Защита и ускорение сайта DDoS Guard

С помощью услуги можно отслеживать и блокировать атаки на веб-приложения и сайты. Услуга предоставляется самостоятельно и не требует подключения услуги Защита на сетевом уровне.

Обратите внимание! Одна услуга защищает один домен, включая поддомены. Если необходимо защитить несколько доменов, то необходимо заказывать услугу для каждого домена. Начиная с тарифа Premium число защищаемых доменов увеличивается до 10.

Техническая реализация

Весь трафик, кроме того, что приходит на порты 80 / 443, отбрасывается. Проверка пакета происходит в 3 этапа:

  1. Предварительная проверка на уровнях L3-L4 OSI, а затем — проверка самого HTTP/HTTPS запроса по ряду критериев: соответствие запроса требованиям RFC, наличие и состав полей заголовка и так далее.
  2. Проверка на основании накопленной по защищаемому домену информации — создание поведенческой модели и сопоставление текущей активности с ней.
  3. Финальный ряд проверок: репутация IP, текущее состояние потока и прочее.

В стоимость защиты сайта включены следующие услуги:

  • неограниченный объем/полоса легитимного трафика;
  • неограниченная полоса фильтрации;
  • защита поддоменов;
  • кэширование и доставка статического контента (CDN);
  • поддержка HTTP/2 и SPDY;
  • поддержка SSL/TLS 1.2&1.3 шифрования;
  • защита HTTPS;
  • поддержка сторонних SSL-сертификатов.

Подключение услуги

Для подключения услуги:

  1. Перейдите в панели управления в раздел Сетевые сервисы на вкладку Защита от DDoS.
  2. Нажмите кнопку Заказать услуги.
  3. Выберите Базовая защита веб-приложения (сайта) и нажмите кнопку Оплатить.
  4. Укажите период оплаты и нажмите кнопку Оплатить.
  5. В тикете придет запрос указать домен и электронную почту для создания личного кабинета.
  6. После отправки домена и электронной почты в ответном тикете будут высланы ссылка на личный кабинет, логин и пароль.

Услуга подключается в течение 1-2 дней. Если подключение защиты требуется срочно — создайте тикет и продублируйте его звонком.

После подключения услуги Вам потребуется самостоятельное добавить необходимые записи в DNS.

Настройка услуги

Для настройки защиты веб-приложения (сайта):

  1. Перейдите по ссылке в личный кабинет, введите указанные логин и пароль и нажмите кнопку Войти.
  2. В открывшемся окне на вкладке Управление proxy добавьте домен и IP-адрес сайта (целевой IP), который необходимо защитить и нажмите кнопку Добавить.
  3. После обновления страницы станет доступна вкладка Dashboard, на которой можно просматривать статистику посещения защищенного приложения: запросы, время запросов, тепловую карту количества запросов и топ городов/стран.
  4. В списке ниже отобразится ваш защищенный IP-адрес.

Дополнительные настройки задаются на вкладке Управление proxy.

Изменение A-записи у DNS-хостера

Для изменения А-записи перейдите в панель управления текущего сервис-провайдера, предоставляющего услуги DNS-хостинга:

  1. Откройте интерфейс редактирования DNS-записей.
  2. Измените значение А-записей всех защищаемых доменов и поддоменов, на защищенный IP-адрес, отображающийся в личном кабинете.
  3. Обратите внимание, значение А-записи для почтового домена, например, mail.domainname.com, изменять не требуется. При изменении данной записи доменная почта может перестать корректно работать.

Подробнее о настройках в панели управления Selectel читайте в базе знаний.

Кэш

Для того чтобы активировать опцию CDN выберите строку Кэш и установите ползунок в положение ВКЛ. После сохранения внесенных изменений данные вашего веб-приложения кэшируются на наших веб-серверах. Дополнительных настроек не требуется.

После включения опции:

  • уменьшается время ожидания — данные запрашиваются из кэша (который располагается “ближе” к клиенту), то есть требуется меньше времени для получения и отображения контента на стороне пользователя сайта;
  • снижается сетевая нагрузка — повторное использование закэшированного контента снижает объем данных, передаваемых пользователю сайта, то есть экономит деньги, если пользователь платит за трафик и снижает нагрузку на пропускной канал.

Сжатие Gzip/Brotli

Brotli (или Brötli) — традиционная швейцарская булочка. А ещё именно так специалисты Google назвали алгоритм сжатия данных, уменьшающий их размер при «запаковывании» без потерь качества содержимого, благодаря чему ускоряется загрузка веб-страниц: файлов HTML, CSS, JavaScript.

Получаемый от веб-сервера контент хранится:

  • в распакованном виде;
  • в сжатом при помощи Gzip;
  • в сжатом при помощи Brotli.

Если браузер пользователя поддерживает Brotli — то передаются данные, сжатые при помощи Brotli. Если Brotli не поддерживается, то данные передаются в Gzip. Данные передаются в исходном виде, если браузер пользователя не поддерживает распаковку контента совсем.

Эвристическая рекомпрессия

Эта услуга объединяет алгоритмы сжатия GZIP и Brotli.

Можно распаковывать файлы, уже сжатые на GZIP, и снова запаковывать их более эффективно посредством Brotli — если браузер пользователя поддерживает более совершенный алгоритм. В конечном итоге, это ускорит загрузку веб-страниц.

HTTP Strict Transport Security (HSTS)

HSTS (HTTP Strict Transport Security) — принцип взаимодействия сервера и браузера, при котором запросы по HTTP (менее защищенному протоколу) автоматически и прямо в браузере преобразуются в HTTPS-запросы, предполагающие надёжное шифрование.

Посетителю сайта не удастся открыть страницу, подписанную просроченным или подозрительным SSL-сертификатом, что защитит сайт от атаки man-in-the-middle с подложным сертификатом. Пользователи не смогут зайти на сайт злоумышленника, выдающего себя за оригинальный сайт, и отдать ему свои данные и файлы cookies. Браузер увидит устаревший или подставной сертификат и разорвет соединение, не давая обычной для более ранних технологий возможности “все равно перейти на небезопасный сайт”.

Примечание: для включения этой функции необходимо настроить HTTPS на всех Ваших поддоменах. Сделать это одновременно с включением HSTS не получится — современные браузеры просто не откроют такие страницы и пользователи сайта вместо страницы увидят только сообщение о небезопасности соединения, а “откат” изменений в аварийном режиме может занять значительное время.

Редирект HTTP → HTTPS

Все запросы по протоколу HTTP перенаправляются на соответствующие HTTPS адреса через 301 редирект. Данное правило применяется к HTTP-запросам ко всем страницам сайта, а если включена поддержка поддоменов, то и к поддоменам.

Тип соединения с веб-сервером

Можно выбрать, по какому протоколу передавать данные между прокси-сервером и исходным веб-сервером. Трафик может передаваться без изменений, используя тот же протокол, что был в запросе пользователя:

  • передача трафика по протоколу HTTP значительно ускоряет время обработки запросов благодаря тому, что не выполняется шифрование данных и исключается валидация сертификата SSL;
  • выбор протокола HTTPS обеспечивает более высокий уровень безопасности, необходимый, например, для передачи платежной информации или персональных данных.

SSL-сертификат

Для добавления SSL-сертификата:

  1. Переведите ползунок в положение ВКЛ и нажмите кнопку Загрузить свой SSL-сертификат.
  2. В форме добавления сертификата вставьте содержимое файла сертификата и промежуточных сертификатов (bundle) в поле Сертификат.
  3. Вставьте в поле Ключ содержимое файла с RSA-ключом и нажмите кнопку Проверить. При успешной проверке сертификата в окне отобразится информация о загруженном сертификате.
  4. По окончанию добавления данных нажмите кнопку Проверить, чтобы изменения вступили в силу.

Примечание: если уже используется бесплатный сертификат, его потребуется отключить.

Черные и белые списки

Можно добавлять IP-адреса или подсети в «черный» или «белый» список. Для добавления условия фильтра выполните следующие действия:

  1. Введите IP-адрес или адрес сети в поле IP.
  2. Выберите префикс.
  3. Нажмите на соответствующую кнопку для добавления записи в «черный» или «белый» список.
  4. Нажмите кнопку Применить.

Настройка списков доступа для стран

Можно добавить некоторые страны в «черный» или «белый» список:

  1. Выберите подходящее правило.
  2. Выберите страну.
  3. Нажмите кнопку Добавить.
  4. Нажмите кнопку Применить.

Настройка уведомлений

Для того чтобы включить уведомления, создайте тикет с запросом.

Настройки уведомлений можно самостоятельно изменять в личном кабинете:

  1. Перейдите в раздел Инциденты.
  2. Откройте вкладку Настроить триггеры.
  3. Настройте правила и сохраните параметры.

Отключение услуги

Для отключения услуги выполните следующие действия:

  1. Отвяжите свой домен.
  2. Смените A-запись.
  3. Удалите запись в личном кабинете на вкладке Управление proxy, нажав кнопку Удалить домен.

В случае неоплаты производится удаление настроек из личного кабинета. Если Вы своевременно не делегируете домен на правильный ip-адрес после окончания оплаченного периода, ваш сайт перестанет быть доступным.