Защита и ускорение сайта DDoS Guard
С помощью услуги можно отслеживать и блокировать атаки на веб-приложения и сайты. Услуга предоставляется самостоятельно и не требует подключения услуги Защита на сетевом уровне.
Обратите внимание! Одна услуга защищает один домен, включая поддомены. Если необходимо защитить несколько доменов, то необходимо заказывать услугу для каждого домена. Начиная с тарифа Premium число защищаемых доменов увеличивается до 10.
Техническая реализация
Весь трафик, кроме того, что приходит на порты 80 / 443, отбрасывается. Проверка пакета происходит в 3 этапа:
- Предварительная проверка на уровнях L3-L4 OSI, а затем — проверка самого HTTP/HTTPS запроса по ряду критериев: соответствие запроса требованиям RFC, наличие и состав полей заголовка и так далее.
- Проверка на основании накопленной по защищаемому домену информации — создание поведенческой модели и сопоставление текущей активности с ней.
- Финальный ряд проверок: репутация IP, текущее состояние потока и прочее.
В стоимость защиты сайта включены следующие услуги:
- неограниченный объем/полоса легитимного трафика;
- неограниченная полоса фильтрации;
- защита поддоменов;
- кэширование и доставка статического контента (CDN);
- поддержка HTTP/2 и SPDY;
- поддержка SSL/TLS 1.2&1.3 шифрования;
- защита HTTPS;
- поддержка сторонних SSL-сертификатов.
Подключение услуги
Для подключения услуги:
- Перейдите в панели управления в раздел Сетевые сервисы на вкладку Защита от DDoS.
- Нажмите кнопку Заказать услуги.
- Выберите Базовая защита веб-приложения (сайта) и нажмите кнопку Оплатить.
- Укажите период оплаты и нажмите кнопку Оплатить.
- В тикете придет запрос указать домен и электронную почту для создания личного кабинета.
- После отправки домена и электронной почты в ответном тикете будут высланы ссылка на личный кабинет, логин и пароль.
Услуга подключается в течение 1-2 дней. Если подключение защиты требуется срочно — создайте тикет и продублируйте его звонком.
После подключения услуги Вам потребуется самостоятельное добавить необходимые записи в DNS.
Настройка услуги
Для настройки защиты веб-приложения (сайта):
- Перейдите по ссылке в личный кабинет, введите указанные логин и пароль и нажмите кнопку Войти.
- В открывшемся окне на вкладке Управление proxy добавьте домен и IP-адрес сайта (целевой IP), который необходимо защитить и нажмите кнопку Добавить.
- После обновления страницы станет доступна вкладка Dashboard, на которой можно просматривать статистику посещения защищенного приложения: запросы, время запросов, тепловую карту количества запросов и топ городов/стран.
- В списке ниже отобразится ваш защищенный IP-адрес.
Дополнительные настройки задаются на вкладке Управление proxy.
Изменение A-записи у DNS-хостера
Для изменения А-записи перейдите в панель управления текущего сервис-провайдера, предоставляющего услуги DNS-хостинга:
- Откройте интерфейс редактирования DNS-записей.
- Измените значение А-записей всех защищаемых доменов и поддоменов, на защищенный IP-адрес, отображающийся в личном кабинете.
- Обратите внимание, значение А-записи для почтового домена, например, mail.domainname.com, изменять не требуется. При изменении данной записи доменная почта может перестать корректно работать.
Подробнее о настройках в панели управления Selectel читайте в базе знаний.
Кэш
Для того чтобы активировать опцию CDN выберите строку Кэш и установите ползунок в положение ВКЛ. После сохранения внесенных изменений данные вашего веб-приложения кэшируются на наших веб-серверах. Дополнительных настроек не требуется.
После включения опции:
- уменьшается время ожидания — данные запрашиваются из кэша (который располагается “ближе” к клиенту), то есть требуется меньше времени для получения и отображения контента на стороне пользователя сайта;
- снижается сетевая нагрузка — повторное использование закэшированного контента снижает объем данных, передаваемых пользователю сайта, то есть экономит деньги, если пользователь платит за трафик и снижает нагрузку на пропускной канал.
Сжатие Gzip/Brotli
Brotli (или Brötli) — традиционная швейцарская булочка. А ещё именно так специалисты Google назвали алгоритм сжатия данных, уменьшающий их размер при «запаковывании» без потерь качества содержимого, благодаря чему ускоряется загрузка веб-страниц: файлов HTML, CSS, JavaScript.
Получаемый от веб-сервера контент хранится:
- в распакованном виде;
- в сжатом при помощи Gzip;
- в сжатом при помощи Brotli.
Если браузер пользователя поддерживает Brotli — то передаются данные, сжатые при помощи Brotli. Если Brotli не поддерживается, то данные передаются в Gzip. Данные передаются в исходном виде, если браузер пользователя не поддерживает распаковку контента совсем.
Эвристическая рекомпрессия
Эта услуга объединяет алгоритмы сжатия GZIP и Brotli.
Можно распаковывать файлы, уже сжатые на GZIP, и снова запаковывать их более эффективно посредством Brotli — если браузер пользователя поддерживает более совершенный алгоритм. В конечном итоге, это ускорит загрузку веб-страниц.
HTTP Strict Transport Security (HSTS)
HSTS (HTTP Strict Transport Security) — принцип взаимодействия сервера и браузера, при котором запросы по HTTP (менее защищенному протоколу) автоматически и прямо в браузере преобразуются в HTTPS-запросы, предполагающие надёжное шифрование.
Посетителю сайта не удастся открыть страницу, подписанную просроченным или подозрительным SSL-сертификатом, что защитит сайт от атаки man-in-the-middle с подложным сертификатом. Пользователи не смогут зайти на сайт злоумышленника, выдающего себя за оригинальный сайт, и отдать ему свои данные и файлы cookies. Браузер увидит устаревший или подставной сертификат и разорвет соединение, не давая обычной для более ранних технологий возможности “все равно перейти на небезопасный сайт”.
Примечание: для включения этой функции необходимо настроить HTTPS на всех Ваших поддоменах. Сделать это одновременно с включением HSTS не получится — современные браузеры просто не откроют такие страницы и пользователи сайта вместо страницы увидят только сообщение о небезопасности соединения, а “откат” изменений в аварийном режиме может занять значительное время.
Редирект HTTP → HTTPS
Все запросы по протоколу HTTP перенаправляются на соответствующие HTTPS адреса через 301 редирект. Данное правило применяется к HTTP-запросам ко всем страницам сайта, а если включена поддержка поддоменов, то и к поддоменам.
Тип соединения с веб-сервером
Можно выбрать, по какому протоколу передавать данные между прокси-сервером и исходным веб-сервером. Трафик может передаваться без изменений, используя тот же протокол, что был в запросе пользователя:
- передача трафика по протоколу HTTP значительно ускоряет время обработки запросов благодаря тому, что не выполняется шифрование данных и исключается валидация сертификата SSL;
- выбор протокола HTTPS обеспечивает более высокий уровень безопасности, необходимый, например, для передачи платежной информации или персональных данных.
SSL-сертификат
Для добавления SSL-сертификата:
- Переведите ползунок в положение ВКЛ и нажмите кнопку Загрузить свой SSL-сертификат.
- В форме добавления сертификата вставьте содержимое файла сертификата и промежуточных сертификатов (bundle) в поле Сертификат.
- Вставьте в поле Ключ содержимое файла с RSA-ключом и нажмите кнопку Проверить. При успешной проверке сертификата в окне отобразится информация о загруженном сертификате.
- По окончанию добавления данных нажмите кнопку Проверить, чтобы изменения вступили в силу.
Примечание: если уже используется бесплатный сертификат, его потребуется отключить.
Черные и белые списки
Можно добавлять IP-адреса или подсети в «черный» или «белый» список. Для добавления условия фильтра выполните следующие действия:
- Введите IP-адрес или адрес сети в поле IP.
- Выберите префикс.
- Нажмите на соответствующую кнопку для добавления записи в «черный» или «белый» список.
- Нажмите кнопку Применить.
Настройка списков доступа для стран
Можно добавить некоторые страны в «черный» или «белый» список:
- Выберите подходящее правило.
- Выберите страну.
- Нажмите кнопку Добавить.
- Нажмите кнопку Применить.
Настройка уведомлений
Для того чтобы включить уведомления, создайте тикет с запросом.
Настройки уведомлений можно самостоятельно изменять в личном кабинете:
- Перейдите в раздел Инциденты.
- Откройте вкладку Настроить триггеры.
- Настройте правила и сохраните параметры.
Отключение услуги
Для отключения услуги выполните следующие действия:
- Отвяжите свой домен.
- Смените A-запись.
- Удалите запись в личном кабинете на вкладке Управление proxy, нажав кнопку Удалить домен.
В случае неоплаты производится удаление настроек из личного кабинета. Если Вы своевременно не делегируете домен на правильный ip-адрес после окончания оплаченного периода, ваш сайт перестанет быть доступным.