Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Azure Front Door ist ein CDN (Content Delivery Network), das Ihre Origin-Server vor HTTP(S)-DDoS-Angriffen schützt, indem es den Datenverkehr weltweit über seine 192 Points of Presence (PoPs) verteilt. Diese POPs verwenden das große private WAN von Azure, um Ihre Webanwendungen und Dienste schneller und sicherer für Ihre Endbenutzer bereitzustellen. Azure Front Door umfasst den DDoS-Schutz der Ebenen 3, 4 und 7 und eine Web Application Firewall (WAF), um Ihre Anwendungen vor allgemeinen Exploits und Sicherheitsrisiken zu schützen.
DDoS-Infrastrukturschutz
Azure Front Door profitiert vom standardmäßigen DDoS-Schutz der Azure-Infrastruktur. Dieser Schutz überwacht und verringert Netzwerkschichtangriffe in Echtzeit mithilfe der globalen Skalierung und Kapazität des Netzwerks von Azure Front Door. Es hat sich außerdem in der Praxis beim Schutz von Unternehmens- und Endkundendiensten von Microsoft vor großangelegten Angriffen bewährt.
Protokollblockierung
Azure Front Door unterstützt nur HTTP- und HTTPS-Protokolle und erfordert einen gültigen Host-Header für jede Anforderung. Dieses Verhalten trägt dazu bei, häufige DDoS-Angriffstypen wie volumetrische Angriffe, die verschiedene Protokolle und Ports, DNS-Amplifikationsangriffe und TCP-Vergiftungsangriffe verwenden, zu verhindern.
Kapazitätsabsorption
Azure Front Door ist ein umfangreicher, global verteilter Dienst, der viele Kunden bedient, einschließlich der eigenen Cloudprodukte von Microsoft, die Hunderte von Tausenden von Anforderungen pro Sekunde verarbeiten. Am Rand des Azure-Netzwerks positioniert, kann Azure Front Door Large Volume Attacks abfangen und geografisch isolieren und verhindern, dass bösartiger Datenverkehr über die Edge des Azure-Netzwerks hinausgeht.
Zwischenspeicherung
Verwenden Sie Azure Front Door Caching-Funktionen, um Ihre Back-Ends vor großen Datenverkehrsvolumen zu schützen, die von einem Angriff generiert werden. Azure Front Door-Edgeknoten geben zwischengespeicherte Ressourcen zurück, sodass sie diese Ressourcen nicht an Ihr Backend weiterleiten. Sogar kurze Cacheablaufzeiten (Sekunden oder Minuten) bei dynamischen Antworten können die Auslastung Ihrer Back-End-Dienste erheblich verringern. Weitere Informationen zu Caching-Konzepten und -Mustern finden Sie unter Caching considerations und Cache-aside-Muster.
Webanwendungsfirewall (WAF)
Verwenden Sie Azure Web Application Firewall (WAF) zum Schutz vor verschiedenen Arten von Angriffen:
- Der verwaltete Regelsatz schützt Ihre Anwendung vor vielen gängigen Angriffen. Weitere Informationen finden Sie unter Verwaltete Regeln.
- Blockieren oder Umleiten von Datenverkehr aus bestimmten geografischen Regionen zu einer statischen Webseite. Weitere Informationen finden Sie unter Geofilterung.
- Blockieren sie IP-Adressen und Bereiche, die als böswillig identifiziert wurden. Weitere Informationen finden Sie unter IP-Einschränkungen.
- Wenden Sie eine Ratenbegrenzung an, um zu verhindern, dass IP-Adressen Ihren Dienst zu häufig aufrufen. Weitere Informationen finden Sie unter Ratenbegrenzung.
- Erstellen Sie benutzerdefinierte WAF-Regeln, um HTTP- oder HTTPS-Angriffe mit bekannten Signaturen automatisch zu blockieren sowie eine Ratenbegrenzung anzuwenden.
- Der vom Botschutz verwaltete Regelsatz schützt Ihre Anwendung vor bekannten fehlerhaften Bots. Weitere Informationen finden Sie unter Konfigurieren des Botschutzes.
Anleitungen zur Verwendung von Azure WAF zum Schutz vor DDoS-Angriffen finden Sie unter Application DDoS Protection.
Schutz der virtuellen Netzwerkquellen
Aktivieren Sie Azure DDoS Protection in Ihrem virtuellen Ursprungsnetzwerk, um Ihre öffentlichen IPs vor DDoS-Angriffen zu schützen. Dieser Dienst bietet mehr Vorteile wie Kostenschutz, SLA-Garantie und Zugriff auf das DDoS Rapid Response Team für Expertenunterstützung während eines Angriffs.
Privater Link
Verbessern Sie die Sicherheit Ihrer von Azure gehosteten Ursprünge, indem Sie Azure Private Link verwenden, um den Zugriff auf Azure Front Door einzuschränken. Dieses Feature ermöglicht eine private Netzwerkverbindung zwischen Azure Front Door und Ihren Anwendungsservern, ohne dass Ihre Ursprünge für das öffentliche Internet verfügbar gemacht werden müssen.
Verwandte Inhalte
- Richten Sie eine WAF-Richtlinie für Azure Front Door ein.
- Erstellen Sie ein Azure Front Door-Profil.
- Verstehen Sie wie Azure Front Door funktioniert.