Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Azure Front Door est un réseau de distribution de contenu (CDN) qui permet de protéger vos origines contre les attaques DDoS HTTP(S) en distribuant le trafic sur ses 192 points de présence (POP) de périphérie dans le monde entier. Ces POP utilisent le vaste WAN privé d’Azure pour distribuer vos services et applications web plus rapidement et de manière plus sécurisée à vos utilisateurs finaux. Azure Front Door inclut une protection DDoS de couche 3, 4 et 7, et un pare-feu d’applications web (WAF) pour protéger vos applications contre les attaques et vulnérabilités courantes.
Protection DDoS de l’infrastructure
Azure Front Door tire parti de la protection DDoS d’infrastructure Azure par défaut. Cette protection surveille et atténue les attaques de couche réseau en temps réel à l’aide de la mise à l’échelle mondiale et de la capacité du réseau de Azure Front Door. Elle a fait ses preuves dans la protection des services professionnels et grand public de Microsoft contre les attaques de grande envergure.
Blocage du protocole
Azure Front Door prend uniquement en charge des protocoles HTTP et HTTPS, et nécessite un en-tête Host valide pour chaque requête. Ce comportement permet d’éviter les types d’attaqueS DDoS courants tels que les attaques volumétriques qui utilisent différents protocoles et ports, les attaques d’amplification DNS et les attaques d’empoisonnement TCP.
Absorption de capacité
Azure Front Door est un service à grande échelle distribué au niveau mondial qui sert de nombreux clients, y compris les produits cloud de Microsoft, qui traitent des centaines de milliers de demandes par seconde. Positionné au seuil du réseau Azure, Azure Front Door peut intercepter et isoler géographiquement de des attaques de grands volumes, ce qui empêche le trafic malveillant d’aller au-delà du bord du réseau Azure.
Mise en cache
Utilisez les fonctionnalités Azure Front Door caching pour protéger vos back-ends contre les grands volumes de trafic générés par une attaque. Les nœuds de périphérie Azure Front Door retournent des ressources mises en cache, de sorte qu'ils ne transfèrent pas ces ressources à votre backend. Même les temps d’expiration de cache courts (secondes ou minutes) sur des réponses dynamiques peuvent réduire de façon considérable la charge sur vos services back-end. Pour plus d’informations sur les concepts et les modèles de mise en cache, consultez Considérations relatives à la mise en cache et modèle de réserve de caches.
Pare-feu d’applications web (WAF)
Utilisez Azure Web Application Firewall (WAF) pour vous protéger contre différents types d’attaques :
- L’ensemble de règles managées protège votre application contre de nombreuses attaques courantes. Pour plus d’informations, consultez Règles managées.
- Bloquer ou rediriger le trafic à partir de régions géographiques spécifiques vers une page web statique. Pour plus d’informations, consultez Géo-filtrage.
- Bloquer les adresses IP et plages identifiées comme malveillantes. Pour plus d'informations, consultez Restrictions sur les IP.
- Appliquer la limitation du débit pour empêcher les adresses IP d’appeler votre service trop fréquemment. Pour plus d’informations, consultez Limitation des tarifs.
- Créer des règles WAF personnalisées pour bloquer et limiter automatiquement le débit des attaques HTTP ou HTTPS avec des signatures connues.
- L’ensemble de règles managées de protection bot protège votre application contre les bots malveillants connus. Pour plus d’informations, consultez Configurer la protection des bots.
Pour obtenir des conseils sur l’utilisation d'Azure WAF afin de vous protéger contre les attaques DDoS, consultez Protection DDoS de l'application.
Protéger les origines du réseau virtuel
Activez Azure DDoS Protection sur votre réseau virtuel d’origine pour protéger vos adresses IP publiques contre les attaques DDoS. Ce service offre plus d’avantages tels que la protection des coûts, une garantie SLA et l’accès à l’équipe d’intervention rapide DDoS pour obtenir l’aide d’experts lors d’une attaque.
Liaison privée
Améliorez la sécurité de vos origines hébergées par Azure avec Azure Private Link pour restreindre l’accès à Azure Front Door. Cette fonctionnalité établit une connexion de réseau privé entre Azure Front Door et vos serveurs d’applications, évitant d’exposer vos origines sur l’Internet public.
Contenu connexe
- Configurer une stratégie WAF pour Azure Front Door.
- Créer un profil Azure Front Door.
- Comprendre comment fonctionne Azure Front Door.