Подключаемся с вами по BGP — сессия между вашей автономной системой и автономной системой DDoS-Guard. Вы анонсируете DDoS-Guard защищаемые сети, но не более специфичные, чем /24, а мы принимаем их и анонсируем в Интернет. Как результат, трафик ваших сетей принимается DDoS-Guard из мира на узлах обработки и фильтруется. Вы получаете в вашу сеть только легитимные пакеты.
Такой метод подключения подходит как для защиты собственного сетевого периметра, так и для увеличения среднего дохода на пользователя благодаря предоставлению новых услуг защиты. Мы используем прозрачное ценообразование — вы платите только за чистый трафик и не платите за атакующий.
Система фильтрации DDoS-Guard работает в режиме Always-On, что позволяет эффективно блокировать все известные виды атак с первого аномального пакета или потока. **
Если использовать защиту на постоянной основе. В ином случае может потребоваться до 5 минут на отражение некоторых видов DDoS-атак
При отражении атак с помощью поведенческих фильтров может потребоваться от нескольких секунд до нескольких минут, при этом процесс очистки полностью автоматизирован и не требует предварительного обучения
Сеть фильтрации DDoS-Guard работает как единая система обработки трафика — фильтрующие узлы нашей сети обмениваются между собой информацией об обработанном трафике. Не важно, на каком узле был принят трафик, он сразу будет обработан и доставлен клиенту. А если пакеты из того же потока будут приходить с других направлений и обрабатываться разными узлами, это не повлияет на работу ресурса пользователя. Так, можно использовать асимметричную маршрутизацию и обезопасить трафик от изменений маршрутов в сетях магистральных операторов.
Схема работы правил Twin Tunnel
На базе технологии Twin Tunnel мы развернули несколько сервисов, которые отвечают за обработку трафика на сетевом уровне (L3 OSI). С их помощью вы можете создавать собственные правила фильтрации и управлять ими в личном кабинете. Ниже описана логика обработки трафика тремя сервисами Twin Tunnel.
Проверка пакетов производится последовательно:
- Twin Tunnel Firewall (TTF) позволяет фильтровать трафик на основе протоколов, подсетей и портов
- Twin Tunnel Blocklist (TTB) ограничивает трафик из определенных подсетей
- Twin Tunnel Geo-Block (TTG) разрешает или блокирует трафик из выбранных регионов
Если пакет не попадает под действие правил Twin Tunnel, он будет пропускаться на защищаемый ресурс по умолчанию
Twin Tunnel Firewall
Если в этом сервисе пакет попадает под разрешающее или блокирующее правило, он пропускается или отбрасывается соответственно, а его дальнейшая обработка не производится.
Если пакет не попадает ни под одно из созданных правил, он проверяется в сервисе Twin Tunnel Blocklist.
Twin Tunnel Blocklist
Если пакет попадает под блокирующее правило в этом сервисе, он отбрасывается, а дальнейшая проверка не производится. Если нет — он обрабатывается сервисом Twin Tunnel Geo-Block.
Twin Tunnel Geo-Block
Если в этом сервисе пакет попадает под разрешающее правило, или же правил нет — он пропускается на защищаемый ресурс. Если пакет блокируется на основе региона, он отбрасывается и дальнейшая проверка не производится.
В сервисе Twin Tunnel Geo-Block может быть активен только один режим обработки трафика