tocdepth

2

Защита TCP/UDP трафика

Область применения: приложения, принимающие TCP/UDP-соединения по фиксированному порту, платформа Облако VMware.

Защита TCP/UDP-трафика в целом повторяет схему Reverse Proxy без раскрытия сертификатов:

../../_images/schm__ddos-protect_3.svg

Если защищаемое приложение не поддерживает Proxy Protocol, то необходимо активировать режим Raw Proxy. Однако в данном случае отсутствует возможность получения реальных IP-адресов пользователя.

Для перенаправления трафика на систему очистки необходимо:

  1. Заказать необходимое количество IP-адресов сервиса защиты (ddos_provider_ip).

  2. Заказать IP-адреса, выделенные под систему защиты (protected_real_ip) и опубликовать защищаемые ресурсы в эти адреса.

  3. В личном кабинете сервиса защиты настроить upstream-адрес, указывающий на адрес защищаемого ресурса в Cloud.ru (protected_real_ip).

  4. (для QRator):

    • при поддержке приложением Proxy Protocol настроить приложение, чтобы оно принимало запросы по Proxy Protocol;

    • если защищаемое приложение не поддерживает Proxy Protocol, то необходимо активировать режим Raw Proxy через службу технической поддержки;

  5. Изменить A-записи в DNS для защищаемых доменов на полученные адреса сервиса защиты.

  6. (для QRator) На пограничном шлюзе платформы Cloud.ru (edge gateway на платформе Облако VMware) настроить ограничение доступа к защищаемому ресурсу только с IP-адресов сервиса защиты. Список IP-адресов необходимо уточнить в личном кабинете сервиса защиты.

Также важно помнить, что после обновления A-записи изменения проявляются не моментально, а в течении времени, указанном как TTL для A-записи (в секундах).

Запустили Evolution free tier
для Dev & Test
Получить