Защита от DDoS
Защита от DDoS-атак на Платформе NGENIX обеспечивается работой двух систем:
Системой защиты от DDoS-атак уровня сети передачи данных (защита на уровне L3-L4) - базовый функционал сервиса Edge Cloud Delivery
Системой защиты от DDoS-атак уровня приложений (защита на уровне L7) - сервис DDoS Protection
Системы защиты от DDoS-атак работают последовательно и образуют несколько эшелонов защиты.
Первый эшелон защиты предназначен для блокирования атак, детектируемых в результате анализа трафика на уровне сети передачи данных (L3-L4 уровни модели OSI). Второй эшелон защиты блокирует атаки, которые трудно выявить на уровне сети передачи данных, но можно детектировать на уровне приложений (L7 уровень модели OSI) в результате анализа HTTP-запросов. К таким типам атак, например, относятся атаки по протоколу HTTPS.
В дополнение к работе специализированных систем защиты Платформа обладает способностью демпфирования DDoS-атак на различных уровнях за счет большого запаса сетевых и вычислительных ресурсов. Это обеспечивает нормальное функционирование веб-ресурса в течение первой минуты DDoS-атаки до перехода систем защиты в режим фильтрации.
Встречаются случаи, когда защиту от DDoS-атак уровня приложений пытаются реализовать на базе ПО WAF, однако такой подход является малоэффективным, так как ПО WAF ориентировано на выявление атак с целью несанкционированного доступа и кражи данных, а не отказа в обслуживании.
Если вы собираетесь защитить веб-ресурс от взлома, то вы можете воспользоваться специализированными сервисами NGENIX на базе ПО WAF. В этом случае возникнет третий эшелон защиты с серверами WAF, которые анализируют и блокируют нежелательные запросы, направленные на эксплуатацию уязвимости веб-ресурса.
Система защиты от DDoS-атак уровня сети передачи данных
Система защиты от DDoS-атак уровня сети передачи данных представляет собой территориально распределенный программно-аппаратный комплекс, обеспечивающий защиту от DDoS-атак на уровне сети передачи данных и функционирующий на сети национального магистрального оператора связи «Ростелеком». Система производит постоянный анализ входящего трафика на Платформу. В случае обнаружения DDoS-атаки входящий трафик перенаправляется в центры очистки трафика, в которых происходит блокировка нежелательного трафика. В результате до Платформы NGENIX доходит только легитимный («очищенный») трафик. Центры очистки трафика работают независимо друга от друга, и в случае выхода из строя любого из них трафик будет автоматически перенаправлен на другие доступные центры очистки трафика.
Система защиты от DDoS-атак уровня приложений
Система защиты от DDoS-атак уровня приложений это программное решение, которое установлено на серверы доставки Платформы и обеспечивает защиту от DDoS-атак на прикладном уровне (L7 уровень модели OSI). Система производит анализ HTTP-запросов в постоянном режиме. В случае обнаружения DDoS-атаки нежелательный трафик блокируется, в результате чего до сервера оригинации доходит только легитимный («очищенный») трафик.
Анализ HTTP-запросов производится на основании информации, полученной с серверов доставки, обрабатывающих запросы пользователей к данным. Если серверы доставки не осуществляют терминиацию HTTPS, то информация о запросах может быть передана с сервера оригинации. Таким образом Платформа будет обеспечивать защиту от DDoS-атаки без раскрытия SSL.
pageВиды DDoS-атакТипы списков
Существуют два вида списков: системные и пользовательские.
Пользовательские списки могут создаваться и изменяться пользователями. Системные списки создаются и редактируются системой защиты от DDoS-атак или инженерами службы сопровождения клиентских сервисов.
Система защиты от DDoS-атак уровня приложений использует следующие системные списки IP-адресов:
Черный список. Формируется в автоматическом режиме на основании анализа HTTP-запросов и содержит IP-адреса источников нежелательного трафика. Если IP-адрес занесен в черный список, на любые HTTP-запросы с этого IP-адреса Платформа отдаст 403 код статуса HTTP («Forbidden») страницу-заглушку.
Фильтрационный список. Формируется в автоматическом режиме на основании анализа HTTP-запросов и содержит IP-адреса, в отношении которых Платформа проводит дополнительную валидацию источников.
Белый список. Формируется службой сопровождения клиентских сервисов и содержит IP-адреса доверенных сетей.
Вы можете самостоятельно формировать белые списки IP-адресов. Пользовательские белые списки IP-адресов имеют приоритет над системными списками IP-адресов системы защиты от DDoS-атак уровня приложений.
Комплексная защита веб-ресурса от DDoS-атак
Платформа NGENIX обеспечивает защиту от DDoS-атак при настройке трёх сервисов:
Edge Cloud Delivery (L3-L4),
DDoS Protection (L7),
Сервис Edge Cloud Delivery является основой для каждой сервисной конфигурации, которую вы создаёте, и по-умолчанию включает в себя защиту на уровнях L3-L4. Также существует возможность настройки выделенного профиля анализа для АПК Периметр.
pageКак настроить защиту от DDoS-атак на L3-L4?Сервис DDoS Protection анализирует поступающий на Платформу трафик и блокирует нежелательный трафик, при этом легитимный трафик не блокируется. Сервис настраивается для каждой сервисной конфигурации, которую вы собираетесь защитить.
pageКак настроить защиту от DDoS-атак на L7?Сервис Secure DNS анализирует запросы к DNS и блокирует запросы, которые обладают признаками DDoS-атаки. Сервис настраивается для доменной зоны.
Если вы защищаете с помощью Платформы веб-ресурc полностью, то необходимо, чтобы все запросы к веб-ресурсу (к статическим и динамическим данным), в том числе и запросы к DNS, осуществлялись через Платформу NGENIX.
pageПередача доменной зоныpageСтатистика и аналитикаLast updated
