Как работает услуга защиты сети

Защита сети от DDoS-атак

Защита DDoS-Guard работает как единая система — фильтрующие узлы по всему миру обмениваются между собой информацией об очищенном трафике. Для защиты от DDoS-атак используется геораспределенная сеть фильтрации, которая выступает посредником между защищаемой инфраструктурой и интернетом:

1. Входящий трафик принимается на ближайшем узле.
2. Производится анализ трафика: вредоносные пакеты блокируются, а легитимные — пропускаются.
3. Отфильтрованный трафик доставляется на защищаемый ресурс.

Механизм работы защиты

Работа услуги защиты сети зависит от сочетания параметров:

• уровня защиты и ее типа
• схемы фильтрации
• способа подключения
• маршрутизации

Вы можете выбрать параметры услуги в зависимости от своих потребностей и технических возможностей.

Уровень защиты

Уровень защиты определяет, на каких уровнях модели OSI система обнаруживает и отражает атаки. Можно выбрать один из двух уровней защиты — Базовый или Оптимальный.

• Базовый уровень — защита от DDoS-атак на сетевом и транспортном уровнях (L3–L4 OSI). 
• Оптимальный уровень — защита от сетевого уровня до прикладного (L3–L7 OSI). При защите на Оптимальном уровне система будет не только фильтровать пакеты на L3–L4, но и перехватывать и анализировать HTTP(S)-запросы. Подробнее о работе защиты на уровне приложений

Атаки, от которых защищает DDoS-Guard, перечислили в статье «Уровни защиты сети»

Тип защиты

Защита сети DDoS-Guard представлена двумя типами: Always-On и On-Demand.

• Защита Always-On предоставляется на месяц без ограничений. Она активна круглосуточно: трафик постоянно проходит через центры фильтрации для выявления и блокировки угроз.
  Тарификация типа Always-On включает фиксированную оплату за выбранную полосу легитимного трафика. Доплата за превышение полосы рассчитывается по 95-му процентилю. Подробнее о биллинге защиты Always-On
• Защита On-Demand предоставляется пакетом из 24 часов в месяц по фиксированной цене. Для активации защиты переведите трафик на сеть DDoS-Guard — с этого момента начнется расход часов из пакета.
  Время использования услуги округляется с интервалом до пяти минут. При истечении всех часов подключается автопродление — 24 часа за половину стоимости стартового пакета. Пример использования защиты On-Demand

Схема фильтрации

Схема фильтрации — метод фильтрации трафика для защиты от DDoS-атак. Вы можете выбрать между симметричной или асимметричной схемами фильтрации в зависимости от задач по защите.

• Симметричная схема требует направления входящего и исходящего трафика защищаемых префиксов через сеть фильтрации DDoS-Guard.
  В этом случае решение о легитимности входящего трафика принимается на основе как входящего, так и исходящего трафика.
• Асимметричная схема требует направления только входящего трафика через нашу защищенную сеть. Об особенностях асимметрии рассказали в статье

Способ подключения

Процесс подключения к услуге зависит от топологии вашей сети и ее физического расположения относительно инфраструктуры DDoS-Guard. Доступно два способа подключения к нашей сети:

•  Twin Tunnel — подключение через туннель:
  • Настройка облачной защиты без дополнительных затрат
  • Избыточность и отказоустойчивость по умолчанию
  • Быстрый и простой процесс подключения
• Direct Connect — физическое подключение:
  • Соединение без провайдера-посредника
  • Увеличенная полезная нагрузка
  • Подключение требует времени на проработку и организацию стыка

Узнайте, какой способ подключения подойдет для вашего проекта: сравнение Twin Tunnel и Direct Connect

Маршрутизация

Маршрутизация может быть реализована одним из двух типов: статическим или динамическим. Вы можете выбрать тип в зависимости от технических возможностей оборудования.

• Для динамической маршрутизации требуется наличие собственной автономной системы и диапазона IP-адресов. Устанавливаем BGP-сессию между вашей автономной системой и DDoS-Guard. Вы анонсируете нам префиксы для защиты, а мы принимаем их и анонсируем в интернет.
• Для статической маршрутизации наличие собственной автономной системы не требуется. Мы выдаем вам защищенный IP-адрес из нашего диапазона сетей, вы присваиваете адрес своему оборудованию внутри туннеля. Вы можете подключить через статическую маршрутизацию как собственное оборудование, так и арендованный у стороннего провайдера сервер с публичным IP-адресом. 

Дополнительная фильтрация Twin Tunnel

Вы можете дополнительно ограничить очищенный сетевой трафик, задав для защищаемого ресурса правила фильтрации Twin Tunnel в личном кабинете

Логика последовательной обработки трафика:

1. Twin Tunnel Firewall (TTF) позволяет фильтровать трафик на основе протоколов, подсетей и портов.
   Если в этом сервисе пакет попадает под разрешающее или блокирующее правило, он пропускается или отбрасывается соответственно, а его дальнейшая обработка не производится.
   Если пакет не попадает ни под одно из созданных правил, он проверяется в сервисе Twin Tunnel Blocklist.
2. Twin Tunnel Blocklist (TTB) ограничивает трафик из определенных подсетей.
   Если пакет попадает под блокирующее правило в этом сервисе, он отбрасывается, а дальнейшая проверка не производится. Если нет — он обрабатывается сервисом Twin Tunnel Geo-Block.
3. Twin Tunnel Geo-Block (TTG) разрешает или блокирует трафик из выбранных регионов.
   Если в этом сервисе пакет попадает под разрешающее правило, или же правил нет — он обрабатывается сервисом Twin Tunnel Rate Limiter.
   Если пакет блокируется на основе региона, он отбрасывается и дальнейшая проверка не производится.
4. Twin Tunnel Rate Limiter (TTR) устанавливает лимиты для входящего трафика в битах или пакетах.
   Если пакет попадает под ограничивающее правило и превышает установленный лимит, он отбрасывается.
   Twin Tunnel Rate Limiter не обрабатывает пакеты, которые пропускаются на защищаемый ресурс на уровне Twin Tunnel Firewall.

Узнать больше о возможностях защиты сети DDoS-Guard вы можете на странице услуги

Подробнее о методах защиты сети от DDoS читайте в нашем блоге: Как защитить сеть от DDoS-атак