重要
Azure Front Door Web 应用程序防火墙(WAF)中的Microsoft HTTP DDoS 规则集目前为预览版。 有关适用于 Beta 版、预览版或尚未正式发布的 Azure 功能的法律条款,请参阅 Azure 预览版补充使用条款 。
HTTP 层洪水仍然是应用程序可用性事件的最频繁驱动因素,静态控制(IP/地理筛选器、固定速率限制)通常无法跟上分布式僵尸网络的速度。 新的 HTTP DDoS 规则集是 Azure Web 应用程序防火墙(WAF)的第一个自动化第 7 层保护模型,该模型通过最少的用户配置来学习、检测和防御。 分配后,规则集会持续为 Azure Front Door 的每个配置文件设定正常流量基线,当流量激增表明发生攻击时,有选择地阻止攻击客户端,无需进行紧急调整。
HTTP DDoS 规则集的工作原理
将 DDoS 规则集应用于附加到 Azure Front Door Premium 配置文件的策略后,将使用滚动窗口计算流量基线。 对于在过去七天内至少收到50%流量的配置文件,规则集将在24到36小时内计算基线,并开始检测流量峰值。 如果 Front Door 配置文件未收到足够的流量(在过去七天内少于 50%),则规则集不会检测或阻止攻击,直到存在足够的流量来建立可靠的基线。
请求阈值在全局配置文件级别学习。 如果将配置了 HTTP DDoS 规则集的单个 WAF 策略分配给多个 Azure Front Door 配置文件,则会为策略附加到的每个配置文件单独计算流量阈值。
HTTP DDoS 规则集学习全局阈值和每个 IP 地址的阈值。 在请求的配置文件阈值被超越之前,不会触发基于 IP 的阈值。 一旦超出配置文件阈值,就会强制执行 IP 阈值,并且任何超出其基线的 IP 地址都受确定的基线速率限制。 此方法可防止规则集阻止来自几个 IP 地址的流量高峰,除非它们导致配置文件中的请求总数超过阈值。
HTTP DDoS 规则集中的每个规则都提供三个敏感度级别,每个级别对应于不同的阈值。 较高的敏感度设置为该规则应用较低的阈值,而较低的敏感度设置则应用更高的阈值。 默认设置和建议的设置是中等敏感度。
HTTP DDoS 规则集是 Azure WAF 评估的第一个规则集,即使在自定义规则之前也是如此。
重要
使用 “允许” 作配置的任何自定义规则都不会绕过 HTTP DDoS 规则集,但会绕过所有其他 WAF 检查。
规则集规则
HTTP DDoS 规则集目前有两个规则,每个规则具有不同的敏感度和操作设置。 每个规则都会为符合其条件的流量维护单独的流量基线。
规则 500100:在高客户端请求速率上检测到异常: 此规则跟踪并建立策略附加到的配置文件上所有流量的基线。 当客户超过设定的阈值时,将触发相应的配置的动作。
规则 500110:可疑机器人发送高请求率: 通过此规则,可以根据由 Microsoft 威胁智能识别为机器人的流量设置不同的敏感度级别。 对于可疑机器人,默认阈值比所有其他 IP 地址的默认阈值更严格。 当超过全局配置阈值时,分类为高风险的机器人会立即被此规则阻止。
监视 HTTP DDoS 规则集
预览期间,某些监视功能受到限制。 以下监视选项当前可用于 HTTP DDoS 规则集:
当 IP 地址首次违反阈值限制时,会将该 IP 地址的日志条目记录为 HTTP DDoS 规则集的 阻止的动作,并且 WAF 管理规则 匹配 指标会递增。
可以使用 Web 应用程序防火墙 请求计数 指标监视块数,并按 规则名称进行筛选。
访问预览版
目前,Azure Front Door 上的 HTTP DDoS 规则集处于有限预览状态。 若要参与预览版,请填写 注册表单。 提交表单后,产品团队的成员将与你联系,并提供进一步的说明。
局限性
在预览期间,以下限制适用于 HTTP DDoS 规则集:
无法允许来自特定 IP 地址的流量绕过 DDoS 规则集或处罚框。
将 HTTP DDoS 规则集分配到 WAF 策略后,使用生产门户对其他托管规则集所做的任何更改都将从 WAF 策略中删除 HTTP DDoS 规则集。