業務需求在Azure上開VM跑服務後,受到持續攻擊導致服務受影響。
研究在Azure上要怎麼阻擋攻擊後,記錄一下Azure的各種防護方式及設定說明文檔。
Azure WAF 防護
Azure WAF跟CDN和負載平衡 綁一起,一定要接他的 CDN, 或 WEB 應用程式服務, 才可以啟用。
WAF跟防火牆不一樣,防火牆無法辨識HTTP請求內容是否有惡意行為,WAF針對 HTTP/HTTPS 訪問與請求進入網站前對所有流量進行分析與過濾,只讓正常且安全的流量進入網站。
DDoS防護
DDoS防護,針對網路層 (Layer 3) 和傳輸層 (Layer 4) 的攻擊
設定完成後,監視-計量就會有相關的資訊。
Azure 防火牆
可以設定L3-L7 防火牆 保護您的網路
針對網路層 (Layer 3) 和傳輸層 (Layer 4) 的攻擊
應用程式層防護:針對應用程式層 (Layer 7) 的攻擊,例如 HTTP 請求洪水、SQL 注入和
XSS。
DDoS的付費版防護
使用的服務不是AZURE的CDN或負載平衡,但又想要阻擋第七層的攻擊,可搭配DDoS的付費版防護達到。
WAF(application Gateway)
如果確認您受到的是CC攻擊,可以使用application Gateway,CC攻擊是屬於第七層,DDOS (3、4層)防護看不出問題連第七層防護的
WAF都不一定辨識到,這時就要用WAF中的Application Gateway防護。
相關文檔
https://learn.microsoft.com/zh-tw/azure/firewall-manager/configure-ddos
https://learn.microsoft.com/zh-tw/azure/ddos-protection/manage-ddos-protection
https://learn.microsoft.com/zh-tw/azure/application-gateway/quick-create-portal
https://learn.microsoft.com/zh-tw/azure/web-application-firewall/shared/waf-azure-policy
https://learn.microsoft.com/zh-tw/azure/web-application-firewall/ag/web-application-firewall-logs
沒有留言:
張貼留言