[新产品/新功能] 微软 HTTP DDoS 规则集 1.0 在 Application Gateway WAF v2 上开启公开预览

**发布时间:** 2025-11-18 **厂商:** Azure **类型:** Updates ---  [新产品/新功能] 微软 HTTP DDoS 规则集 1.0 在 Application Gateway WAF v2 上开启公开预览   # 产品功能分析 ## 新功能/新产品概述 Azure 宣布推出 **HTTP DDoS 规则集 1.0** 的公开预览版，该规则集专为 **Application Gateway WAF v2** 设计。这是一个自动化的、自适应的应用层（**Layer 7**）DDoS 防护解决方案。它的核心目标是应对导致应用停机的 HTTP DDoS 攻击，特别是那些由不断演变的**僵尸网络**（botnets）发起的复杂攻击，而传统的静态控制措施对此类攻击往往力不从心。其工作原理基于**机器学习**和**行为分析**：规则集一旦启用，会持续学习每个应用网关的正常流量模式，建立动态基线。当检测到攻击性流量激增时，它会自动、选择性地阻止恶意客户端，整个过程无需人工紧急干预或调整规则。该产品的目标用户是所有使用 Azure Application Gateway WAF v2 并寻求更高级、自动化 L7 DDoS 防护的企业。它将 Azure WAF 从一个基于静态规则的防护工具，提升为一个更智能、更具弹性的安全服务。 ## 关键客户价值 - **自动化防御与零运维干预** - **业务价值**：显著降低了应对 L7 DDoS 攻击时的运维负担和响应时间。安全团队无需在攻击期间手动分析流量并紧急调整速率限制规则，系统可自动完成检测和缓解，保障业务连续性。 - **差异化优势**：与传统 WAF 依赖的静态速率限制相比，该规则集采用动态基线学习，能更精准地识别异常流量，有效避免了因规则过于严格而误伤正常用户，或因规则过于宽松而放过攻击的问题。 - **增强的威胁防护能力** - **业务价值**：有效抵御低速率、分布式等高级 HTTP DDoS 攻击，保护应用免受因资源耗尽或服务过载导致的停机，从而避免收入损失和品牌声誉损害。 - **实现机制**：该功能集成了两种核心防护规则： - **高速率客户端异常检测**：通过分析单个客户端 IP 的请求速率，识别并阻止暴力请求型攻击。 - **疑似机器人检测**：利用**微软威胁情报**（Microsoft Threat Intelligence）的强大能力，识别和拦截来自已知恶意僵尸网络的攻击流量，实现了情报驱动的精准防御。 - **高精准度与低误报率** - **业务价值**：在提供强大保护的同时，最大限度地减少对合法用户流量的干扰，确保了良好的用户体验。 - **实现机制**：系统不仅在网关级别建立流量基线，还在每个客户端 IP 的级别进行学习，提供了更精细的分析维度。结合动态阈值和可调的敏感度设置，使其能够准确区分真实的攻击流量和合法的业务流量高峰。 ## 关键技术洞察 - **自适应流量基线技术** - **技术独特性**：其核心是 _基于持续的流量监控和机器学习算法_，为每个受保护的应用网关和客户端 IP 动态生成流量模型（基线）。这是一种典型的**异常检测**（Anomaly Detection）技术在网络安全领域的应用。 - **工作原理**：系统持续分析请求速率、流量模式等多个指标，建立起一个代表“正常”行为的动态画像。任何显著偏离此基线的行为都会被标记为潜在攻击，从而触发缓解措施。这种自适应能力使其能够应对此前未见过的零日攻击模式。 - **混合检测引擎** - **技术创新点**：该规则集巧妙地将基于行为的**异常检测**与基于签名的**威胁情报**相结合，构成了分层防御体系。 - **行为分析层**：负责识别未知的、模式异常的攻击流量。 - **情报驱动层**：利用微软全球网络采集的威胁情报，快速拦截已知的恶意行为者和攻击工具。 - **影响**：这种双重机制极大地提升了检测的广度和深度，既能防范未知威胁，也能高效处理已知攻击，实现了更全面的防护覆盖。 ## 其他信息 - **当前状态**：该功能目前处于**公开预览**（Public Preview）阶段，意味着功能可能仍在迭代，不建议用于生产环境的关键业务。 - **访问方式**：用户需要通过 Azure 的预览门户（preview portal）来访问和配置此功能。   # 公共预览：Application Gateway WAF v2 上的 Microsoft HTTP DDoS 规则集 1.0 **发布时间:** 2025-11-18 **厂商:** Azure **类型:** 更新 --- 宣布推出适用于 Application Gateway WAF v2 的 HTTP DDoS 规则集 (HTTP DDoS Ruleset) 的公共预览。 HTTP 层的 DDoS 攻击仍然是导致应用程序停机的主要原因，而传统的静态控制措施在应对不断演进的僵尸网络 (botnets) 时常常力不从心。适用于 Azure WAF 的全新 HTTP DDoS 规则集引入了自动化的自适应第七层 (Layer 7) 保护，它能够以最少的配置实现学习、检测和防御。一旦分配，该规则集会为每个 Application Gateway 的正常流量持续建立基线，并在检测到攻击流量激增时，选择性地阻止恶意客户端，无需进行紧急调优。 HTTP DDoS 规则集具有以下特性： - 在网关和单个 IP 两个层面上自动学习流量基线。 - 动态阈值和敏感度设置，以平衡保护效果与用户体验。 - 两条核心规则：一条针对高频客户端异常，另一条利用微软威胁情报 (Microsoft Threat Intelligence) 识别可疑僵尸网络。目前，该功能可通过 [预览门户](https://preview.portal.azure.com/) 进行访问。 [了解更多](https://learn.microsoft.com/en-us/azure/web-application-firewall/ag/ddos-ruleset) 。