Защита от DDoS-атак на базе DDoS-Guard — это профессиональный сервис фильтрации трафика, интегрированный в облачную платформу Рег.облако. Решение обеспечивает многоуровневую защиту веб-ресурсов и сетевой инфраструктуры от распределенных атак любого типа и мощности.
Для чего нужна защита от DDoS на уровне L7
Все облачные серверы в Рег.облаке защищены от DDoS-атак на уровнях L3-L4 по умолчанию. Защита реализована на уровне сети и активируется автоматически при заказе сервера. Подробнее об уровнях OSI и типах вредоносных атак вы можете узнать в статье.
Однако существует риск столкнуться с высокоуровневой DDoS-атакой на сайт или веб-приложение. Чаще всего злоумышленники реализуют такую атаку при помощи HTTP- или HTTPS-флуда — способа, который позволяет генерировать большое число запросов от нелегитимных ботов, которые имитируют реальных пользователей. От таких DDoS-атак требуется дополнительная защита уровня L7.
Как работает защита от DDoS на уровне L7
Фильтрация трафика в интеграции с DDoS-Guard происходит следующим образом:
-
1.
Перенаправление трафика в центр очистки. Устанавливается BGP-сессия между нашей автономной системой и автономной системой провайдера защиты DDoS-Guard. Мы анонсируем защищаемые подсети в сторону DDoS-Guard, после чего весь входящий трафик направляется в инфраструктуру провайдера.
-
2.
Прием трафика на узлах фильтрации. Трафик попадает в ближайший центр очистки трафика, где начинается его анализ.
-
3.
Фильтрация на уровне L3/L4. Отсекаются объемные DDoS-атаки, spoofing, SYN-флуд и другие сетевые аномалии. Нелегитимные пакеты отбрасываются на этом этапе.
-
4.
Фильтрация на уровне L7. Оставшийся трафик (HTTP/HTTPS) проходит через проксирующие узлы, где проверяются структура запросов, поведение клиентов и сигнатуры атак (например, HTTP flood или атаки на API).
-
5.
Проксирование легитимных запросов. Проверенные запросы отправляются на целевой сервис от имени инфраструктуры DDoS-Guard.
-
6.
Передача очищенного трафика в инфраструктуру. В защищаемую сеть поступает только очищенный трафик без вредоносной нагрузки.
Типы защиты от DDoS
Для облачных серверов в Рег.облаке доступно 2 типа защиты от DDoS:
-
1.
Базовая защита. Этот тип защиты подключается по умолчанию и работает на уровнях L3/L4 в прерываемом режиме. Переключение на центр очистки происходит в момент обнаружения сетевых атак. Имеет ограничение на пропуск легитимного трафика при сильных атаках.
-
2.
Расширенная защита от DDoS на уровнях L3-L7. Этот тип защиты позволяет предотвращать DDoS-атаки на уровнях L3/L4 и L7. Обеспечивает фильтрацию трафика на скорости от 10 до 100 Мбит/с, трафик постоянно проходит через центры фильтрации для выявления и блокировки угроз. С расширенной защитой вы сможете привязывать ваши домены и настраивать правила доступа к IP-адресу.
Тарифы расширенной защиты от DDoS
На данный момент доступно 3 тарифа расширенной защиты от DDoS.
Вредоносный трафик фильтруется независимо от силы DDoS-атаки и отдельно не тарифицируется.
Как заказать расширенную защиту от DDoS
-
1
Войдите в панель управления Рег.облака.
-
2
Нажмите + Новый ресурс.
-
3
Выберите Сервер.
-
4
Выберите образ, конфигурацию сервера и регион размещения. При необходимости подключите сетевой диск. Узнать больше о заказе сервера можно в статье: Заказ услуги «Облачные серверы».
-
5
В блоке «Настройки сети» подключите публичный IP-адрес. Для этого переведите переключатель в положение ON.
-
6
Выберите тип защиты Расширенная защита от DDoS на уровнях L3-L7.
-
7
Выберите тариф защиты.
-
8
При необходимости включите резервное копирование, добавьте SSH-ключ и измените название сервера.
-
9
Нажмите Заказать сервер.
Изменить тип защиты для существующего плавающего IP-адреса невозможно. Чтобы подключить расширенную защиту от DDoS к существующему серверу, привяжите к серверу защищенный плавающий IP-адрес:
-
1
Войдите в панель управления Рег.облака.
-
2
Перейдите в раздел Мои ресурсы > Виртуальные серверы.
-
3
Выберите сервер, для которого нужно подключить защиту от DDoS.
-
4
Перейдите на вкладку Сеть.
-
5
Нажмите + Создать новый IP-адрес.
-
6
Выберите тип защиты Расширенная защита от DDoS на уровнях L3-L7.
-
7
Выберите тариф защиты.
-
8
При необходимости добавьте описание для IP-адреса.
-
9
Нажмите Создать.
Как настроить расширенную защиту от DDoS
По умолчанию защита работает только на уровнях L3/L4. Чтобы расширенная защита от DDoS начала работать на уровне L7, нужно привязать к защищенному IP-адресу хотя бы 1 домен с SSL-сертификатом. Максимальное количество доменов, которое можно добавить под защиту, зависит от тарифа защиты.
Для этого:
-
1
Войдите в панель управления Рег.облака.
-
2
Перейдите в раздел Мои ресурсы > Сетевая инфраструктура.
-
3
Выберите IP-адрес, для которого нужно настроить защиту.
-
4
Перейдите на вкладку Настройка защиты L3-L7.
-
5
Нажмите + Добавить домен.
-
6
В поле Домен укажите имя домена, который хотите привязать к защищенному IP-адресу.
Важно
Убедитесь, что в DNS-настройках домена настроена A-запись, указывающая на этот IP-адрес. Изменить DNS-записи можно в панели управления доменом у регистратора или DNS-провайдера. Если для вашего домена используются DNS-серверы ns1.reg.ru/ns2.reg.ru, укажите А-запись по инструкции. Если для домена используются DNS-серверы ns5.hosting.reg.ru/ns6.hosting.reg.ru, добавьте запись по инструкции.
-
7
При необходимости добавьте описание.
-
8
Добавьте SSL-сертификат для домена. Вы можете:
- выпустить бесплатный сертификат Let’s Encrypt. Для этого выберите Бесплатный Let’s Encrypt. Сертификат выпустится автоматически и будет продлеваться каждые 90 дней;
Let’s Encrypt выполняет проверочный запрос к домену — если домен не отвечает, сертификат не выпустится.
- добавить пользовательский сертификат. Для этого выберите Пользовательский. В поле Сертификат (PEM) вставьте подряд сертификат домена, корневой и промежуточный сертификаты в формате .PEM. В поле Приватный ключ (PEM) вставьте приватный ключ в формате .PEM.
-
9
Нажмите Добавить домен.
Как настроить правило доступа (черный/белый список)
-
1
Войдите в панель управления Рег.облака.
-
2
Перейдите в раздел Мои ресурсы > Сетевая инфраструктура.
-
3
Выберите IP-адрес, для которого нужно настроить правило.
-
4
Перейдите на вкладку Настройка защиты L3-L7.
-
5
Нажмите + Добавить новое правило.
-
6
В поле Источник трафика укажите IPv4-адрес или подсеть в формате CIDR, к которой будет применяться правило.
-
7
В блоке «Доступ» выберите Запретить или Разрешить, чтобы запретить или разрешить доступ для указанного IP-адреса или подсети.
-
8
В выпадающем списке выберите домен, к которому применяется правило.
-
9
При необходимости добавьте описание.
-
10
Нажмите кнопку Добавить.
Как удалить правило доступа
-
1
Войдите в панель управления Рег.облака.
-
2
Перейдите в раздел Мои ресурсы > Сетевая инфраструктура.
-
3
Выберите IP-адрес, для которого нужно настроить правило.
-
4
Перейдите на вкладку Настройка защиты L3-L7.
-
5
В блоке Правила доступа (черный/белый список IP-адресов) напротив нужного правила нажмите на 3 точки (⋮) и выберите Удалить правило.
-
6
Нажмите Удалить.
Как отвязать домен от защищенного IP-адреса
-
1
Войдите в панель управления Рег.облака.
-
2
Перейдите в раздел Мои ресурсы > Сетевая инфраструктура.
-
3
Выберите IP-адрес, от которого нужно отвязать домен.
-
4
Перейдите на вкладку Настройка защиты L3-L7.
-
5
Напротив нужного нажмите на 3 точки (⋮) и выберите Удалить домен.
-
6
Нажмите Удалить домен.
Как изменить расширенной тариф защиты от DDoS
-
1
Войдите в панель управления Рег.облака.
-
2
Перейдите в раздел Мои ресурсы > Сетевая инфраструктура.
-
3
Напротив IP-адреса, для которого хотите изменить тариф защиты, нажмите на 3 точки (⋮) и выберите Изменить тариф защиты.
-
4
Выберите нужный тариф и нажмите Сохранить.
Была ли статья полезна?
Спасибо за оценку. Рады помочь 😊