关于 Azure DDoS 防护层级比较
本文中的各个部分介绍 Azure DDoS 防护的资源和设置。
层
Azure DDoS 防护支持两种层级类型:DDoS IP 保护和 DDoS 网络保护。 层级是在 Azure DDoS 防护配置期间,在 Azure 门户中配置的。
下表显示了各种功能及对应的层级。
功能 | DDoS IP 保护 | DDoS 网络保护 |
---|---|---|
主动的流量监视和始终启用的检测 | 是 | 是 |
L3/L4 自动缓解攻击 | 是 | 是 |
自动缓解攻击 | 是 | 是 |
基于应用程序的缓解策略 | 是 | 是 |
指标和警报 | 是 | 是 |
缓解报告 | 是 | 是 |
缓解流日志 | 是 | 是 |
针对客户应用程序优化的缓解策略 | 是 | 是 |
与防火墙管理器集成 | 是 | 是 |
Microsoft Sentinel 数据连接器和工作簿 | 是 | 是 |
保护租户的各个订阅中的资源 | 是 | 是 |
公共 IP 标准层级保护 | 是 | 是 |
公共 IP 基本层级保护 | 否 | 是 |
DDoS 快速响应支持 | 不可用 | 是 |
成本保护 | 不可用 | 是 |
WAF 折扣 | 不可用 | 是 |
价格 | 按受保护 IP 进行计费 | 按 100 个受保护 IP 地址进行计费 |
注意
Azure DDoS 基础结构保护会保护使用公共 IPv4 和 IPv6 地址的每个 Azure 服务,无需用户额外付费。 此 DDoS 防护服务可帮助保护所有 Azure 服务,包括平台即服务 (PaaS) 服务,例如 Azure DNS。 有关支持的 PaaS 服务的详细信息,请参阅 DDoS 防护参考体系结构。 Azure DDoS 基础结构保护不需要对用户配置或应用程序做出任何更改。 Azure 针对 DDoS 攻击提供持续保护。 DDoS 防护不存储客户数据。
限制
DDoS 网络保护和 DDoS IP 保护具有以下限制:
- 目前不支持 PaaS 服务(多租户),包括适用于 Power Apps 的 Azure 应用服务环境、APIM 以外的部署模式中的 Azure API 管理与虚拟网络集成(有关详细信息,请参阅 https://techcommunity.microsoft.com/t5/azure-network-security-blog/azure-ddos-standard-protection-now-supports-apim-in-vnet/ba-p/3641671)以及 Azure 虚拟 WAN。
- 不支持保护附加到 NAT 网关的公共 IP 资源。
- 不支持经典/RDFE 部署中的虚拟机。
- VPN 网关或虚拟网络网关受 DDoS 策略保护。 自适应优化在此阶段不受支持。
- 部分支持:Azure DDoS 防护服务可以使用链接到其前端的公共 IP 前缀来保护公共负载均衡器。 此服务可以有效地检测和缓解 DDoS 攻击。 但是,前缀范围内受保护的公共 IP 地址的遥测和日志记录目前不可用。
DDoS IP 保护与网络保护类似,但具有以下额外限制:
- 不支持公共 IP 基本层级保护。
备注
支持单个 VM 在公共 IP 后运行的方案,但不建议这样做。 有关详细信息,请参阅基本最佳做法。
有关详细信息,请参阅 Azure DDoS 防护参考体系结构。