Одним из ключевых аспектов при планировании защиты своей инфраструктуры является выбор методов фильтрации. Два предлагаемых метода — симметричная и асимметричная схемы. Они различаются способами фильтрации трафика, а каждый из них имеет свои плюсы и минусы при защите от DDoS-атак.
Симметричная схема фильтрации
Работа симметричной схемы фильтрации подразумевает необходимость маршрутизации через сеть DDoS-Guard не только входящего, но и всего исходящего трафика защищаемых сетей. Анализ исходящего трафика дает системе фильтрации больше вводных данных, тем самым позволяет принимать максимально точные решения.
В этом случае решение о легитимности входящего трафика принимается на основе как входящего, так и исходящего трафика
Асимметричная схема фильтрации
Для работы асимметричной схемы фильтрации маршрутизация исходящего трафика защищаемых сетей через DDoS-Guard не требуется. Это может привести к снижению точности фильтрации из-за одного направления трафика, доступного нашим фильтрам для анализа.
Подключение и эксплуатация такой схемы требует хорошего понимания uRPF check
И в случае симметричной и в случае асимметричной схемы фильтрации влияние оказывается только на входящий трафик.
Асимметрию нельзя применить при статической маршрутизации (при использовании IP-адресов DDoS-Guard или делегировании защищаемых сетей AS DDoS-Guard)
В случае использования уровня защиты «Оптимальный» исходящий трафик установленных под L7-защиту веб-сайтов пойдет через сеть DDoS-Guard даже при использовании асимметричной схемы фильтрации. Если вы выбрали уровень защиты «Оптимальный», а объектом защиты являются преимущественно веб-сайты, то рекомендуем использовать симметричную схему фильтрации
Сравнение схем фильтрации
| Симметрия | Асимметрия | |
| Качество фильтрации | Анализ исходящего трафика дает системе фильтрации больше вводных данных, тем самым позволяет принимать максимально точные решения | При некоторых DDoS-атаках из-за отсутствия данных по исходящему трафику асимметричной системе фильтрации может понадобиться больше времени для полного подавления атаки |
| Простота настройки | Симметрия проста в настройке — достаточно начать анонсировать нам свои префиксы и принять от нас default route | Перед началом работы асимметричная схема требует ряд предварительных изменений на вашем оборудовании и оборудовании вашего провайдера |
| Стоимость | В случае значительно превалирующей полосы исходящего трафика над входящим со стороны клиента симметричная схема может отличаться в сторону большей стоимости, нежели асимметричная | При превалирующей исходящей полосе трафика исходящий трафик можно направить через другого незащищенного провайдера и сэкономить |
| Вносимая задержка | Если инфраструктура клиента и DDoS-Guard находятся рядом (например, в одном городе или дата-центре), при использовании асимметрии будет выигрыш в долях миллисекунд | Если инфраструктура клиента достаточно удалена от инфраструктуры DDoS-Guard (на сотни или тысячи километров), задержку можно сократить, если использовать асимметрию |
Какую схему фильтрации выбрать
Симметричная схема подойдет, если:
- требуется максимальное качество фильтрации
- ваша инфраструктура и инфраструктура DDoS-Guard находятся рядом физически и есть возможность организовать кроссировку до нас или через сеть посредника (L1 и L2 каналы). Таким образом можно отключиться от существующего провайдера и подключиться к DDoS-Guard как к основному — вы экономите, потому что не используете минимум двух провайдеров как при асимметричной схеме
- используете уровень защиты Оптимальный и у вас на защите находятся преимущественно сайты (L7), исходящий трафик которых будет идти через DDoS-Guard
Асимметричная схема подойдет, если:
- ваша инфраструктура далеко от инфраструктуры DDoS-Guard — сотни и тысячи километров удаленности
- исходящего трафика значительно больше, чем входящего, и вы хотели бы сэкономить
- вам проще отправлять исходящий трафик через привычного провайдера (не забывайте про ограничения urpf)