才会对受攻击的IP地址进行DDoS缓解。

< ">受DDoS攻击的IP地址的指标

< ">如果公共IP地址受到攻击，则“是否受DDoS攻击”指标的值将切换为1，因为DDoS防护会针对攻击流量执行缓解措施。

“是否受DDoS攻击”指标和图表

< ">我们建议对此指标配置警报。然后，在对公共IP地址执行主动的DDoS缓解措施时会收到通知。

< ">有关详细信息，请参阅使用Azure门户管理标准Azure DDoS防护。

< ">防范资源攻击的Web应用程序防火墙

< ">针对应用层中发生的资源攻击，应该配置Web应用程序防火墙(WAF)来帮助保护Web应用程序。WAF会检查入站Web流量，以阻止SQL注入、跨站点脚本、DDoS和其他第7层攻击。Azure提供WAF作为应用程序网关的一项功能，以便在出现常见攻击和漏洞时为Web应用程序提供集中保护。此外，Azure合作伙伴还会通过Azure市场提供其他WAF产品/服务，它们可能更适合解决你的需求。

< ">即使是Web应用程序防火墙这样的服务，也很容易遭受容量耗尽和状态耗尽攻击。我们强烈建议在WAF虚拟网络上启用标准DDoS防护，以帮助防范容量耗尽攻击和协议攻击。有关详细信息，请参阅DDoS防护参考舆情系统 排名体系结构部分。

< ">保护计划

< ">规划和准备对于了解系统在遇到DDoS攻击期间的表现至关重要。设计事件管理响应计划属于此工作的一部分。

< ">如果使用标准DDoS防护，请确保在面向Internet的终结点的虚拟网络上启用它。配置DDoS警报有助于持续密切关注基础结构上存在的任何潜在攻击。

< ">独立监视您的应用程序。了解应用程序的正常行为。如果应用程序在遇到DDoS攻击期间的行为不符合预期，请准备好采取措施。

< ">通过模拟测试来了解服务如何响应攻击。