Как настроить защиту от DDoS-атак?
В этой статье описана процедура изменения настроек сервисной конфигурации, для которой необходимо обеспечить защиту от DDoS-атак.
Если вы находитесь под DDoS-атакой и не настроили защиту от DDoS-атак сообщите об этом в Службу сопровождения клиентских сервисов и/или вашему Аккаунт-менеджеру NGENIX для ускорения процедуры настройки.
Система защиты от DDoS-атак уровня сети передачи данных защищает инфраструктуру Платформы в целом, а значит все ее пользователи (заказчики) получают защиту от DDoS-атак уровня сети передачи данных по умолчанию при пользовании сервисами Edge Cloud Delivery и Secure DNS.
1. Создайте и наполните белый список IP-адресов
Перед тем, как настроить защиту от DDoS-атак уровня приложений, определите список IP-адресов, запросы от которых не будут заблокированы Платформой при митигации DDoS-атак.
Вы можете создать новый список IP-адресов по инструкции ниже или использовать один из существующих списков с типом Белый список защиты от DDoS-атак (L7). Перечень существующих списков Аккаунта размещается в NGENIX Multidesk на странице Списки (боковое меню настроек Аккаунта).
Перейдите в NGENIX Multidesk на страницу Списки (боковое меню настроек Аккаунта).
Нажмите + Добавить список. В всплывающем окне:
Введите Название списка.
В выпадающем списке Контент списка укажите значение IPv4-адреса.
В выпадающем списке Тип списка укажите значение Белый список защиты от DDoS-атак (L7).
Нажмите на кнопку Сохранить.
Вы будете переведены на страницу Управление списком вновь созданного списка.
Нажмите + Добавить префиксы. В всплывающем окне:
Введите списки IP-адресов.
При необходимости укажите время жизни значений в списке с помощью опции Укажите TTL в секундах.
Нажмите Добавить префиксы.
2. Инициируйте настройку защиты от DDoS-атак уровня приложений
Создайте обращение в Службу сопровождения клиентских сервисов с просьбой включить защиту от DDoS-атак уровня приложений, указав:
Идентификатор Сервисной конфигурации (ConfID) для которой вы хотите включить защиту от DDoS-атак.
Название белого списка IP-адресов, запросы от которых не должны быть заблокированы Платформой при митигации DDoS-атак.
3. Разрешите доступ к серверу оригинации только с IP-адресов NGENIX
Для того, чтобы у злоумышленников не было возможности атаковать ваш веб-ресурс в обход систем защиты от DDoS-атак NGENIX:
Разрешите на сетевом оборудовании доступ к серверу оригинации с IP-адресов Платформы и других сетей, которые вы считаете доверенными.
Ограничьте для всех остальных доступ к серверу оригинации из сети Интернет (если трафик веб-ресурса обслуживается Платформой).
4. Получите уведомление о завершении настройки сервиса
Получите уведомление о завершении первичной настройки системы защиты от DDoS-атак уровня приложений и начале периода ее обучения.
Для выявления и блокировки нежелательного трафика система защиты от DDoS-атак уровня приложений должна находиться в режиме обучения в течение 7 дней. За этот период система изучит профиль и характер вашего легитимного трафика. В этот период весь трафик конечных пользователей должен обслуживаться Платформой.
В режиме обучения система не будет блокировать DDoS-атаки. Если вы подверглись DDoS-атаке в период обучения сообщите об этом в Службу сопровождения клиентских сервисов. Инженеры NGENIX завершат обучение системы на основе эвристических предположений о характере легитимного трафика и она будет переведена в режим блокировки для отражения DDoS-атаки.
Получите уведомление о переводе системы защиты от DDoS-атак уровня приложений в режим блокировки и завершении настройки сервиса защиты от DDoS-атак.
5. Кастомизируйте страницу-заглушку
При блокировке запросов системой защиты от DDoS-атак уровня приложений пользователю отображается страница-заглушка с информацией об ограничении доступа к веб-ресурсу.
Отображаемую пользователю страницу-заглушку вы можете кастомизировать:
Добавить свой логотип.
Изменить цвета текста и фона на странице.
Указать текст сообщения, которое необходимо отобразить пользователю и контакты вашей технической поддержки для связи.
Last updated