Проксирование без смены А-записей

Для защиты сайтов клиентов на услугах, предоставляющих защиту L3-L4 OSI для входящего трафика, нами была разработана и внедрена технология перехвата и проксирования веб-трафика непосредственно на IP-адресе целевого веб-сервера. Это обусловлено тем, что трафик к веб-серверу уже направлен через сеть DDoS-Guard, и изменять DNS A-записи доменов для перенаправления трафика не требуется. Использование этой технологии позволяет гибко и эффективно управлять процессом обработки веб-трафика как отдельных сайтов, так и целых сетей, обеспечивая защиту на уровне приложений (L7) модели OSI


Опция перехвата и обработки веб-трафика доступна для всех услуг, кроме услуги «Защита и ускорение сайта»‎ — для нее используется классическое обратное проксирование с изменением A-записей.

Рассмотрим процесс перехвата веб-трафика на примере услуги «Защита сети». Для всех остальных услуг технология будет работать так же, отличия будут в расположении клиентских сервисов и границах зон ответственности. 

В сеть DDoS-Guard из сети Интернет попадает клиентский трафик разных приложений, который проходит очистку от мусора. Базовый анализ и фильтрация производится на сетевом (L3) и транспортном (L4) уровнях, а затем производится обработка веб-трафика (L7) к сетям, для которых включен перехват HTTP(S) в настройках услуги. Так, TCP-пакеты на 80 и 443 порты направляются на устройства обработки веб-трафика (проксирующие серверы), на которых выполняется перехват, то есть обратное проксирование веб-трафика.


Общий процесс перехвата веб-трафика с учетом созданных клиентом правил представлен на схеме ниже.


 

Схема прохождения трафика через сеть DDoS-Guard
Схема прохождения трафика через сеть DDoS-Guard

 

  1. Поступающий из сети Интернет трафик проходит базовую очистку на устройствах фильтрации L3-L4 OSI
  2. TCP трафик, принадлежащий IP-адресам (сетям), для которых включен перехват (полный или выборочный), адресованный на 80 и 443 порты, перенаправляется на устройства анализа (проксирующие серверы)
  3. Для IP-адресов (сетей) с полным перехватом обрабатывается весь HTTP(S)-трафик в соответствии с настроенными правилами
  4. Для IP-адресов (сетей) с выборочным перехватом HTTPS-трафик обрабатывается, только если запрос на соединение TLS содержит в Server Name Indication (SNI) домен, для которого есть правило перехвата по своим настройкам на вкладке Домены. Для HTTP-трафика информация о домене берется из HTTP-заголовка Host
  5. Трафик, который не может быть перехвачен, передается на целевой IP адрес без изменений (без проксирования)

В результате одновременного добавления правил перехвата для всего анонсируемого в сторону DDoS-Guard префикса (или всей сети, выданной в рамках услуги), отдельных IP-адресов (подсетей), а также для доменов и поддоменов HTTP(S)-запрос может подходить сразу под несколько правил. В такой ситуации для обработки запроса применяется наиболее приоритетное правило, а все прочие правила не оказывают никакого влияния. 

Правила для более специфичных сетей приоритетнее правил для менее специфичных сетей, а правила перехвата для доменов приоритетнее правил для IP-сетей.