Защита веб-сайта по схеме Reverse Proxy

Область применения: HTTP-ресурсы, а также HTTPS-ресурсы при условии раскрытия сертификатов, платформа Облако VMware.

В этой схеме интеграции сервис защиты работает как Reverse Proxy, принимая на себя все входящие соединения к защищаемому веб-сайту, валидируя их и перенаправляя на реальный сайт заказчика уже очищенный трафик.

Между Cloud.ru и сервисом защиты организован выделенный (изолированный от интернета) канал для передачи очищенного трафика всех заказчиков услуги защиты от DDoS-атак.

Использование выделенного под систему защиты IP-адреса (protected_real_ip) обеспечивает передачу трафика между сервисом защиты и Cloud.ru по выделенному каналу.

Необходимо учитывать, что так как сервис защиты проксирует трафик, Source IP в получаемом трафике будет из пула адресов сервиса защиты. Реальные IP-адреса пользователей передаются в HTTP-заголовке X-Forwarded-For.

../../_images/schm__ddos-protect_1.svg

Для перенаправления трафика на систему очистки необходимо:

  1. Заказать необходимое количество IP-адресов сервиса защиты (ddos_provider_ip).

  2. Заказать IP-адреса, выделенные под систему защиты (protected_real_ip) и опубликовать защищаемые ресурсы в эти адреса.

  3. В личном кабинете сервиса защиты настроить upstream-адрес, указывающий на адрес защищаемого ресурса в Cloud.ru (protected_real_ip).

  4. Изменить A-записи в DNS для защищаемых доменов на полученные адреса сервиса защиты.

  5. На пограничном шлюзе платформы Cloud.ru (edge gateway на платформе Облако VMware) настроить ограничение доступа к защищаемому ресурсу только с IP-адресов сервиса защиты. Список IP-адресов необходимо уточнить в личном кабинете сервиса защиты. Это нужно для гарантии того, что сервис защиты невозможно «обойти».

  6. При использовании протокола HTTPS загрузить сертификат в личный кабинет.

  7. Модифицировать приложение таким образом, чтобы оно распознавало заголовок X-Forwarded-For (если необходимо).

Перед изменением A-записи рекомендуется проверить работоспособность сервиса с помощью команды curl:

curl -I --resolve example.com:80:ddos_provider_ip http://example.com/

Также важно помнить, что после обновления A-записи изменения проявляются не моментально, а в течении времени, указанном как TTL для A-записи (в секундах).

Запустили Evolution free tier
для Dev & Test
Получить