Защита и ускорение веб-сайтов DDoS Guard
С помощью услуги можно отслеживать и блокировать атаки на веб-приложения и сайты. Услуга предоставляется самостоятельно и не требует подключения услуги Защита на сетевом уровне.
Одна услуга защищает один домен, включая поддомены. Если необходимо защитить несколько доменов, то необходимо заказывать услугу для каждого домена. Начиная с тарифа Premium число защищаемых доменов увеличивается до 10.
В стоимость услуги включены:
- неограниченный объем/полоса легитимного трафика;
- неограниченная полоса фильтрации;
- защита поддоменов;
- кэширование и доставка статического контента (CDN);
- поддержка HTTP/2 и SPDY;
- поддержка SSL/TLS 1.2&1.3 шифрования;
- защита HTTPS;
- поддержка сторонних SSL-сертификатов.
Принцип работы
Весь трафик, кроме того, что приходит на порты 80 / 443, отбрасывается.
Проверка пакета происходит в 3 этапа:
- Предварительная проверка на уровнях L3-L4 OSI, затем — проверка самого HTTP/HTTPS запроса по ряду критериев: соответствие запроса требованиям RFC, наличие и состав полей заголовка и пр.
- Проверка на основании накопленной по защищаемому домену информации — создание поведенческой модели и сопоставление текущей активности с ней.
- Финальный ряд проверок: репутация IP, текущее состояние потока и пр.
Подключить услугу
Услуга подключается в течение 1-2 дней. Если подключение защиты требуется срочно — создайте тикет и позвоните нам.
- В панели управления перейдите в раздел Сетевые сервисы на вкладку Защита от DDoS.
- Нажмите Заказать услуги.
- Выберите DDoS Guard. Защита и ускорение веб-сайтов и нажмите Оплатить.
- Укажите период оплаты и нажмите Оплатить.
- В тикете придет запрос указать домен и электронную почту для создания личного кабинета.
- После отправки домена и электронной почты в тикете будет отправлена ссылка на личный кабинет, логин и пароль для авторизации.
- После подключения услуги самостоятельно добавьте необходимые записи в DNS.
Настроить защиту
- Перейдите в личный кабинет по полученной ссылке.
- Ведите логин и пароль и нажмите Войти.
- На вкладке Управление proxy добавьте домен и IP-адрес сайта (целевой IP), который необходимо защитить.
- Нажмите Добавить.
- После обновления страницы станет доступна вкладка Dashboard, на которой можно просматривать статистику посещения защищенного приложения: запросы, время запросов, тепловую карту количества запросов и топ городов/стран.
- Защищенный IP-адрес отобразится в списке.
Дополнительные настройки устанавливаются на вкладке Управление proxy.
Изменить A-запись у DNS-хостера
Для изменения А-записи перейдите в панель управления текущего сервис-провайдера, предоставляющего услуги DNS-хостинга:
- Откройте интерфейс редактирования DNS-записей.
- Измените значение А-записей всех защищаемых доменов и поддоменов, на защищенный IP-адрес, отображающийся в личном кабинете.
- Обратите внимание, значение А-записи для почтового домена, например, mail.domainname.com, изменять не требуется. При изменении данной записи доменная почта может перестать корректно работать.
Подробнее о настройках в панели управления Selectel читайте в базе знаний.
Активировать опцию CDN
Для того чтобы активировать опцию CDN выберите строку Кэш и установите ползунок в положение ВКЛ. После сохранения внесенных изменений данные вашего веб-приложения кэшируются на наших веб-серверах. Дополнительных настроек не требуется.
После включения опции:
- уменьшается время ожидания — данные запрашиваются из кэша, то есть требуется меньше времени для получения и отображения контента на стороне пользователя сайта;
- снижается сетевая нагрузка — повторное использование закэшированного контента снижает объем данных, передаваемых пользователю сайта, то есть экономит деньги, если пользователь платит за трафик и снижает нагрузку на пропускной канал.
Сжатие Gzip/Brotli
Brotli (или Brötli) — алгоритм сжатия данных, уменьшающий их размер при сжатии без потерь качества содержимого, благодаря этому ускоряется загрузка веб-страниц: файлов HTML, CSS, JavaScript.
Полученный от веб-сервера контент хранится:
- в распакованном виде;
- в сжатом при помощи Gzip;
- в сжатом при помощи Brotli.
Если браузер пользователя поддерживает Brotli — то передаются данные, сжатые при помощи Brotli. Если Brotli не поддерживается, то данные передаются в Gzip. Данные передаются в исходном виде, если браузер пользователя не поддерживает распаковку контента совсем.
Эвристическая рекомпрессия
Эта услуга объединяет алгоритмы сжатия GZIP и Brotli.
Можно распаковывать файлы, уже сжатые на GZIP, и снова запаковывать их более эффективно посредством Brotli — если браузер пользователя поддерживает более совершенный алгоритм. В конечном итоге, это ускорит загрузку веб-страниц.
HTTP Strict Transport Security (HSTS)
HSTS (HTTP Strict Transport Security) — принцип взаимодействия сервера и браузера, при котором запросы по HTTP (менее защищенному протоколу) автоматически и прямо в браузере преобразуются в HTTPS-запросы, предполагающие надёжное шифрование.
Посетителю сайта не удастся открыть страницу, подписанную просроченным или подозрительным SSL-сертификатом, что защитит сайт от атаки man-in-the-middle с подложным сертификатом. Пользователи не смогут зайти на сайт злоумышленника, выдающего себя за оригинальный сайт, и отдать ему свои данные и файлы cookies. Браузер увидит устаревший или подставной сертификат и разорвет соединение, не давая обычной для более ранних технологий возможности перейти на небезопасный сайт.
Для включения этой функции необходимо настроить HTTPS на всех поддоменах. Сделать это одновременно с включением HSTS не получится — современные браузеры просто не откроют такие страницы и пользователи сайта вместо страницы увидят только сообщение о небезопасности соединения, а отмена изменений в аварийном режиме может занять значительное время.
Редирект HTTP → HTTPS
Все запросы по протоколу HTTP перенаправляются на соответствующие HTTPS адреса через 301 редирект. Данное правило применяется к HTTP-запросам ко всем страницам сайта, а если включена поддержка поддоменов, то и к поддоменам.
Тип соединения с веб-сервером
Можно выбрать, по какому протоколу передавать данные между прокси-сервером и исходным веб-сервером. Трафик может передаваться без изменений, используя тот же протокол, что был в запросе пользователя:
- передача трафика по протоколу HTTP значительно ускоряет время обработки запросов благодаря тому, что не выполняется шифрование данных и исключается валидация сертификата SSL;
- выбор протокола HTTPS обеспечивает более высокий уровень безопасности, необходимый, например, для передачи платежной информации или персональных данных.
Добавить SSL-сертификат
Если уже используется бесплатный сертификат,необходимо его отключить.
- Переведите ползунок в положение ВКЛ и нажмите Загрузить свой SSL-сертификат.
- В форме добавления сертификата вставьте содержимое файла сертификата и промежуточных сертификатов (bundle) в поле Сертификат.
- Вставьте в поле Ключ содержимое файла с RSA-ключом и нажмите Проверить. При успешной проверке сертификата в окне отобразится информация о загруженном сертификате.
- По окончанию добавления данных нажмите Проверить, чтобы изменения вступили в силу.
Настроить черные и белые списки
Можно добавлять IP-адреса или подсети в «черный» или «белый» список. Для добавления условия фильтра выполните следующие действия:
- Введите IP-адрес или адрес сети в поле IP.
- Выберите префикс.
- Нажмите на соответствующую кнопку для добавления записи в «черный» или «белый» список.
- Нажмите кнопку Применить.
Настроить списки доступа для стран
Можно добавить некоторые страны в «черный» или «белый» список:
- Выберите подходящее правило.
- Выберите страну.
- Нажмите кнопку Добавить.
- Нажмите кнопку Применить.
Настроить уведомления
Для того чтобы включить уведомления, создайте тикет с запросом.
Настройки уведомлений можно самостоятельно изменять в личном кабинете:
- Перейдите в раздел Инциденты.
- Откройте вкладку Настроить триггеры.
- Настройте правила и сохраните параметры.
Отключить услугу
- Отвяжите свой домен.
- Смените A-запись.
- В личном кабинете перейдите на вкладку Управление proxy.
- Нажмите Удалить домен чтобы удалить запись.
Если услуга не оплачена, настройки из личного кабинета будут удалены. Если не делегировать домен на правильный ip-адрес после окончания оплаченного периода, сайт перестанет быть доступным.