Перейти к основному содержимому

Защита DDoS-Guard L3-L4

Последнее изменение:

Защита DDoS-Guard L3-L4 — решение на базе партнерского продукта от компании DDoS-Guard.

Услуга действует на сетевом (L3) и транспортном (L4) уровнях и защищает от DDoS-атак, которые:

  • направлены на исчерпание полосы трафика и нарушение работы сетевой инфраструктуры;
  • эксплуатируют слабые места протоколов TCP/IP.

Услуга не защищает от атак на уровне приложений (L7), для этого выберите другой тип защиты.

Услуга защищает только IP-адреса, которые назначены на оборудование в инфраструктуре Selectel. Услугу нельзя подключить для адресов из общей подсети (/32) или публичных IP-адресов. Ее можно подключить только для адресов из публичной выделенной подсети или публичной подсети.

Принцип работы

После заказа услуги вам выдается защищенный публичный IPv4-адрес, и вы настраиваете прием трафика на сервере через этот защищенный адрес. Адрес нужно назначить на сетевой интерфейс публичной сети в качестве дополнительного.

По умолчанию с услугой предоставляется один защищенный IP-адрес. Если вам нужно защитить несколько серверов в пуле — для них нужно заказать дополнительные защищенные IP-адреса.

Входящий трафик, который направляется на защищенный адрес, проходит через узлы фильтрации в разных точках мира, где проводится его анализ и очистка. Фильтруется каждый входящий пакет. Очищенный трафик направляется на основной адрес сервера.

Стоимость

Стоимость услуги складывается:

  • из выбранного тарифа услуги Защита DDoS-Guard L3-L4 с необходимой пропускной способностью — 10, 20, 50 или 100 Мбит/с;
  • стоимости дополнительных защищенных IPv4-адресов. Первый защищенный адрес предоставляется бесплатно, для каждого дополнительного сервера в пуле нужно заказать дополнительный защищенный адрес;
  • стоимости новой подсети, если она нужна для подключения услуги.

Посмотреть цены на услугу Защита DDoS-Guard L3-L4 можно на selectel.ru.

Для оплаты услуги в зависимости от типа баланса в аккаунте используется единый баланс или основной баланс. Услуга оплачивается ежемесячно, при заказе услуги платеж за первый месяц списывается с баланса, далее платежи списываются автоматически в начале каждого следующего периода.

Подключить услугу

  1. Если на вашем сервере есть только публичный общий адрес или публичный IP-адрес, либо на ваши серверы уже идет атака, закажите и настройте новую подсеть.
  2. Закажите услугу Защита DDoS-Guard L3-L4.
  3. Если вам нужно защитить больше одного сервера в пуле, закажите дополнительные защищенные IP-адреса.
  4. Настройте защищенный IP-адрес на сервере.
  5. Если вы подключаете защиту для облачного сервера, добавьте защищенный IP-адрес как разрешенный IP-адрес на порт.

1. Заказать и настроить новую подсеть

Новая подсеть требуется, если на вашем сервере есть только публичный общий адрес (/32), либо на ваши серверы уже идет атака, то есть целевой IP-адрес уже известен злоумышленникам.

Закажите подсеть и настройте адрес из нее на сервере:

2. Заказать услугу

Если вам нужно защитить оборудование в разных пулах, для каждого пула подключите отдельную услугу защиты.

  1. В панели управления в верхнем меню нажмите Продукты и выберите Защита от DDoS.

  2. Нажмите Заказать услуги.

  3. В строке услуги Защита DDoS-Guard от DDoS (L3-L4) с необходимой пропускной способностью (10, 20, 50, 100 Мбит/с) нажмите Оплатить.

  4. Нажмите Оплатить услугу.

  5. Мы пришлем вам тикет, в котором уточним детали. Когда защита будет подключена, в том же тикете мы отправим:

3. Заказать дополнительные защищенные IP-адреса

С услугой защиты предоставляется один защищенный IP-адрес. Если вам нужно защитить больше одного сервера в пуле, для каждого из них закажите дополнительный защищенный адрес.

  1. В панели управления в верхнем меню нажмите Продукты и выберите Защита от DDoS.
  2. Нажмите Заказать услуги.
  3. В строке услуги Защита DDoS-Guard от DDoS (L3-L4) — дополнительный IP-адрес нажмите Оплатить.
  4. Нажмите Оплатить услугу.

4. Настроить защищенный IP-адрес на сервере

  1. Подключитесь к серверу по SSH или через KVM-консоль.

  2. Откройте конфигурационный файл утилиты netplan текстовым редактором vi:

    vi /etc/netplan/50-cloud-init.yaml

    или

    vi /etc/netplan/01-netcfg.yaml
  3. Добавьте после содержимого файла данные дополнительного адреса:

    <eth_name>:0:
    addresses: [<ip_address>/32]

    Укажите:

    • <eth_name> — имя сетевого интерфейса, на который нужно добавить дополнительный адрес;
    • <ip_address> — защищенный IP-адрес, который получили в тикете.
  4. Нажмите клавишу ESC.

  5. Выйдите из текстового редактора vi с сохранением изменений:

    :wq
  6. Примените конфигурацию:

    netplan apply
  7. Опционально: перезагрузите сервер.

  8. Настройте все серверные приложения на работу с защищенным IP-адресом.

5. Добавить защищенный IP-адрес как разрешенный IP-адрес на порт облачного сервера

Если вы подключаете защиту для облачного сервера и в его публичной подсети включена фильтрация трафика (port security), защищенный адрес нужно добавить в качестве разрешенного IP-адреса на порт, на котором вы настроили защищенный адрес.

  1. Проверьте состояние фильтрации трафика (port security) в сети сервера:

    1.1. В панели управления в верхнем меню нажмите Продукты и выберите Облачные серверы.

    1.2. Перейдите в раздел Сеть → вкладка Публичные сети.

    1.3. Посмотрите карточку публичной подсети, IP-адрес из которой вы настроили на сервере. Если подсеть отмечена , в сети включена фильтрация трафика (port security).

  2. Если фильтрация трафика в подсети выключена, дополнительные настройки не требуются. Если фильтрация включена, добавьте защищенный IP-адрес в качестве разрешенного IP-адреса на порт облачного сервера:

    2.1. В панели управления в верхнем меню нажмите Продукты и выберите Облачные серверы.

    2.2. Откройте страницу сервера → вкладка Порты.

    2.3. В строке порта, на который вы назначили защищенный адрес, в поле Группы безопасности нажмите .

    2.4. Нажмите Добавить пару IP/MAC.

    2.5. Введите защищенный IP-адрес, который получили в тикете.

    2.6. Опционально: введите MAC-адрес, который соответствует IP-адресу, или оставьте MAC-адрес порта по умолчанию.

    2.7. Нажмите Сохранить.

Посмотреть статистику

  1. Перейдите в личный кабинет DDoS-Guard. Данные для входа в кабинет можно посмотреть в тикете о подключении услуги.
  2. Откройте вкладку IP-транзит. Здесь отображается статистика по общему трафику до очистки фильтрами. Графики строятся на основе пятиминутных замеров трафика, поэтому пики могут быть сглажены.

Отключить услугу

  1. Убедитесь, что вы перенастроили прием трафика на адрес из вашей подсети. Защищенный адрес, который вам выдали при подключении услуги, будет отключен вместе с защитой.

  2. В панели управления в верхнем меню нажмите Продукты и выберите Защита от DDoS.

  3. В меню услуги выберите Отключить ежемесячный платеж. Услуга проработает до конца оплаченного периода.

  4. Мы отключим услугу после окончания оплаченного периода.