关于 Azure DDoS 防护层级比较

本文中的各个部分介绍 Azure DDoS 防护的资源和设置。

Azure DDoS 防护支持两种层级类型:DDoS IP 保护和 DDoS 网络保护。 层级是在 Azure DDoS 防护配置期间,在 Azure 门户中配置的。

下表显示了各种功能及对应的层级。

功能 DDoS IP 保护 DDoS 网络保护
主动的流量监视和始终启用的检测
L3/L4 自动缓解攻击
自动缓解攻击
基于应用程序的缓解策略
指标和警报
缓解报告
缓解流日志
针对客户应用程序优化的缓解策略
与防火墙管理器集成
Microsoft Sentinel 数据连接器和工作簿
保护租户的各个订阅中的资源
公共 IP 标准层级保护
公共 IP 基本层级保护
DDoS 快速响应支持 不可用
成本保护 不可用
WAF 折扣 不可用
价格 按受保护 IP 进行计费 按 100 个受保护 IP 地址进行计费

注意

Azure DDoS 基础结构保护会保护使用公共 IPv4 和 IPv6 地址的每个 Azure 服务,无需用户额外付费。 此 DDoS 防护服务可帮助保护所有 Azure 服务,包括平台即服务 (PaaS) 服务,例如 Azure DNS。 有关支持的 PaaS 服务的详细信息,请参阅 DDoS 防护参考体系结构。 Azure DDoS 基础结构保护不需要对用户配置或应用程序做出任何更改。 Azure 针对 DDoS 攻击提供持续保护。 DDoS 防护不存储客户数据。

限制

DDoS 网络保护和 DDoS IP 保护具有以下限制:

  • 目前不支持 PaaS 服务(多租户),包括适用于 Power Apps 的 Azure 应用服务环境、APIM 以外的部署模式中的 Azure API 管理与虚拟网络集成(有关详细信息,请参阅 https://techcommunity.microsoft.com/t5/azure-network-security-blog/azure-ddos-standard-protection-now-supports-apim-in-vnet/ba-p/3641671)以及 Azure 虚拟 WAN。
  • 不支持保护附加到 NAT 网关的公共 IP 资源。
  • 不支持经典/RDFE 部署中的虚拟机。
  • VPN 网关或虚拟网络网关受 DDoS 策略保护。 自适应优化在此阶段不受支持。
  • 部分支持:Azure DDoS 防护服务可以使用链接到其前端的公共 IP 前缀来保护公共负载均衡器。 此服务可以有效地检测和缓解 DDoS 攻击。 但是,前缀范围内受保护的公共 IP 地址的遥测和日志记录目前不可用。

DDoS IP 保护与网络保护类似,但具有以下额外限制:

  • 不支持公共 IP 基本层级保护。

备注

支持单个 VM 在公共 IP 后运行的方案,但不建议这样做。 有关详细信息,请参阅基本最佳做法

有关详细信息,请参阅 Azure DDoS 防护参考体系结构

后续步骤