Что произойдет, если Google изменит свои записи A, чтобы они указывали на мою службу приложений Azure?
Здесь чисто гипотетически, но я имел дело с (случайными) DDoS-атаками на один из наших веб-серверов в недавнем прошлом, и мне всегда было любопытно, что произойдет, если вы полностью откроете шлюзы.
Очевидно, что все, что размещено на этом конкретном экземпляре веб-сервера, остановится, и наша лучшая ставка для (относительно) быстрого смягчения этой проблемы будет заключаться в том, чтобы полностью убить план обслуживания приложения и свернуть новый с нуля (делая абсолютно уверен, что это не в конечном итоге с тем же IP-адресом).
Кроме того, что может быть хорошим способом для смягчения такой "атаки", особенно в среде службы приложений Azure? Сможете ли вы проверить соответствующие заголовки и сбросить трафик до того, как веб-сервер обработает запрос? Это то, что может быть обработано диспетчером трафика?
Я знаю, что в Azure есть некоторые встроенные средства предотвращения DDoS, но я думаю, что что-то вроде этого сценария будет почти невозможно смягчить, так как трафик будет поступать отовсюду.
Заранее спасибо!
1 ответ
Для уровня 7 (HTTP/HTTPS); вы можете настроить шлюз приложений Azure в режиме брандмауэра веб-приложений (WAF), чтобы маршрутизировать весь трафик в среду службы приложений. Для защиты L3/L4 вы можете настроить службу Azure DDoS Protection Standard в виртуальной сети шлюза приложений. Далее в настройках веб-приложения убедитесь, что трафик принимается только через IP-адреса шлюза приложений.