Защита веб-сайта без раскрытия сертификатов
Область применения: HTTPS-ресурсы без раскрытия сертификатов, платформа Облако VMware.
Если по каким-либо причинам заказчик не готов использовать раскрытие сертификатов, то можно использовать альтернативную схему.
При таком подключении сервис защиты работает как TCP-Proxy, принимая на себя все входящие соединения к защищаемому веб-сайту и перенаправляя их на реальный сайт заказчика. При этом выполняются механизмы очистки, только как для L4 трафика.
Чтобы было возможно реализовать более глубокую очистку, опционально заказчик настраивает веб-сервер/балансировщик своего веб-сайта для направления access log в сторону сервиса защиты. Получая access log от веб-сервера, сервис защиты может обнаруживать атаки на уровне L7 и добавлять IP-адреса источников атаки в черный список.
Особенности реализации схемы у разных сервисов защиты:
-
QRator. При работе TCP Proxy происходит подмена Source IP на адрес из пула адресов сервиса защиты. В этой схеме используется Proxy Protocol, через него заказчик может получить реальный IP адрес пользователя.
-
StormWall. TCP Proxy не изменяет Source IP. Заказчик получает реальные IP-адреса пользователей обычным образом, из заголовков пакета. При этом исходящий трафик не проходит систему защиты, то есть имеет место асимметричность прохождения трафика.
Для перенаправления трафика на систему очистки необходимо:
-
Заказать необходимое количество IP-адресов сервиса защиты (ddos_provider_ip).
-
Заказать IP-адреса, выделенные под систему защиты (protected_real_ip) и опубликовать защищаемые ресурсы в эти адреса.
-
В личном кабинете сервиса защиты настроить upstream-адрес, указывающий на адрес защищаемого ресурса в Cloud.ru (protected_real_ip).
-
Изменить A-записи в DNS для защищаемых доменов на полученные адреса сервиса защиты.
-
(для QRator) на пограничном шлюзе платформы Cloud.ru (edge gateway на платформе Облако VMware, security group на платформе Advanced, группа безопасности на платформе Evolution) настроить ограничение доступа к защищаемому ресурсу только с IP-адресов сервиса защиты. Список IP-адресов необходимо уточнить в личном кабинете сервиса защиты.
Перед изменением A-записи рекомендуется проверить работоспособность сервиса с помощью команды curl:
curl -I --resolve example.com:443:ddos_provider_ip https://example.com/
Также важно помнить, что после обновления A-записи изменения проявляются не моментально, а в течении времени, указанном как TTL для A-записи (в секундах).