Защита и ускорение веб-сайтов DDoS Guard

С помощью услуги можно отслеживать и блокировать атаки на веб-приложения и сайты. Услуга предоставляется самостоятельно и не требует подключения услуги Защита на сетевом уровне.

Одна услуга защищает один домен, включая поддомены. Если необходимо защитить несколько доменов, то необходимо заказывать услугу для каждого домена. Начиная с тарифа Premium число защищаемых доменов увеличивается до 10.

В стоимость услуги включены:

  • неограниченный объем/полоса легитимного трафика;
  • неограниченная полоса фильтрации;
  • защита поддоменов;
  • кэширование и доставка статического контента (CDN);
  • поддержка HTTP/2 и SPDY;
  • поддержка SSL/TLS 1.2&1.3 шифрования;
  • защита HTTPS;
  • поддержка сторонних SSL-сертификатов.

Принцип работы

Весь трафик, кроме того, что приходит на порты 80 / 443, отбрасывается.

Проверка пакета происходит в 3 этапа:

  1. Предварительная проверка на уровнях L3-L4 OSI, затем — проверка самого HTTP/HTTPS запроса по ряду критериев: соответствие запроса требованиям RFC, наличие и состав полей заголовка и пр.
  2. Проверка на основании накопленной по защищаемому домену информации — создание поведенческой модели и сопоставление текущей активности с ней.
  3. Финальный ряд проверок: репутация IP, текущее состояние потока и пр.

Подключить услугу

Услуга подключается в течение 1-2 дней. Если подключение защиты требуется срочно — создайте тикет и позвоните нам.

  1. В панели управления перейдите в раздел Сетевые сервисы на вкладку Защита от DDoS.
  2. Нажмите Заказать услуги.
  3. Выберите DDoS Guard. Защита и ускорение веб-сайтов и нажмите Оплатить.
  4. Укажите период оплаты и нажмите Оплатить.
  5. В тикете придет запрос указать домен и электронную почту для создания личного кабинета.
  6. После отправки домена и электронной почты в тикете будет отправлена ссылка на личный кабинет, логин и пароль для авторизации.
  7. После подключения услуги самостоятельно добавьте необходимые записи в DNS.

Настроить защиту

  1. Перейдите в личный кабинет по полученной ссылке.
  2. Ведите логин и пароль и нажмите Войти.
  3. На вкладке Управление proxy добавьте домен и IP-адрес сайта (целевой IP), который необходимо защитить.
  4. Нажмите Добавить.
  5. После обновления страницы станет доступна вкладка Dashboard, на которой можно просматривать статистику посещения защищенного приложения: запросы, время запросов, тепловую карту количества запросов и топ городов/стран.
  6. Защищенный IP-адрес отобразится в списке.

Дополнительные настройки устанавливаются на вкладке Управление proxy.

Изменить A-запись у DNS-хостера

Для изменения А-записи перейдите в панель управления текущего сервис-провайдера, предоставляющего услуги DNS-хостинга:

  1. Откройте интерфейс редактирования DNS-записей.
  2. Измените значение А-записей всех защищаемых доменов и поддоменов, на защищенный IP-адрес, отображающийся в личном кабинете.
  3. Обратите внимание, значение А-записи для почтового домена, например, mail.domainname.com, изменять не требуется. При изменении данной записи доменная почта может перестать корректно работать.

Подробнее о настройках в панели управления Selectel читайте в базе знаний.

Активировать опцию CDN

Для того чтобы активировать опцию CDN выберите строку Кэш и установите ползунок в положение ВКЛ. После сохранения внесенных изменений данные вашего веб-приложения кэшируются на наших веб-серверах. Дополнительных настроек не требуется.

После включения опции:

  • уменьшается время ожидания — данные запрашиваются из кэша, то есть требуется меньше времени для получения и отображения контента на стороне пользователя сайта;
  • снижается сетевая нагрузка — повторное использование закэшированного контента снижает объем данных, передаваемых пользователю сайта, то есть экономит деньги, если пользователь платит за трафик и снижает нагрузку на пропускной канал.

Сжатие Gzip/Brotli

Brotli (или Brötli) — алгоритм сжатия данных, уменьшающий их размер при сжатии без потерь качества содержимого, благодаря этому ускоряется загрузка веб-страниц: файлов HTML, CSS, JavaScript.

Полученный от веб-сервера контент хранится:

  • в распакованном виде;
  • в сжатом при помощи Gzip;
  • в сжатом при помощи Brotli.

Если браузер пользователя поддерживает Brotli — то передаются данные, сжатые при помощи Brotli. Если Brotli не поддерживается, то данные передаются в Gzip. Данные передаются в исходном виде, если браузер пользователя не поддерживает распаковку контента совсем.

Эвристическая рекомпрессия

Эта услуга объединяет алгоритмы сжатия GZIP и Brotli.

Можно распаковывать файлы, уже сжатые на GZIP, и снова запаковывать их более эффективно посредством Brotli — если браузер пользователя поддерживает более совершенный алгоритм. В конечном итоге, это ускорит загрузку веб-страниц.

HTTP Strict Transport Security (HSTS)

HSTS (HTTP Strict Transport Security) — принцип взаимодействия сервера и браузера, при котором запросы по HTTP (менее защищенному протоколу) автоматически и прямо в браузере преобразуются в HTTPS-запросы, предполагающие надёжное шифрование.

Посетителю сайта не удастся открыть страницу, подписанную просроченным или подозрительным SSL-сертификатом, что защитит сайт от атаки man-in-the-middle с подложным сертификатом. Пользователи не смогут зайти на сайт злоумышленника, выдающего себя за оригинальный сайт, и отдать ему свои данные и файлы cookies. Браузер увидит устаревший или подставной сертификат и разорвет соединение, не давая обычной для более ранних технологий возможности перейти на небезопасный сайт.

Для включения этой функции необходимо настроить HTTPS на всех поддоменах. Сделать это одновременно с включением HSTS не получится — современные браузеры просто не откроют такие страницы и пользователи сайта вместо страницы увидят только сообщение о небезопасности соединения, а отмена изменений в аварийном режиме может занять значительное время.

Редирект HTTP → HTTPS

Все запросы по протоколу HTTP перенаправляются на соответствующие HTTPS адреса через 301 редирект. Данное правило применяется к HTTP-запросам ко всем страницам сайта, а если включена поддержка поддоменов, то и к поддоменам.

Тип соединения с веб-сервером

Можно выбрать, по какому протоколу передавать данные между прокси-сервером и исходным веб-сервером. Трафик может передаваться без изменений, используя тот же протокол, что был в запросе пользователя:

  • передача трафика по протоколу HTTP значительно ускоряет время обработки запросов благодаря тому, что не выполняется шифрование данных и исключается валидация сертификата SSL;
  • выбор протокола HTTPS обеспечивает более высокий уровень безопасности, необходимый, например, для передачи платежной информации или персональных данных.

Добавить SSL-сертификат

Если уже используется бесплатный сертификат,необходимо его отключить.

  1. Переведите ползунок в положение ВКЛ и нажмите Загрузить свой SSL-сертификат.
  2. В форме добавления сертификата вставьте содержимое файла сертификата и промежуточных сертификатов (bundle) в поле Сертификат.
  3. Вставьте в поле Ключ содержимое файла с RSA-ключом и нажмите Проверить. При успешной проверке сертификата в окне отобразится информация о загруженном сертификате.
  4. По окончанию добавления данных нажмите Проверить, чтобы изменения вступили в силу.

Настроить черные и белые списки

Можно добавлять IP-адреса или подсети в «черный» или «белый» список. Для добавления условия фильтра выполните следующие действия:

  1. Введите IP-адрес или адрес сети в поле IP.
  2. Выберите префикс.
  3. Нажмите на соответствующую кнопку для добавления записи в «черный» или «белый» список.
  4. Нажмите кнопку Применить.

Настроить списки доступа для стран

Можно добавить некоторые страны в «черный» или «белый» список:

  1. Выберите подходящее правило.
  2. Выберите страну.
  3. Нажмите кнопку Добавить.
  4. Нажмите кнопку Применить.

Настроить уведомления

Для того чтобы включить уведомления, создайте тикет с запросом.

Настройки уведомлений можно самостоятельно изменять в личном кабинете:

  1. Перейдите в раздел Инциденты.
  2. Откройте вкладку Настроить триггеры.
  3. Настройте правила и сохраните параметры.

Отключить услугу

  1. Отвяжите свой домен.
  2. Смените A-запись.
  3. В личном кабинете перейдите на вкладку Управление proxy.
  4. Нажмите Удалить домен чтобы удалить запись.

Если услуга не оплачена, настройки из личного кабинета будут удалены. Если не делегировать домен на правильный ip-адрес после окончания оплаченного периода, сайт перестанет быть доступным.