База знаний

Список статей
Наверх

Базовая защита веб-приложения (сайта)

Описание услуги

С помощью услуги можно отслеживать и блокировать атаки на веб-приложения и сайты.

Услуга предоставляется самостоятельно и не требует подключения услуги Базовая защита от DDoS.

Обратите внимание! Одна услуга защищает один домен, включая поддомены. Если необходимо защитить несколько доменов, то необходимо заказывать услугу для каждого домена.

Техническая реализация

Весь трафик, кроме того, что приходит на порты 80/443, отбрасывается.

Проверка пакета происходит в 3 этапа:

  1. Предварительная проверка на уровнях L3-L4 OSI, а затем – проверка самого HTTP/HTTPS запроса по ряду критериев: соответствие запроса требованиям RFC, наличие и состав полей заголовка и так далее. 

  2. Проверка на основании накопленной по защищаемому домену информации – создание поведенческой модели и сопоставление текущей активности с ней. 

  3. Финальный ряд проверок: репутация IP, текущее состояние потока и прочее.

В стоимость защиты сайта включены следующие услуги:

  • неограниченный объем/полосу легитимного трафика;

  • неограниченная полосу фильтрации;

  • защита поддоменов;

  • кэширование и доставка статического контента (CDN);

  • поддержка HTTP/2 и SPDY;

  • поддержка SSL/TLS 1.2&1.3 шифрования;

  • защита HTTPS;

  • поддержка сторонних SSL-сертификатов.

Подключение услуги

Для подключения услуги:

  1. Перейдите в раздел Сети и услуги на вкладку Защита от DDoS в панели управления.

  2. Нажмите кнопку Заказать услуги.

  3. Выберите Базовая защита веб-приложения (сайта) и нажмите кнопку Оплатить.

  4. Укажите период оплаты и нажмите кнопку Оплатить.

  5. В тикете придет запрос указать домен и электронную почту для создания личного кабинета. 

  6. После отправки домена и электронной почты в ответном тикете будут высланы ссылка на личный кабинет, логин и пароль.

Услуга подключается в течение 1-2 дней. Если подключение защиты требуется срочно - создайте тикет и продублируйте его звонком. 

После подключения услуги Вам потребуется самостоятельное добавить необходимые записи в DNS.

Изменение A-записи у DNS-хостера

Для изменения А-записи перейдите в панель управления текущего сервис-провайдера, предоставляющего услуги DNS-хостинга (например, подробнее о настройках панели управления Selectel читайте в базе знаний):

  1. Откройте интерфейс редактирования DNS-записей. 

  2. Измените значение А-записей всех защищаемых доменов и поддоменов, на защищенный IP-адрес, отображающийся в личном кабинете.

  3. Обратите внимание, значение А-записи для почтового домена, например, mail.domainname.com, изменять не требуется. При изменении данной записи доменная почта может перестать корректно работать. 

Настройка услуги

Для настройки защиты веб-приложения (сайта):

  1. Перейдите по ссылке в личный кабинет, введите указанные логин и пароль и нажмите кнопку Войти.

    image

  2. В открывшемся окне на вкладке Управление proxy добавьте домен и IP-адрес сайта (целевой IP), который необходимо защитить и нажмите кнопку Добавить.

    image

  3. После обновления страницы станет доступна вкладка Dashboard, на которой можно просматривать статистику посещения защищенного приложения: запросы, время запросов, тепловую карту количества запросов и топ городов/стран.

  4. В списке ниже отобразится ваш защищенный IP-адрес.

Дополнительные настройки задаются на вкладке Управление proxy.

image

Кэш

Для того чтобы активировать опцию CDN выберите строку Кэш и установите ползунок в положение ВКЛ. После сохранения внесенных изменений данные вашего веб-приложения кэшируются на наших веб-серверах. Дополнительных настроек не требуется.

После включения опции:

  • уменьшается время ожидания —  данные запрашиваются из кэша (который располагается “ближе” к клиенту), то есть требуется меньше времени для получения и отображения контента на стороне пользователя сайта;

  • снижается сетевая нагрузка — повторное использование закэшированного контента снижает объем данных, передаваемых пользователю сайта, то есть экономит деньги, если пользователь платит за трафик и снижает нагрузку на пропускной канал.

Сжатие Gzip/Brotli

Brotli (или Brötli) — традиционная швейцарская булочка. А ещё именно так специалисты Google назвали алгоритм сжатия данных, уменьшающий их размер при «запаковывании» без потерь качества содержимого, благодаря чему ускоряется загрузка веб-страниц: файлов HTML, CSS, JavaScript. 

Получаемый от веб-сервера контент хранится:

  • в распакованном виде;

  • в сжатом при помощи Gzip;

  • в сжатом при помощи Brotli. 

Если браузер пользователя поддерживает Brotli - то передаются данные, сжатые при помощи Brotli. Если Brotli не поддерживается, то данные передаются в Gzip. Данные передаются в исходном виде, если браузер пользователя не поддерживает распаковку контента совсем.

Эвристическая рекомпрессия

Эта услуга объединяет алгоритмы сжатия GZIP и Brotli.

Можно распаковывать файлы, уже сжатые на GZIP, и снова запаковывать их более эффективно посредством Brotli – если браузер пользователя поддерживает более совершенный алгоритм. В конечном итоге, это ускорит загрузку веб-страниц.

HTTP Strict Transport Security (HSTS)

HSTS (HTTP Strict Transport Security) — принцип взаимодействия сервера и браузера, при котором запросы по HTTP (менее защищенному протоколу) автоматически и прямо в браузере преобразуются в HTTPS-запросы, предполагающие надёжное шифрование. 

Посетителю сайта не удастся открыть страницу, подписанную просроченным или подозрительным SSL-сертификатом, что защитит сайт от атаки man-in-the-middle с подложным сертификатом. Пользователи не смогут зайти на сайт злоумышленника, выдающего себя за оригинальный сайт, и отдать ему свои данные и файлы cookies. Браузер увидит устаревший или подставной сертификат и разорвет соединение, не давая обычной для более ранних технологий возможности “все равно перейти на небезопасный сайт”.

Примечание: для включения этой функции необходимо настроить HTTPS на всех Ваших поддоменах. Сделать это одновременно с включением HSTS не получится — современные браузеры просто не откроют такие страницы и пользователи сайта вместо страницы увидят только сообщение о небезопасности соединения, а “откат” изменений в аварийном режиме может занять значительное время.

Редирект HTTP → HTTPS

Все запросы по протоколу HTTP перенаправляются на соответствующие HTTPS адреса через 301 редирект. Данное правило применяется к HTTP-запросам ко всем страницам сайта, а если включена поддержка поддоменов, то и к поддоменам. 

Тип соединения с веб-сервером

Можно выбрать, по какому протоколу передавать данные между прокси-сервером и исходным веб-сервером. Трафик может передаваться без изменений, используя тот же протокол, что был в запросе пользователя:

  • передача трафика по протоколу HTTP значительно ускоряет время обработки запросов благодаря тому, что не выполняется шифрование данных и исключается валидация сертификата SSL;

  • выбор протокола HTTPS обеспечивает более высокий уровень безопасности, необходимый, например, для передачи платежной информации или персональных данных.

SSL-сертификат

Для добавления SSL-сертификата:

  1. Переведите ползунок в положение ВКЛ и нажмите кнопку Загрузить свой SSL-сертификат.

  2. В форме добавления сертификата вставьте содержимое файла сертификата и промежуточных сертификатов (bundle) в поле Сертификат.

  3. Вставьте в поле Ключ содержимое файла с RSA-ключом и нажмите кнопку Проверить. При успешной проверке сертификата в окне отобразится информация о загруженном сертификате.

  4. По окончанию добавления данных нажмите кнопку Проверить, чтобы изменения вступили в силу.

Примечание: если уже используется бесплатный сертификат, его потребуется отключить.

Черные и белые списки

Можно добавлять IP-адреса или подсети в «черный» или «белый» список. Для добавления условия фильтра выполните следующие действия:

  1. Введите IP-адрес или адрес сети в поле IP.

  2. Выберите префикс.

  3. Нажмите на соответствующую кнопку для добавления записи в «черный» или «белый» список.

  4. Нажмите кнопку Применить.

Настройка списков доступа для стран

Можно добавить некоторые страны в «черный» или «белый» список:

  1. Выберите подходящее правило.

  2. Выберите страну.

  3. Нажмите кнопку Добавить.

  4. Нажмите кнопку Применить.

Отключение услуги

Для отключения услуги выполните следующие действия: 

  1. Отвяжите свой домен. 

  2. Смените A-запись. 

  3. Удалите запись в личном кабинете на вкладке Управление proxy, нажав кнопку Удалить домен.

В случае неоплаты производится удаление настроек из личного кабинета. Если Вы своевременно не делегируете домен на правильный ip-адрес после окончания оплаченного периода, ваш сайт перестанет быть доступным.