DDoS-Guard представляет расширение функционала услуги по защите сайта от DDoS-атак. Теперь клиенты смогут более тонко настраивать случаи, в которых для их сайта срабатывает защита. Данный модуль доступен на тарифах Premium и Enterprise.
Как работают правила защиты
Подключив правила защиты, вы сможете контролировать входящий трафик через фильтрацию запросов. Правила работают всегда, вне зависимости от статуса «под атакой».
Каждое правило защиты состоит из условий его применения и действия, которое производятся при совпадении с условием.
Условие определяет критерии, по которым значения входящего HTTP-запроса сопоставляются со значениями, заданными в условии. Каждое условие состоит из параметра, оператора и значений параметра.
Параметр — то, на чем основывается правило, с ним соотносятся набор операторов и значений. На один параметр можно создать только одно условие.
Оператор позволяет сопоставить параметр и его значение. После чего, если условие выполнено, совершается заданное действие.
equal — оператор сравнения, который проверяет равенство параметра и одного значения. Если они не соответствуют друг другу, то правило не сработает.
regex — регулярное выражение, которое используется для поиска подстроки или подстрок в тексте.
in — оператор, который используется для проверки соответствия выражения любому значению в списке значений
Значение параметра. Для каждого параметра доступен свой набор значений, для некоторых параметров их можно установить несколько.
После того, как произведено сравнение параметров входящих запросов с установленными значениями в условиях правила, наступает заранее настроенное для результата действие.
Действие определяет, что нужно делать с входящими запросами, которые подпадают/не подпадают под установленное правило. Есть три варианта:
Блокировать (drop) HTTP-запросы, соответствующие условию правила
Пропускать (pass) HTTP-запросы, соответствующие условию правила
js-challenge — обязательная дополнительная проверка запросов. Если проверка провалена, то запросы блокируются.
Пример работы правил
Допустим, клиент хочет всегда пропускать GET и POST запросы к API. Он уверен, что все валидные URI начинаются с /v1/, поэтому нужно создать одно правило с несколькими условиями.
В этом случае для него настройка правил защиты будет выглядеть так:
Настройка правил производится во вкладке «Домены» в дашборде, подробную инструкцию по настройке правил защиты L7 вы найдете в нашей базе знаний.
Введение правил существенно расширяет функционал услуги по защите сайтов DDoS-Guard. Теперь клиенты смогут самостоятельно осуществлять тонкую настройку входящего трафика в случае DDoS-атаки, тем самым облегчая возможность доступа к сайту для посетителей.
