Azure DDoS防护参考体系结构详解

Azure DDoS防护参考体系结构详解

Azure DDoS防护是微软Azure平台提供的分布式拒绝服务（DDoS）攻击防护服务，能够有效保护云上资源免受DDoS攻击。本文详细介绍了Azure DDoS防护的参考体系结构，包括受保护的资源类型、虚拟机工作负载、PaaS Web应用程序以及非Web PaaS服务的缓解措施等。

受保护的资源

Azure DDoS防护支持以下资源类型：

• 公共IP附加到：
• IaaS虚拟机
• 应用程序网关（包括WAF）集群
• Azure API管理（仅限高级层）
• Bastion
• 在外部模式下连接到虚拟网络(VNet)
• 防火墙
• 基于IaaS的网络虚拟设备(NVA)
• 负载均衡器（经典和标准负载均衡器）
• Service Fabric
• VPN Gateway

不支持的资源包括：

• Azure虚拟WAN
• 支持模式之外的部署模式中的Azure API管理
• PaaS服务（多租户），包括用于Power Apps的Azure应用服务环境
• NAT网关

注意： 对于Web工作负载，强烈建议使用Azure DDoS防护和Web应用程序防护墙来抵御新兴的DDoS攻击。另一种选择是将Azure Front Door与Web应用程序防火墙一起使用。Azure Front Door提供平台级保护来抵御网络级DDoS攻击。

虚拟机(Windows/Linux)工作负荷

负载均衡的虚拟机上运行的应用程序

针对如何通过在负载均衡器后的规模集中运行多个Windows虚拟机以提高可用性和可伸缩性，此参考体系结构显示了一组已经过验证的做法。可对任何无状态工作负荷（例如Web服务器）使用此体系结构。

在此体系结构中，工作负载分布于多个虚拟机实例。有单个公共IP地址，并且Internet流量通过负载均衡器分布到这些虚拟机。

负载均衡器将传入的Internet请求分配到VM实例。虚拟机规模集允许手动或者基于预定义规则自动扩展或缩减VM的数量。如果资源遭受DDoS攻击，此功能非常重要。

DDoS网络保护虚拟机体系结构

Azure (Internet) 负载均衡器（已与公共IP关联）的虚拟网络上已启用DDoS网络防护。

DDoS IP保护虚拟机体系结构

DDoS IP保护在公共负载均衡器的前端公共IP地址上启用。

在Windows N层上运行的应用程序

有许多方法可用来实现N层体系结构。下图显示了典型的三层Web应用程序。此体系结构是基于运行负载均衡的VM以实现可伸缩性和可用性一文构建的。Web层和业务层都使用负载均衡的VM。

DDoS网络保护Windows N层体系结构

在此体系结构示意图中，已在虚拟网络上启用DDoS网络保护。虚拟网络中的所有公共IP将得到第3层和第4层DDoS防护。要获得第7层防护，请部署WAF SKU中的应用程序网关。

DDoS IP保护Windows N层体系结构

在此体系结构示意图中，公共IP地址上已启用DDoS IP保护。

注意： 不建议在公共IP后运行单个VM的情况。检测到DDoS攻击时，DDoS缓解可能不会立即启动。因此，在这种情况下，无法横向扩展的单个VM部署将会失败。

PaaS Web应用程序

此参考体系结构显示了在单个区域中运行Azure应用服务应用程序。此体系结构显示了针对使用Azure应用服务和Azure SQL数据库的Web应用程序运用的一套经过证实的做法。已针对故障转移场景设置了备用区域。

Azure流量管理器将传入的请求路由到某个区域中的应用程序网关。在正常操作期间，它会将请求路由到活动区域中的应用程序网关。如果该区域不可用，流量管理器会故障转移到备用区域中的应用程序网关。

从Internet发往Web应用程序的所有流量通过流量管理器路由到应用程序网关公共IP地址。在此场景中，应用服务（Web应用）本身不直接面向外部，且受应用程序网关的保护。

我们建议配置应用程序网关WAF SKU（预防模式）来帮助防范第7层（HTTP/HTTPS/Web套接字）攻击。此外，Web应用配置为仅接受来自应用程序网关IP地址的流量。

具有PaaS Web应用程序体系结构的DDoS网络保护

在此体系结构示意图中，已在Web应用网关虚拟网络上启用DDoS网络保护。

使用PaaS Web应用程序体系结构的DDoS IP保护

在此体系结构示意图中，已在与Web应用程序网关关联的公共IP上启用了DDoS IP保护。

针对非Web PaaS服务的缓解措施

Azure上的HDInsight

此参考体系结构显示如何为Azure HDInsight群集配置DDoS防护。确保HDInsight群集已链接到虚拟网络，并在该虚拟网络上启用了DDoS防护。

在此体系结构中，从Internet发往HDInsight群集的流量路由到与HDInsight网关负载均衡器关联的公共IP。然后，网关负载均衡器直接将流量发送到头节点或工作节点。由于已在HDInsight虚拟网络上启用DDoS防护，虚拟网络中的所有公共IP都将得到第3层和第4层DDoS防护。此参考体系结构可与N层和多区域参考体系结构相结合。

具有Azure防火墙和Azure Bastion的中心辐射型网络拓扑

此参考体系结构详细介绍了中心辐射型拓扑，Azure防火墙在中心内作为DMZ来适应需要集中控制安全方面的场景。Azure防火墙是托管防火墙即服务，并放置在其自己的子网中。Azure Bastion部署并放置在其自己的子网中。

有两个分支使用VNet对等互连连接到中心，并且没有分支到分支连接。如果需要分支到分支连接，则需要创建路由，以将流量从一个分支转发到防火墙，然后防火墙可以将流量路由到另一个分支。中心内的所有公共IP都受DDoS防护保护。在此方案中，中心的防火墙有助于控制来自Internet的入口流量，同时保护防火墙的公共IP。Azure DDoS防护还保护堡垒的公共IP。

DDoS网络保护中心辐射型网络

在此体系结构示意图中，已在中心虚拟网络上启用Azure DDoS网络保护。

DDoS IP保护中心辐射型网络

在此体系结构示意图中，已在公共IP地址上启用Azure DDoS IP保护。

注意： Azure DDoS基础结构保护会保护使用公共IPv4和IPv6地址的每个Azure服务，无需用户额外付费。此DDoS防护服务可帮助保护所有Azure服务，包括平台即服务(PaaS)服务，例如Azure DNS。