分布式拒绝服务 (DDoS) 攻击是将应用程序移动到云的客户所面临的一些最大的可用性和安全性问题。 DDoS 攻击尝试耗尽应用程序的资源，使应用程序对于合法用户不可用。 DDoS 攻击可能会将任何可通过 公开访问的终结点作为目标。

Azure DDoS 防护与应用程序设计最佳做法相结合，提供增强的 DDoS 缓解功能来防御 DDoS 攻击。 这种防护自动经过优化，可帮助保护虚拟网络中的特定 Azure 资源。 可在任何新的或现有的虚拟网络上启用保护，且无需对应用程序或资源做出任何更改。

Azure DDoS 防护在第 3 层和第 4 层网络层进行保护。 对于第 7 层的 Web 应用程序保护DDOS，需要使用 WAF 产品/服务在应用程序层添加保护。 有关详细信息，请参阅应用程序 DDoS 防护。

注释

Azure DDoS 防护是构成 Azure 中网络安全类别的服务之一。 此类别中的其他服务包括 Azure 防火墙 和 Azure Web 应用程序防火墙。 每个服务都有自己的独特功能和用例。 有关此服务类别的详细信息，请参阅 网络安全。

层级DDoS 网络保护

Azure DDoS 网络保护与应用程序设计最佳做法相结合，提供增强的 DDoS 缓解功能来防御 DDoS 攻击。 这种防护自动经过优化，可帮助保护虚拟网络中的特定 Azure 资源。 有关启用 DDoS 网络保护的详细信息，请参阅快速入门：使用 Azure 门户创建和配置 Azure DDoS 网络保护。

DDoS IP 保护

DDoS IP 保护是一种按受保护 IP 进行计费的模型。 DDoS IP 保护包含与 DDoS 网络保护相同的核心工程功能，但在以下增值服务中将有所不同：DDoS 快速响应支持、成本保护和 WAF 折扣。 若要详细了解如何启用 DDoS IP 保护，请参阅快速入门：使用 Azure 创建和配置 Azure DDoS IP 保护。

有关层级的详细信息，请参阅 DDoS 防护层级比较。

关键功能

Azure DDoS 快速响应：在主动攻击期间，启用了 Azure DDoS 网络保护的客户有权联系 DDoS 快速响应 (DRR) 团队，该团队可在攻击过程中帮助进行攻击调查，并且可在攻击之后帮助进行分析。 有关详细信息，请参阅 Azure DDoS 快速响应。

本机平台集成：本机集成到 Azure 中。 包括通过 Azure 门户进行配置。 Azure DDoS 防护了解你的资源和资源配置。

统包保护：启用 DDoS 网络保护后，简化后的配置会立即保护虚拟网络上的所有资源。 要求没有干预或用户定义。 同样，启用 DDoS IP 保护后，简化后的配置会立即保护公共 IP 资源。

多层保护：与 Web 应用程序防火墙 (WAF) 一起部署时，Azure DDoS 防护在网络层（由 Azure DDoS 防护提供支持的第 3 层和第 4 层）和应用程序层（由 WAF 提供支持的第 7 层）均提供保护。 WAF 产品/服务包括 Azure 应用程序网关 WAF SKU，以及 Azure 市场中提供的第三方 Web 应用程序防火墙产品/服务。

广泛的缓解规模：可以使用全球容量缓解所有 L3/L4 攻击途径，从而防止最大的已知 DDoS 攻击。

成本保证：获得因记录的 DDoS 攻击而产生的资源成本的数据传输和应用程序横向扩展服务额度。

体系结构

Azure DDoS 防护面向虚拟网络中部署的服务。 对于其他服务，会应用默认的基础结构级 DDoS 防护，这可防范常见网络层攻击。 要详细了解支持的体系结构，请参阅 DDoS 防护参考体系结构。

定价

对于 DDoS 网络保护，在租户下，可以跨多个订阅使用单个 DDoS 防护计划，因此无需创建多个 DDoS 防护计划。对于 DDoS IP 保护，无需创建 DDoS 防护计划。 客户可对任何公共 IP 资源启用 DDoS IP 保护。

要了解 Azure DDoS 防护定价，请参阅 Azure DDoS 防护定价。

最佳做法

请通过遵循以下最佳做法来最大程度地提高 DDoS 防护和缓解策略的有效性：

若要详细了解最佳做法，请参阅基本最佳做法。

常见问题解答

有关常见问题解答，请参阅 DDoS 防护常见问题解答。

后续步骤