Защита DDoS-Guard L3-L4
Защита DDoS-Guard L3-L4 — решение на базе партнерского продукта от компании DDoS-Guard.
Услуга действует на сетевом (L3) и транспортном (L4) уровнях и защищает от DDoS-атак, которые:
- направлены на исчерпание полосы трафика и нарушение работы сетевой инфраструктуры;
- эксплуатируют слабые места протоколов TCP/IP.
Услуга не защищает от атак на уровне приложений (L7), для этого выберите другой тип защиты.
Услуга защищает только IP-адреса, которые назначены на оборудование в инфраструктуре Selectel.
Услугу нельзя подключить для адресов из общей подсети (/32
) или публичных IP-адресов.
Ее можно подключить только для адресов из публичной выделенной подсети или публичной подсети.
Принцип работы
После заказа услуги вам выдается защищенный публичный IPv4-адрес, и вы настраиваете прием трафика на сервере через этот защищенный адрес. Адрес нужно назначить на сетевой инте рфейс публичной сети в качестве дополнительного.
По умолчанию с услугой предоставляется один защищенный IP-адрес. Если вам нужно защитить несколько серверов в пуле — для них нужно заказать дополнительные защищенные IP-адреса.
Входящий трафик, который направляется на защищенный адрес, проходит через узлы фильтрации в разных точках мира, где проводится его анализ и очистка. Фильтруется каждый входящий пакет. Очищенный трафик направляется на основной адрес сервера.
Стоимость
Стоимость услуги складывается:
- из выбранного тарифа услуги Защита DDoS-Guard L3-L4 с необходимой пропускной способностью — 10, 20, 50 или 100 Мбит/с;
- стоимости дополнительных защищенных IPv4-адресов. Первый защищенный адрес предоставляется бесплатно, для каждого дополнительного сервера в пуле нужно заказать дополнительный защищенный адрес;
- стоимости новой подсети, если она нужна для подключения услуги.
Посмотреть цены на услугу Защита DDoS-Guard L3-L4 можно на selectel.ru.
Для оплаты услуги в зависимости от типа баланса в аккаунте используется единый баланс или основной баланс. Услуга оплачивается ежемесячно, при заказе услуги платеж за первый месяц списывается с баланса, далее платежи списываются автоматически в начале каждого следующего периода.
Подключить услугу
- Если на вашем сервере есть только публичный общий адрес или публичный IP-адрес, либо на ваши серверы уже идет атака, закажите и настройте новую подсеть.
- Закажите услугу Защита DDoS-Guard L3-L4.
- Если вам нужно защитить больше одного сервера в пуле, закажите дополнительные защищенные IP-адреса.
- Настройте защищенный IP-адрес на сервере.
- Если вы подключаете защиту для облачного сервера, добавьте защищенный IP-адрес как разрешенный IP-адрес на порт.
1. Заказать и настроить новую подсеть
Новая подсеть требуется, если на вашем сервере есть только публичный общий адрес (/32
), либо на ваши серверы уже идет атака, то есть целевой IP-адрес уже известен злоумышленникам.
Закажите подсеть и настройте адрес из нее на сервере:
- для выделенного сервера используйте подраздел Подключить дополнительные публичные IP-адреса инструкции IP-адреса выделенного сервера;
- для облачного сервера используйте подраздел Настроить доступ в интернет и из интернета через публичную подсеть инструкции Настроить доступ в интернет и из интернета.
2. Заказать услугу
Если вам нужно защитить оборудование в разных пулах, для каждого пула подключите отдельную услугу защиты.
-
В панели управления в верхнем меню нажмите Продукты и выберите Защита от DDoS.
-
Нажмите Заказать услуги.
-
В строке услуги Защита DDoS-Guard от DDoS (L3-L4) с необходимой пропускной способностью (10, 20, 50, 100 Мбит/с) нажмите Оплатить.
-
Нажмите Оплатить услугу.
-
Мы пришлем вам тикет, в котором уточним детали. Когда защита будет подключена, в том же тикете мы отправим:
- защищенный IP-адрес, который нужно будет настроить на сервере;
- данные для входа в личный кабинет DDoS-Guard, где можно посмотреть статистику.
3. Заказать дополнительные защищенные IP-адреса
С услугой защиты предоставляется один защищенный IP-адрес. Если вам нужно защитить больше одного сервера в пуле, для каждого из них закажите дополнительный защищенный адрес.
- В панели управления в верхнем меню нажмите Продукты и выберите Защита от DDoS.
- Нажмите Заказать услуги.
- В строке услуги Защита DDoS-Guard от DDoS (L3-L4) — дополнительный IP-адрес нажмите Оплатить.
- Нажмите Оплатить услугу.
4. Настроить защищенный IP-адрес на сервере
Ubuntu
Debian
CentOS
Windows
-
Подключитесь к серверу по SSH или через KVM-консоль.
-
Откройте конфигурационный файл утилиты
netplan
текстовым редакторомvi
:vi /etc/netplan/50-cloud-init.yaml
или
vi /etc/netplan/01-netcfg.yaml
-
Добавьте после содержимого файла данные дополнительного адреса:
<eth_name>:0:
addresses: [<ip_address>/32]Укажите:
<eth_name>
— имя сетевого интерфейса, на который нужно добавить дополнительный адрес;<ip_address>
— защищенный IP-адрес, который получили в тикете.
-
Нажмите клавишу
ESC
. -
Выйдите из текстового редактора
vi
с сохранением изменений::wq
-
Примените конфигурацию:
netplan apply
-
Опционально: перезагрузите сервер.
-
Настройте все серверные приложения на работу с защищенным IP-адресом.
-
Подключитесь к серверу по SSH или через KVM-консоль.
-
Откройте конфигурационный файл сетевых интерфейсов текстовым редактором
vi
:vi /etc/network/interfaces/
-
Добавьте после содержимого данные дополнительного адреса:
auto <eth_name>:0
iface <eth_name>:0 inet static
address <ip_address>/32
mtu 1500Укажите:
<eth_name>
— имя сетевого интерфейса, на который нужно добавить дополнительный адрес;<ip_address>
— защищенный IP-адрес, который получили в тикете.
-
Нажмите клавишу
ESC
. -
Выйдите из текстового редактора
vi
с сохранением изменений::wq
-
Перезапустите сеть:
service networking restart
-
Опционально: перезагрузите сервер.
-
Настройте все серверные приложения на работу с защищ енным IP-адресом.
-
Подключитесь к серверу по SSH или через KVM-консоль.
-
Выведите информацию о сетевых интерфейсах:
ip address
-
Откройте конфигурационный файл сетевого интерфейса текстовым редактором
vi
:vi /etc/sysconfig/network-scripts/ifcfg-<eth_name>:0
Укажите
<eth_name>
— имя сетевого интерфейса, на который нужно добавить дополнительный адрес. -
Добавьте в файл данные дополнительного адреса:
DEVICE=<eth_name>:0
ONBOOT=yes
BOOTPROTO=static
IPADDR=<ip_address>
NETMASK=255.255.255.255Укажите:
<eth_name>
— имя сетевого интерфейса, на который нужно добавить дополнительный адрес;<ip_address>
— защищенный IP-адрес, который получили в тикете.
-
Нажмите клавишу
ESC
. -
Выйдите из текстового редактора
vi
с сохранением изменений::wq
-
Перезапустите сеть:
service network restart
-
Настройте все серверные приложения на работу с защищенным IP-адресом.
- Подключитесь к серве ру по RDP или через KVM-консоль.
- Перейдите в настройки Ethernet → Change adapter settings.
- Откройте настройки соединения и нажмите на нужное устройство правой кнопкой мыши.
- Выберите пункт Properties → в списке дважды кликните на Internet Protocol Version 4 (TCP/IPv4).
- Убедитесь, что выбрана опция Use the following IP address.
- Нажмите Advanced.
- Нажмите Add.
- В поле IP address введите защищенный IP-адрес, который получили в тикете.
- Нажмите Add.
- Нажмите OK.
- Настройте все серверные приложения на работу с защищенным IP-адресом.
5. Добавить защищенный IP-адрес как разрешенный IP-адрес на порт облачного сервера
Если вы подключаете защиту для облачного сервера и в его публичной подсети включена фильтрация трафика (port security), защищенный адрес нужно добавить в качестве разрешенного IP-адреса на порт, на котором вы настроили защищенный адрес.
-
Проверьте состояние фильтрации трафика (port security) в сети сервера:
1.1. В панели управления в верхнем меню нажмите Продукты и выберите Облачные серверы.
1.2. Перейдите в раздел Сеть → вкладка Публичные сети.
1.3. Посмотрите карточку публичной подсети, IP-адрес из которой вы настроили на сервере. Если подсеть отмечена , в сети включена фильтрация трафика (port security).
-
Если фильтрация трафика в подсети выключена, дополнительные настройки не требуются. Если фильтрация включена, добавьте защищенный IP-адрес в качестве разрешенного IP-адреса на порт облачного сервера:
Панель управления
OpenStack CLI
2.1. В панели управления в верхнем меню нажмите Продукты и выберите Облачные серверы.
2.2. О ткройте страницу сервера → вкладка Порты.
2.3. В строке порта, на который вы назначили защищенный адрес, в поле Группы безопасности нажмите .
2.4. Нажмите Добавить пару IP/MAC.
2.5. Введите защищенный IP-адрес, который получили в тикете.
2.6. Опционально: введите MAC-адрес, который соответствует IP-адресу, или оставьте MAC-адрес порта по умолчанию.
2.7. Нажмите Сохранить.
2.1. Откройте OpenStack CLI.
2.2. Добавьте разрешенный адрес:
openstack port set \
--allowed-address ip-address=<ip_address>[,mac-address=<mac_address>] \
<port>Укажите:
<ip_address>
— защищенный IP-адрес, который получили в тикете;- опционально:
,mac-address=<mac_address>
— MAC-адрес, соответствующий IP-адресу. Параметр<mac_address>
— значение MAC-адреса. Если не указать MAC-адрес, будет использоваться MAC-адрес порта по умолчанию; <port>
— ID порта, на который вы назначили защищенный IP-адрес, список портов можно посмотреть с помощью командыopenstack port list
.
Посмотреть статистику
- Перейдите в личный кабинет DDoS-Guard. Данные для входа в кабинет можно посмотреть в тикете о подключении услуги.
- Откройте вкладку IP-транзит. Здесь отображается статистика по общему трафику до очистки фильтрами. Графики строятся на основе пятиминутных замеров трафика, поэтому пики могут быть сглажены.
Отключить услугу
-
Убедитесь, что вы перенастроили прием трафика на адрес из вашей подсети. Защищенный адрес, который вам выдали при подключении услуги, будет отключен вместе с защитой.
-
В панели управления в верхнем меню нажмите Продукты и выберите Защита от DDoS.
-
В меню услуги выберите Отключить ежемесячный платеж. Услуга проработает до конца оплаченного периода.
-
Мы отключим услугу после окончания оплаченного периода.