ಈ ಲೇಖನವು "ನಿಮ್ಮ ನೆಟ್ವರ್ಕ್ ಮೂಲಸೌಕರ್ಯವನ್ನು ಹೇಗೆ ನಿಯಂತ್ರಿಸುವುದು" ಎಂಬ ಸರಣಿಯಲ್ಲಿ ನಾಲ್ಕನೆಯದು. ಸರಣಿಯಲ್ಲಿನ ಎಲ್ಲಾ ಲೇಖನಗಳ ವಿಷಯಗಳನ್ನು ಮತ್ತು ಲಿಂಕ್ಗಳನ್ನು ಕಾಣಬಹುದು .
В ಈ ಅಧ್ಯಾಯದಲ್ಲಿ, ಡೇಟಾ ಸೆಂಟರ್ ವಿಭಾಗದಲ್ಲಿ ನೆಟ್ವರ್ಕ್ ಭದ್ರತೆಯ ಕೆಲವು ಅಂಶಗಳನ್ನು ನಾವು ನೋಡಿದ್ದೇವೆ. ಈ ಭಾಗವನ್ನು "ಇಂಟರ್ನೆಟ್ ಪ್ರವೇಶ" ವಿಭಾಗಕ್ಕೆ ಮೀಸಲಿಡಲಾಗುತ್ತದೆ.
ಇಂಟರ್ನೆಟ್ ಪ್ರವೇಶ
ಭದ್ರತೆಯ ವಿಷಯವು ನಿಸ್ಸಂದೇಹವಾಗಿ ಡೇಟಾ ನೆಟ್ವರ್ಕ್ಗಳ ಪ್ರಪಂಚದ ಅತ್ಯಂತ ಸಂಕೀರ್ಣ ವಿಷಯಗಳಲ್ಲಿ ಒಂದಾಗಿದೆ. ಹಿಂದಿನ ಪ್ರಕರಣಗಳಂತೆ, ಆಳ ಮತ್ತು ಸಂಪೂರ್ಣತೆಯನ್ನು ಹೇಳಿಕೊಳ್ಳದೆ, ನಾನು ಇಲ್ಲಿ ಸಾಕಷ್ಟು ಸರಳವಾಗಿ ಪರಿಗಣಿಸುತ್ತೇನೆ, ಆದರೆ, ನನ್ನ ಅಭಿಪ್ರಾಯದಲ್ಲಿ, ಪ್ರಮುಖ ಪ್ರಶ್ನೆಗಳು, ಉತ್ತರಗಳು, ನಿಮ್ಮ ನೆಟ್ವರ್ಕ್ನ ಭದ್ರತೆಯ ಮಟ್ಟವನ್ನು ಹೆಚ್ಚಿಸಲು ಸಹಾಯ ಮಾಡುತ್ತದೆ ಎಂದು ನಾನು ಭಾವಿಸುತ್ತೇನೆ.
ಈ ವಿಭಾಗವನ್ನು ಲೆಕ್ಕಪರಿಶೋಧಿಸುವಾಗ, ಈ ಕೆಳಗಿನ ಅಂಶಗಳಿಗೆ ಗಮನ ಕೊಡಿ:
- ವಿನ್ಯಾಸ
- BGP ಸೆಟ್ಟಿಂಗ್ಗಳು
- DOS/DDOS ರಕ್ಷಣೆ
- ಫೈರ್ವಾಲ್ನಲ್ಲಿ ಟ್ರಾಫಿಕ್ ಫಿಲ್ಟರಿಂಗ್
ಡಿಸೈನ್
ಎಂಟರ್ಪ್ರೈಸ್ ನೆಟ್ವರ್ಕ್ಗಾಗಿ ಈ ವಿಭಾಗದ ವಿನ್ಯಾಸದ ಉದಾಹರಣೆಯಾಗಿ, ನಾನು ಶಿಫಾರಸು ಮಾಡುತ್ತೇವೆ ಒಳಗೆ ಸಿಸ್ಕೋದಿಂದ .
ಸಹಜವಾಗಿ, ಬಹುಶಃ ಇತರ ಮಾರಾಟಗಾರರ ಪರಿಹಾರವು ನಿಮಗೆ ಹೆಚ್ಚು ಆಕರ್ಷಕವಾಗಿ ತೋರುತ್ತದೆ (ನೋಡಿ. ), ಆದರೆ ಈ ವಿನ್ಯಾಸವನ್ನು ವಿವರವಾಗಿ ಅನುಸರಿಸಲು ನಿಮ್ಮನ್ನು ಪ್ರೋತ್ಸಾಹಿಸದೆ, ಅದರ ಹಿಂದಿನ ತತ್ವಗಳು ಮತ್ತು ಆಲೋಚನೆಗಳನ್ನು ಅರ್ಥಮಾಡಿಕೊಳ್ಳಲು ನನಗೆ ಇನ್ನೂ ಉಪಯುಕ್ತವಾಗಿದೆ.
ಗಮನಿಸಿ
SAFE ನಲ್ಲಿ, "ರಿಮೋಟ್ ಪ್ರವೇಶ" ವಿಭಾಗವು "ಇಂಟರ್ನೆಟ್ ಪ್ರವೇಶ" ವಿಭಾಗದ ಭಾಗವಾಗಿದೆ. ಆದರೆ ಈ ಲೇಖನಗಳ ಸರಣಿಯಲ್ಲಿ ನಾವು ಅದನ್ನು ಪ್ರತ್ಯೇಕವಾಗಿ ಪರಿಗಣಿಸುತ್ತೇವೆ.
ಎಂಟರ್ಪ್ರೈಸ್ ನೆಟ್ವರ್ಕ್ಗಾಗಿ ಈ ವಿಭಾಗದಲ್ಲಿನ ಉಪಕರಣಗಳ ಪ್ರಮಾಣಿತ ಸೆಟ್
- ಗಡಿ ಮಾರ್ಗನಿರ್ದೇಶಕಗಳು
- ಫೈರ್ವಾಲ್ಗಳು
ಟೀಕೆ 1
ಈ ಲೇಖನಗಳ ಸರಣಿಯಲ್ಲಿ, ನಾನು ಫೈರ್ವಾಲ್ಗಳ ಬಗ್ಗೆ ಮಾತನಾಡುವಾಗ, ಅಂದರೆ .
ಟೀಕೆ 2
L2/L1 ಸಂಪರ್ಕವನ್ನು ಖಚಿತಪಡಿಸಿಕೊಳ್ಳಲು ಮತ್ತು L2 ಮಟ್ಟದಲ್ಲಿ ಮತ್ತು ಮೇಲಿನ ಸಮಸ್ಯೆಗಳಿಗೆ ಮಾತ್ರ ನನ್ನನ್ನು ಮಿತಿಗೊಳಿಸಲು ಅಗತ್ಯವಿರುವ L3 ಪರಿಹಾರಗಳ ಮೇಲೆ L1/L2 ಅಥವಾ ಓವರ್ಲೇ L3 ಅನ್ನು ಪರಿಗಣಿಸುವುದನ್ನು ನಾನು ಬಿಟ್ಟುಬಿಡುತ್ತೇನೆ. ಭಾಗಶಃ, L1/L2 ಸಮಸ್ಯೆಗಳನ್ನು ಅಧ್ಯಾಯದಲ್ಲಿ ಚರ್ಚಿಸಲಾಗಿದೆ "".
ಈ ವಿಭಾಗದಲ್ಲಿ ನೀವು ಫೈರ್ವಾಲ್ ಅನ್ನು ಕಂಡುಹಿಡಿಯದಿದ್ದರೆ, ನೀವು ತೀರ್ಮಾನಗಳಿಗೆ ಹೊರದಬ್ಬಬಾರದು.
ನಲ್ಲಿರುವಂತೆಯೇ ಮಾಡೋಣ ಪ್ರಶ್ನೆಯೊಂದಿಗೆ ಪ್ರಾರಂಭಿಸೋಣ: ನಿಮ್ಮ ಸಂದರ್ಭದಲ್ಲಿ ಈ ವಿಭಾಗದಲ್ಲಿ ಫೈರ್ವಾಲ್ ಅನ್ನು ಬಳಸುವುದು ಅಗತ್ಯವೇ?
ಫೈರ್ವಾಲ್ಗಳನ್ನು ಬಳಸಲು ಮತ್ತು ಸಂಕೀರ್ಣ ಟ್ರಾಫಿಕ್ ಫಿಲ್ಟರಿಂಗ್ ಅಲ್ಗಾರಿದಮ್ಗಳನ್ನು ಅನ್ವಯಿಸಲು ಇದು ಅತ್ಯಂತ ಸಮರ್ಥನೀಯ ಸ್ಥಳವಾಗಿದೆ ಎಂದು ನಾನು ಹೇಳಬಲ್ಲೆ. IN ಡೇಟಾ ಸೆಂಟರ್ ವಿಭಾಗದಲ್ಲಿ ಫೈರ್ವಾಲ್ಗಳ ಬಳಕೆಯನ್ನು ಅಡ್ಡಿಪಡಿಸುವ 4 ಅಂಶಗಳನ್ನು ನಾವು ಉಲ್ಲೇಖಿಸಿದ್ದೇವೆ. ಆದರೆ ಇಲ್ಲಿ ಅವರು ಇನ್ನು ಮುಂದೆ ಅಷ್ಟು ಮಹತ್ವದ್ದಾಗಿಲ್ಲ.
ಉದಾಹರಣೆ 1. ವಿಳಂಬ
ಇಂಟರ್ನೆಟ್ಗೆ ಸಂಬಂಧಿಸಿದಂತೆ, ಸುಮಾರು 1 ಮಿಲಿಸೆಕೆಂಡ್ಗಳ ವಿಳಂಬದ ಬಗ್ಗೆ ಮಾತನಾಡುವುದರಲ್ಲಿ ಅರ್ಥವಿಲ್ಲ. ಆದ್ದರಿಂದ, ಈ ವಿಭಾಗದಲ್ಲಿನ ವಿಳಂಬವು ಫೈರ್ವಾಲ್ನ ಬಳಕೆಯನ್ನು ಸೀಮಿತಗೊಳಿಸುವ ಅಂಶವಾಗಿರಬಾರದು.
ಉದಾಹರಣೆ 2. ಉತ್ಪಾದಕತೆ
ಕೆಲವು ಸಂದರ್ಭಗಳಲ್ಲಿ ಈ ಅಂಶವು ಇನ್ನೂ ಮಹತ್ವದ್ದಾಗಿರಬಹುದು. ಆದ್ದರಿಂದ, ಫೈರ್ವಾಲ್ ಅನ್ನು ಬೈಪಾಸ್ ಮಾಡಲು ನೀವು ಕೆಲವು ದಟ್ಟಣೆಯನ್ನು (ಉದಾಹರಣೆಗೆ, ಲೋಡ್ ಬ್ಯಾಲೆನ್ಸರ್ಗಳಿಂದ ಟ್ರಾಫಿಕ್) ಅನುಮತಿಸಬೇಕಾಗಬಹುದು.
ಉದಾಹರಣೆ 3. ವಿಶ್ವಾಸಾರ್ಹತೆ
ಈ ಅಂಶವನ್ನು ಇನ್ನೂ ಗಣನೆಗೆ ತೆಗೆದುಕೊಳ್ಳಬೇಕಾಗಿದೆ, ಆದರೆ ಇನ್ನೂ, ಇಂಟರ್ನೆಟ್ನ ವಿಶ್ವಾಸಾರ್ಹತೆಯಿಲ್ಲದ ಕಾರಣ, ಈ ವಿಭಾಗಕ್ಕೆ ಅದರ ಪ್ರಾಮುಖ್ಯತೆಯು ಡೇಟಾ ಸೆಂಟರ್ಗೆ ಮಹತ್ವದ್ದಾಗಿಲ್ಲ.
ಆದ್ದರಿಂದ, ನಿಮ್ಮ ಸೇವೆಯು http/https (ಸಣ್ಣ ಅವಧಿಗಳೊಂದಿಗೆ) ಮೇಲೆ ವಾಸಿಸುತ್ತದೆ ಎಂದು ಭಾವಿಸೋಣ. ಈ ಸಂದರ್ಭದಲ್ಲಿ, ನೀವು ಎರಡು ಸ್ವತಂತ್ರ ಪೆಟ್ಟಿಗೆಗಳನ್ನು (HA ಇಲ್ಲದೆ) ಬಳಸಬಹುದು ಮತ್ತು ಅವುಗಳಲ್ಲಿ ಒಂದಕ್ಕೆ ರೂಟಿಂಗ್ ಸಮಸ್ಯೆ ಇದ್ದರೆ, ಎಲ್ಲಾ ದಟ್ಟಣೆಯನ್ನು ಎರಡನೆಯದಕ್ಕೆ ವರ್ಗಾಯಿಸಿ.
ಅಥವಾ ನೀವು ಪಾರದರ್ಶಕ ಮೋಡ್ನಲ್ಲಿ ಫೈರ್ವಾಲ್ಗಳನ್ನು ಬಳಸಬಹುದು ಮತ್ತು ಅವು ವಿಫಲವಾದರೆ, ಸಮಸ್ಯೆಯನ್ನು ಪರಿಹರಿಸುವಾಗ ಫೈರ್ವಾಲ್ ಅನ್ನು ಬೈಪಾಸ್ ಮಾಡಲು ದಟ್ಟಣೆಯನ್ನು ಅನುಮತಿಸಿ.
ಆದ್ದರಿಂದ, ಹೆಚ್ಚಾಗಿ ಕೇವಲ ಬೆಲೆ ಈ ವಿಭಾಗದಲ್ಲಿ ಫೈರ್ವಾಲ್ಗಳ ಬಳಕೆಯನ್ನು ತ್ಯಜಿಸಲು ನಿಮ್ಮನ್ನು ಒತ್ತಾಯಿಸುವ ಅಂಶವಾಗಿರಬಹುದು.
ಪ್ರಮುಖ!
ಈ ಫೈರ್ವಾಲ್ ಅನ್ನು ಡೇಟಾ ಸೆಂಟರ್ ಫೈರ್ವಾಲ್ನೊಂದಿಗೆ ಸಂಯೋಜಿಸಲು ಒಂದು ಪ್ರಲೋಭನೆ ಇದೆ (ಈ ವಿಭಾಗಗಳಿಗೆ ಒಂದು ಫೈರ್ವಾಲ್ ಬಳಸಿ). ಪರಿಹಾರವು ತಾತ್ವಿಕವಾಗಿ ಸಾಧ್ಯ, ಆದರೆ ನೀವು ಅದನ್ನು ಅರ್ಥಮಾಡಿಕೊಳ್ಳಬೇಕು ಇಂಟರ್ನೆಟ್ ಪ್ರವೇಶ ಫೈರ್ವಾಲ್ ನಿಮ್ಮ ರಕ್ಷಣೆಯ ಮುಂಚೂಣಿಯಲ್ಲಿದೆ ಮತ್ತು ಕನಿಷ್ಠ ಕೆಲವು ದುರುದ್ದೇಶಪೂರಿತ ದಟ್ಟಣೆಯನ್ನು "ತೆಗೆದುಕೊಳ್ಳುತ್ತದೆ", ನಂತರ, ಸಹಜವಾಗಿ, ಈ ಫೈರ್ವಾಲ್ ನಿಷ್ಕ್ರಿಯಗೊಳ್ಳುವ ಹೆಚ್ಚಿನ ಅಪಾಯವನ್ನು ನೀವು ಗಣನೆಗೆ ತೆಗೆದುಕೊಳ್ಳಬೇಕಾಗುತ್ತದೆ. ಅಂದರೆ, ಈ ಎರಡು ವಿಭಾಗಗಳಲ್ಲಿ ಒಂದೇ ಸಾಧನಗಳನ್ನು ಬಳಸುವುದರಿಂದ, ನಿಮ್ಮ ಡೇಟಾ ಸೆಂಟರ್ ವಿಭಾಗದ ಲಭ್ಯತೆಯನ್ನು ನೀವು ಗಮನಾರ್ಹವಾಗಿ ಕಡಿಮೆಗೊಳಿಸುತ್ತೀರಿ.
ಯಾವಾಗಲೂ ಹಾಗೆ, ಕಂಪನಿಯು ಒದಗಿಸುವ ಸೇವೆಯನ್ನು ಅವಲಂಬಿಸಿ, ಈ ವಿಭಾಗದ ವಿನ್ಯಾಸವು ಹೆಚ್ಚು ಬದಲಾಗಬಹುದು ಎಂದು ನೀವು ಅರ್ಥಮಾಡಿಕೊಳ್ಳಬೇಕು. ಯಾವಾಗಲೂ ಹಾಗೆ, ನಿಮ್ಮ ಅವಶ್ಯಕತೆಗಳನ್ನು ಅವಲಂಬಿಸಿ ನೀವು ವಿಭಿನ್ನ ವಿಧಾನಗಳನ್ನು ಆಯ್ಕೆ ಮಾಡಬಹುದು.
ಉದಾಹರಣೆಗೆ
ನೀವು CDN ನೆಟ್ವರ್ಕ್ನೊಂದಿಗೆ ವಿಷಯ ಪೂರೈಕೆದಾರರಾಗಿದ್ದರೆ (ನೋಡಿ, ಉದಾಹರಣೆಗೆ, ), ನಂತರ ನೀವು ರೂಟಿಂಗ್ ಮತ್ತು ಫಿಲ್ಟರಿಂಗ್ ಟ್ರಾಫಿಕ್ಗಾಗಿ ಪ್ರತ್ಯೇಕ ಸಾಧನಗಳನ್ನು ಬಳಸಿಕೊಂಡು ಹತ್ತಾರು ಅಥವಾ ನೂರಾರು ಸಂಖ್ಯೆಯ ಉಪಸ್ಥಿತಿಯಲ್ಲಿ ಮೂಲಸೌಕರ್ಯವನ್ನು ರಚಿಸಲು ಬಯಸದಿರಬಹುದು. ಇದು ದುಬಾರಿಯಾಗಿದೆ, ಮತ್ತು ಇದು ಸರಳವಾಗಿ ಅನಗತ್ಯವಾಗಿರಬಹುದು.
BGP ಗಾಗಿ ನೀವು ಮೀಸಲಾದ ರೂಟರ್ಗಳನ್ನು ಹೊಂದಿರಬೇಕಾಗಿಲ್ಲ, ನೀವು ತೆರೆದ ಮೂಲ ಸಾಧನಗಳನ್ನು ಬಳಸಬಹುದು . ಆದ್ದರಿಂದ ಬಹುಶಃ ನಿಮಗೆ ಬೇಕಾಗಿರುವುದು ಸರ್ವರ್ ಅಥವಾ ಹಲವಾರು ಸರ್ವರ್ಗಳು, ಸ್ವಿಚ್ ಮತ್ತು ಬಿಜಿಪಿ.
ಈ ಸಂದರ್ಭದಲ್ಲಿ, ನಿಮ್ಮ ಸರ್ವರ್ ಅಥವಾ ಹಲವಾರು ಸರ್ವರ್ಗಳು ಸಿಡಿಎನ್ ಸರ್ವರ್ ಮಾತ್ರವಲ್ಲದೆ ರೂಟರ್ನ ಪಾತ್ರವನ್ನೂ ವಹಿಸಬಹುದು. ಸಹಜವಾಗಿ, ಇನ್ನೂ ಸಾಕಷ್ಟು ವಿವರಗಳಿವೆ (ಉದಾಹರಣೆಗೆ ಸಮತೋಲನವನ್ನು ಹೇಗೆ ಖಚಿತಪಡಿಸಿಕೊಳ್ಳುವುದು), ಆದರೆ ಇದು ಕಾರ್ಯಸಾಧ್ಯವಾಗಿದೆ ಮತ್ತು ಇದು ನಮ್ಮ ಪಾಲುದಾರರಲ್ಲಿ ಒಬ್ಬರಿಗೆ ನಾವು ಯಶಸ್ವಿಯಾಗಿ ಬಳಸಿದ ವಿಧಾನವಾಗಿದೆ.
ನೀವು ಸಂಪೂರ್ಣ ರಕ್ಷಣೆಯೊಂದಿಗೆ ಹಲವಾರು ಡೇಟಾ ಕೇಂದ್ರಗಳನ್ನು ಹೊಂದಬಹುದು (ಫೈರ್ವಾಲ್ಗಳು, ನಿಮ್ಮ ಇಂಟರ್ನೆಟ್ ಪೂರೈಕೆದಾರರು ಒದಗಿಸಿದ DDOS ರಕ್ಷಣೆ ಸೇವೆಗಳು) ಮತ್ತು ಕೇವಲ L2 ಸ್ವಿಚ್ಗಳು ಮತ್ತು ಸರ್ವರ್ಗಳೊಂದಿಗೆ ಡಜನ್ಗಟ್ಟಲೆ ಅಥವಾ ನೂರಾರು "ಸರಳೀಕೃತ" ಪಾಯಿಂಟ್ಗಳ ಉಪಸ್ಥಿತಿ.
ಆದರೆ ಈ ಸಂದರ್ಭದಲ್ಲಿ ರಕ್ಷಣೆಯ ಬಗ್ಗೆ ಏನು?
ಉದಾಹರಣೆಗೆ, ಇತ್ತೀಚೆಗೆ ಜನಪ್ರಿಯತೆಯನ್ನು ನೋಡೋಣ . ಹೆಚ್ಚಿನ ಪ್ರಮಾಣದ ದಟ್ಟಣೆಯನ್ನು ಉತ್ಪಾದಿಸಲಾಗುತ್ತದೆ ಎಂಬ ಅಂಶದಲ್ಲಿ ಇದರ ಅಪಾಯವಿದೆ, ಇದು ನಿಮ್ಮ ಎಲ್ಲಾ ಅಪ್ಲಿಂಕ್ಗಳಲ್ಲಿ 100% ಅನ್ನು ಸರಳವಾಗಿ "ಕ್ಲಾಗ್ ಮಾಡುತ್ತದೆ".
ನಮ್ಮ ವಿನ್ಯಾಸದ ವಿಷಯದಲ್ಲಿ ನಾವು ಏನು ಹೊಂದಿದ್ದೇವೆ.
- ನೀವು AnyCast ಅನ್ನು ಬಳಸಿದರೆ, ನಿಮ್ಮ ಉಪಸ್ಥಿತಿಯ ಬಿಂದುಗಳ ನಡುವೆ ಸಂಚಾರವನ್ನು ವಿತರಿಸಲಾಗುತ್ತದೆ. ನಿಮ್ಮ ಒಟ್ಟು ಬ್ಯಾಂಡ್ವಿಡ್ತ್ ಟೆರಾಬಿಟ್ಗಳಾಗಿದ್ದರೆ, ಇದು ಸ್ವತಃ ವಾಸ್ತವವಾಗಿ (ಆದಾಗ್ಯೂ, ಇತ್ತೀಚೆಗೆ ಟೆರಾಬಿಟ್ಗಳ ಕ್ರಮದಲ್ಲಿ ದುರುದ್ದೇಶಪೂರಿತ ದಟ್ಟಣೆಯೊಂದಿಗೆ ಹಲವಾರು ದಾಳಿಗಳು ನಡೆದಿವೆ) "ಉಕ್ಕಿ ಹರಿಯುವ" ಅಪ್ಲಿಂಕ್ಗಳಿಂದ ನಿಮ್ಮನ್ನು ರಕ್ಷಿಸುತ್ತದೆ
- ಆದಾಗ್ಯೂ, ಕೆಲವು ಅಪ್ಲಿಂಕ್ಗಳು ಮುಚ್ಚಿಹೋಗಿದ್ದರೆ, ನೀವು ಈ ಸೈಟ್ ಅನ್ನು ಸೇವೆಯಿಂದ ತೆಗೆದುಹಾಕುತ್ತೀರಿ (ಪೂರ್ವಪ್ರತ್ಯಯವನ್ನು ಜಾಹೀರಾತು ಮಾಡುವುದನ್ನು ನಿಲ್ಲಿಸಿ)
- ನಿಮ್ಮ "ಪೂರ್ಣ" (ಮತ್ತು, ಅದರ ಪ್ರಕಾರ, ರಕ್ಷಿತ) ಡೇಟಾ ಕೇಂದ್ರಗಳಿಂದ ಕಳುಹಿಸಲಾದ ದಟ್ಟಣೆಯ ಪಾಲನ್ನು ಸಹ ನೀವು ಹೆಚ್ಚಿಸಬಹುದು, ಇದರಿಂದಾಗಿ ದುರುದ್ದೇಶಪೂರಿತ ದಟ್ಟಣೆಯ ಗಮನಾರ್ಹ ಭಾಗವನ್ನು ಅಸುರಕ್ಷಿತ ಉಪಸ್ಥಿತಿಯಿಂದ ತೆಗೆದುಹಾಕಬಹುದು
ಮತ್ತು ಈ ಉದಾಹರಣೆಗೆ ಇನ್ನೂ ಒಂದು ಸಣ್ಣ ಟಿಪ್ಪಣಿ. ನೀವು IX ಗಳ ಮೂಲಕ ಸಾಕಷ್ಟು ದಟ್ಟಣೆಯನ್ನು ಕಳುಹಿಸಿದರೆ, ಇದು ಅಂತಹ ದಾಳಿಗಳಿಗೆ ನಿಮ್ಮ ದುರ್ಬಲತೆಯನ್ನು ಕಡಿಮೆ ಮಾಡುತ್ತದೆ
BGP ಅನ್ನು ಕಾನ್ಫಿಗರ್ ಮಾಡಲಾಗುತ್ತಿದೆ
ಇಲ್ಲಿ ಎರಡು ವಿಷಯಗಳಿವೆ.
- ಸಂಪರ್ಕ
- BGP ಅನ್ನು ಕಾನ್ಫಿಗರ್ ಮಾಡಲಾಗುತ್ತಿದೆ
ನಾವು ಈಗಾಗಲೇ ಸಂಪರ್ಕದ ಬಗ್ಗೆ ಸ್ವಲ್ಪ ಮಾತನಾಡಿದ್ದೇವೆ . ನಿಮ್ಮ ಗ್ರಾಹಕರಿಗೆ ದಟ್ಟಣೆಯು ಸೂಕ್ತ ಮಾರ್ಗವನ್ನು ಅನುಸರಿಸುತ್ತದೆ ಎಂದು ಖಚಿತಪಡಿಸಿಕೊಳ್ಳುವುದು ಮುಖ್ಯ ವಿಷಯವಾಗಿದೆ. ಆಪ್ಟಿಮಾಲಿಟಿ ಯಾವಾಗಲೂ ಸುಪ್ತತೆಯ ಬಗ್ಗೆ ಅಲ್ಲವಾದರೂ, ಕಡಿಮೆ ಸುಪ್ತತೆಯು ಸಾಮಾನ್ಯವಾಗಿ ಆಪ್ಟಿಮಲಿಟಿಯ ಮುಖ್ಯ ಸೂಚಕವಾಗಿದೆ. ಕೆಲವು ಕಂಪನಿಗಳಿಗೆ ಇದು ಹೆಚ್ಚು ಮುಖ್ಯವಾಗಿದೆ, ಇತರರಿಗೆ ಇದು ಕಡಿಮೆಯಾಗಿದೆ. ಇದು ಎಲ್ಲಾ ನೀವು ಒದಗಿಸುವ ಸೇವೆಯನ್ನು ಅವಲಂಬಿಸಿರುತ್ತದೆ.
ಉದಾಹರಣೆಗೆ 1
ನೀವು ವಿನಿಮಯಕಾರರಾಗಿದ್ದರೆ ಮತ್ತು ಮಿಲಿಸೆಕೆಂಡ್ಗಳಿಗಿಂತ ಕಡಿಮೆ ಸಮಯದ ಮಧ್ಯಂತರಗಳು ನಿಮ್ಮ ಗ್ರಾಹಕರಿಗೆ ಮುಖ್ಯವಾಗಿದ್ದರೆ, ಸಹಜವಾಗಿ, ಯಾವುದೇ ರೀತಿಯ ಇಂಟರ್ನೆಟ್ನ ಬಗ್ಗೆ ಮಾತನಾಡಲು ಸಾಧ್ಯವಿಲ್ಲ.
ಉದಾಹರಣೆಗೆ 2
ನೀವು ಗೇಮಿಂಗ್ ಕಂಪನಿಯಾಗಿದ್ದರೆ ಮತ್ತು ಹತ್ತಾರು ಮಿಲಿಸೆಕೆಂಡ್ಗಳು ನಿಮಗೆ ಮುಖ್ಯವಾಗಿದ್ದರೆ, ಸಹಜವಾಗಿ, ಸಂಪರ್ಕವು ನಿಮಗೆ ತುಂಬಾ ಮುಖ್ಯವಾಗಿದೆ.
ಉದಾಹರಣೆಗೆ 3
TCP ಪ್ರೋಟೋಕಾಲ್ನ ಗುಣಲಕ್ಷಣಗಳಿಂದಾಗಿ, ಒಂದು TCP ಸೆಷನ್ನೊಳಗೆ ಡೇಟಾ ವರ್ಗಾವಣೆ ದರವು RTT (ರೌಂಡ್ ಟ್ರಿಪ್ ಸಮಯ) ಮೇಲೆ ಅವಲಂಬಿತವಾಗಿರುತ್ತದೆ ಎಂಬುದನ್ನು ಸಹ ನೀವು ಅರ್ಥಮಾಡಿಕೊಳ್ಳಬೇಕು. ವಿಷಯ ವಿತರಣಾ ಸರ್ವರ್ಗಳನ್ನು ಈ ವಿಷಯದ ಗ್ರಾಹಕರ ಹತ್ತಿರಕ್ಕೆ ಸರಿಸುವ ಮೂಲಕ ಈ ಸಮಸ್ಯೆಯನ್ನು ಪರಿಹರಿಸಲು CDN ನೆಟ್ವರ್ಕ್ಗಳನ್ನು ಸಹ ನಿರ್ಮಿಸಲಾಗುತ್ತಿದೆ.
ಸಂಪರ್ಕದ ಅಧ್ಯಯನವು ತನ್ನದೇ ಆದ ರೀತಿಯಲ್ಲಿ ಆಸಕ್ತಿದಾಯಕ ವಿಷಯವಾಗಿದೆ, ತನ್ನದೇ ಆದ ಲೇಖನ ಅಥವಾ ಲೇಖನಗಳ ಸರಣಿಗೆ ಯೋಗ್ಯವಾಗಿದೆ ಮತ್ತು ಇಂಟರ್ನೆಟ್ "ಕೆಲಸ ಮಾಡುತ್ತದೆ" ಎಂಬುದರ ಬಗ್ಗೆ ಉತ್ತಮ ತಿಳುವಳಿಕೆ ಅಗತ್ಯವಿರುತ್ತದೆ.
ಉಪಯುಕ್ತ ಸಂಪನ್ಮೂಲಗಳು:
ಉದಾಹರಣೆಗೆ
ನಾನು ಕೇವಲ ಒಂದು ಸಣ್ಣ ಉದಾಹರಣೆಯನ್ನು ನೀಡುತ್ತೇನೆ.
ನಿಮ್ಮ ಡೇಟಾ ಸೆಂಟರ್ ಮಾಸ್ಕೋದಲ್ಲಿದೆ ಎಂದು ಭಾವಿಸೋಣ ಮತ್ತು ನೀವು ಒಂದೇ ಅಪ್ಲಿಂಕ್ ಅನ್ನು ಹೊಂದಿದ್ದೀರಿ - ರೋಸ್ಟೆಲೆಕಾಮ್ (AS12389). ಈ ಸಂದರ್ಭದಲ್ಲಿ (ಏಕ ಮನೆಯಲ್ಲಿ) ನಿಮಗೆ BGP ಅಗತ್ಯವಿಲ್ಲ, ಮತ್ತು ನೀವು ಹೆಚ್ಚಾಗಿ Rostelecom ನಿಂದ ವಿಳಾಸ ಪೂಲ್ ಅನ್ನು ಸಾರ್ವಜನಿಕ ವಿಳಾಸಗಳಾಗಿ ಬಳಸುತ್ತೀರಿ.
ನೀವು ನಿರ್ದಿಷ್ಟ ಸೇವೆಯನ್ನು ಒದಗಿಸುತ್ತೀರಿ ಎಂದು ಭಾವಿಸೋಣ ಮತ್ತು ನೀವು ಉಕ್ರೇನ್ನಿಂದ ಸಾಕಷ್ಟು ಸಂಖ್ಯೆಯ ಗ್ರಾಹಕರನ್ನು ಹೊಂದಿದ್ದೀರಿ ಮತ್ತು ಅವರು ದೀರ್ಘ ವಿಳಂಬದ ಬಗ್ಗೆ ದೂರು ನೀಡುತ್ತಾರೆ. ನಿಮ್ಮ ಸಂಶೋಧನೆಯ ಸಮಯದಲ್ಲಿ, ಅವುಗಳಲ್ಲಿ ಕೆಲವು IP ವಿಳಾಸಗಳು 37.52.0.0/21 ಗ್ರಿಡ್ನಲ್ಲಿವೆ ಎಂದು ನೀವು ಕಂಡುಕೊಂಡಿದ್ದೀರಿ.
ಟ್ರೇಸರೌಟ್ ಅನ್ನು ಚಲಾಯಿಸುವ ಮೂಲಕ, ಟ್ರಾಫಿಕ್ AS1299 (ಟೆಲಿಯಾ) ಮೂಲಕ ಹೋಗುತ್ತಿರುವುದನ್ನು ನೀವು ನೋಡಿದ್ದೀರಿ ಮತ್ತು ಪಿಂಗ್ ಅನ್ನು ಚಲಾಯಿಸುವ ಮೂಲಕ, ನೀವು ಸರಾಸರಿ 70 - 80 ಮಿಲಿಸೆಕೆಂಡ್ಗಳ RTT ಅನ್ನು ಪಡೆದುಕೊಂಡಿದ್ದೀರಿ. ನೀವು ಇದನ್ನು ಸಹ ನೋಡಬಹುದು .
whois ಯುಟಿಲಿಟಿ (ripe.net ಅಥವಾ ಸ್ಥಳೀಯ ಉಪಯುಕ್ತತೆಯಲ್ಲಿ) ಬಳಸಿ, 37.52.0.0/21 ಬ್ಲಾಕ್ AS6849 (Ukrtelecom) ಗೆ ಸೇರಿದೆ ಎಂದು ನೀವು ಸುಲಭವಾಗಿ ನಿರ್ಧರಿಸಬಹುದು.
ಮುಂದೆ, ಹೋಗುವ ಮೂಲಕ AS6849 AS12389 ನೊಂದಿಗೆ ಯಾವುದೇ ಸಂಬಂಧವನ್ನು ಹೊಂದಿಲ್ಲ ಎಂದು ನೀವು ನೋಡುತ್ತೀರಿ (ಅವರು ಕ್ಲೈಂಟ್ಗಳು ಅಥವಾ ಪರಸ್ಪರ ಅಪ್ಲಿಂಕ್ಗಳಲ್ಲ, ಅಥವಾ ಅವರು ಪೀರಿಂಗ್ ಹೊಂದಿಲ್ಲ). ಆದರೆ ನೀವು ನೋಡಿದರೆ AS6849 ಗಾಗಿ, ನೀವು ನೋಡುತ್ತೀರಿ, ಉದಾಹರಣೆಗೆ, AS29226 (Mastertel) ಮತ್ತು AS31133 (Megafon).
ಒಮ್ಮೆ ನೀವು ಈ ಪೂರೈಕೆದಾರರ ಕಾಣುವ ಗಾಜಿನನ್ನು ಕಂಡುಕೊಂಡರೆ, ನೀವು ಮಾರ್ಗ ಮತ್ತು RTT ಅನ್ನು ಹೋಲಿಸಬಹುದು. ಉದಾಹರಣೆಗೆ, Mastertel RTT ಗಾಗಿ ಸುಮಾರು 30 ಮಿಲಿಸೆಕೆಂಡುಗಳಾಗಿರುತ್ತದೆ.
ಆದ್ದರಿಂದ, ನಿಮ್ಮ ಸೇವೆಗೆ 80 ಮತ್ತು 30 ಮಿಲಿಸೆಕೆಂಡ್ಗಳ ನಡುವಿನ ವ್ಯತ್ಯಾಸವು ಗಮನಾರ್ಹವಾಗಿದ್ದರೆ, ಬಹುಶಃ ನೀವು ಸಂಪರ್ಕದ ಬಗ್ಗೆ ಯೋಚಿಸಬೇಕು, ನಿಮ್ಮ AS ಸಂಖ್ಯೆ, ನಿಮ್ಮ ವಿಳಾಸ ಪೂಲ್ ಅನ್ನು RIPE ನಿಂದ ಪಡೆದುಕೊಳ್ಳಿ ಮತ್ತು ಹೆಚ್ಚುವರಿ ಅಪ್ಲಿಂಕ್ಗಳನ್ನು ಸಂಪರ್ಕಿಸಿ ಮತ್ತು/ಅಥವಾ IX ಗಳಲ್ಲಿ ಉಪಸ್ಥಿತಿಯ ಬಿಂದುಗಳನ್ನು ರಚಿಸಿ.
ನೀವು BGP ಅನ್ನು ಬಳಸುವಾಗ, ಸಂಪರ್ಕವನ್ನು ಸುಧಾರಿಸಲು ನಿಮಗೆ ಅವಕಾಶವಿದೆ, ಆದರೆ ನಿಮ್ಮ ಇಂಟರ್ನೆಟ್ ಸಂಪರ್ಕವನ್ನು ನೀವು ಅನಗತ್ಯವಾಗಿ ನಿರ್ವಹಿಸುತ್ತೀರಿ.
BGP ಅನ್ನು ಕಾನ್ಫಿಗರ್ ಮಾಡಲು ಶಿಫಾರಸುಗಳನ್ನು ಒಳಗೊಂಡಿದೆ. ಪೂರೈಕೆದಾರರ "ಅತ್ಯುತ್ತಮ ಅಭ್ಯಾಸ" ದ ಆಧಾರದ ಮೇಲೆ ಈ ಶಿಫಾರಸುಗಳನ್ನು ಅಭಿವೃದ್ಧಿಪಡಿಸಲಾಗಿದೆ ಎಂಬ ವಾಸ್ತವದ ಹೊರತಾಗಿಯೂ, ಆದಾಗ್ಯೂ (ನಿಮ್ಮ BGP ಸೆಟ್ಟಿಂಗ್ಗಳು ಸಾಕಷ್ಟು ಮೂಲಭೂತವಾಗಿಲ್ಲದಿದ್ದರೆ) ಅವು ನಿಸ್ಸಂದೇಹವಾಗಿ ಉಪಯುಕ್ತವಾಗಿವೆ ಮತ್ತು ವಾಸ್ತವವಾಗಿ ನಾವು ಚರ್ಚಿಸಿದ ಗಟ್ಟಿಯಾಗುವಿಕೆಯ ಭಾಗವಾಗಿರಬೇಕು. .
DOS/DDOS ರಕ್ಷಣೆ
ಈಗ DOS/DDOS ದಾಳಿಗಳು ಅನೇಕ ಕಂಪನಿಗಳಿಗೆ ದೈನಂದಿನ ವಾಸ್ತವವಾಗಿದೆ. ವಾಸ್ತವವಾಗಿ, ನೀವು ಒಂದು ರೂಪದಲ್ಲಿ ಅಥವಾ ಇನ್ನೊಂದರಲ್ಲಿ ಆಗಾಗ್ಗೆ ದಾಳಿ ಮಾಡುತ್ತೀರಿ. ನೀವು ಇದನ್ನು ಇನ್ನೂ ಗಮನಿಸಿಲ್ಲ ಎಂದರೆ ನಿಮ್ಮ ವಿರುದ್ಧ ಉದ್ದೇಶಿತ ದಾಳಿಯನ್ನು ಇನ್ನೂ ಆಯೋಜಿಸಲಾಗಿಲ್ಲ ಮತ್ತು ನೀವು ಬಳಸುವ ರಕ್ಷಣಾ ಕ್ರಮಗಳು, ಬಹುಶಃ ಅದನ್ನು ತಿಳಿಯದೆಯೇ (ಆಪರೇಟಿಂಗ್ ಸಿಸ್ಟಮ್ಗಳ ವಿವಿಧ ಅಂತರ್ನಿರ್ಮಿತ ರಕ್ಷಣೆಗಳು) ಸಾಕಾಗುತ್ತದೆ. ನೀವು ಮತ್ತು ನಿಮ್ಮ ಗ್ರಾಹಕರಿಗೆ ಒದಗಿಸಿದ ಸೇವೆಯ ಅವನತಿಯನ್ನು ಕಡಿಮೆ ಮಾಡಲಾಗಿದೆ ಎಂದು ಖಚಿತಪಡಿಸಿಕೊಳ್ಳಿ.
ಸಾಧನ ಲಾಗ್ಗಳ ಆಧಾರದ ಮೇಲೆ ನೈಜ ಸಮಯದಲ್ಲಿ ಸುಂದರವಾದ ದಾಳಿಯ ನಕ್ಷೆಗಳನ್ನು ಸೆಳೆಯುವ ಇಂಟರ್ನೆಟ್ ಸಂಪನ್ಮೂಲಗಳಿವೆ.
ನೀವು ಅವರಿಗೆ ಲಿಂಕ್ಗಳನ್ನು ಕಾಣಬಹುದು.
ನನ್ನ ನೆಚ್ಚಿನ ಚೆಕ್ಪಾಯಿಂಟ್ನಿಂದ.
DDOS/DOS ವಿರುದ್ಧ ರಕ್ಷಣೆ ಸಾಮಾನ್ಯವಾಗಿ ಲೇಯರ್ಡ್ ಆಗಿರುತ್ತದೆ. ಏಕೆ ಎಂಬುದನ್ನು ಅರ್ಥಮಾಡಿಕೊಳ್ಳಲು, ಯಾವ ರೀತಿಯ DOS/DDOS ದಾಳಿಗಳು ಅಸ್ತಿತ್ವದಲ್ಲಿವೆ ಎಂಬುದನ್ನು ನೀವು ಅರ್ಥಮಾಡಿಕೊಳ್ಳಬೇಕು (ಉದಾಹರಣೆಗೆ, ನೋಡಿ, ಅಥವಾ )
ಅಂದರೆ, ನಾವು ಮೂರು ರೀತಿಯ ದಾಳಿಗಳನ್ನು ಹೊಂದಿದ್ದೇವೆ:
- ವಾಲ್ಯೂಮೆಟ್ರಿಕ್ ದಾಳಿಗಳು
- ಪ್ರೋಟೋಕಾಲ್ ದಾಳಿಗಳು
- ಅಪ್ಲಿಕೇಶನ್ ದಾಳಿಗಳು
ಉದಾಹರಣೆಗೆ, ಫೈರ್ವಾಲ್ಗಳನ್ನು ಬಳಸಿಕೊಂಡು ನೀವು ಕೊನೆಯ ಎರಡು ರೀತಿಯ ದಾಳಿಗಳಿಂದ ನಿಮ್ಮನ್ನು ರಕ್ಷಿಸಿಕೊಳ್ಳಲು ಸಾಧ್ಯವಾದರೆ, ನಿಮ್ಮ ಅಪ್ಲಿಂಕ್ಗಳನ್ನು "ಅಗಾಧ" ಮಾಡುವ ಗುರಿಯನ್ನು ಹೊಂದಿರುವ ದಾಳಿಯಿಂದ ನಿಮ್ಮನ್ನು ನೀವು ರಕ್ಷಿಸಿಕೊಳ್ಳಲು ಸಾಧ್ಯವಿಲ್ಲ (ಸಹಜವಾಗಿ, ಇಂಟರ್ನೆಟ್ ಚಾನಲ್ಗಳ ನಿಮ್ಮ ಒಟ್ಟು ಸಾಮರ್ಥ್ಯವನ್ನು ಟೆರಾಬಿಟ್ಗಳಲ್ಲಿ ಲೆಕ್ಕಹಾಕದಿದ್ದರೆ, ಅಥವಾ ಇನ್ನೂ ಉತ್ತಮ, ಹತ್ತಾರು ಟೆರಾಬಿಟ್ಗಳಲ್ಲಿ).
ಆದ್ದರಿಂದ, ರಕ್ಷಣೆಯ ಮೊದಲ ಸಾಲು "ವಾಲ್ಯೂಮೆಟ್ರಿಕ್" ದಾಳಿಯ ವಿರುದ್ಧ ರಕ್ಷಣೆಯಾಗಿದೆ ಮತ್ತು ನಿಮ್ಮ ಪೂರೈಕೆದಾರರು ಅಥವಾ ಪೂರೈಕೆದಾರರು ನಿಮಗೆ ಈ ರಕ್ಷಣೆಯನ್ನು ಒದಗಿಸಬೇಕು. ನೀವು ಇದನ್ನು ಇನ್ನೂ ಅರಿತುಕೊಳ್ಳದಿದ್ದರೆ, ಇದೀಗ ನೀವು ಅದೃಷ್ಟವಂತರು.
ಉದಾಹರಣೆಗೆ
ನೀವು ಹಲವಾರು ಅಪ್ಲಿಂಕ್ಗಳನ್ನು ಹೊಂದಿದ್ದೀರಿ ಎಂದು ಹೇಳೋಣ, ಆದರೆ ಪೂರೈಕೆದಾರರಲ್ಲಿ ಒಬ್ಬರು ಮಾತ್ರ ನಿಮಗೆ ಈ ರಕ್ಷಣೆಯನ್ನು ಒದಗಿಸಬಹುದು. ಆದರೆ ಎಲ್ಲಾ ದಟ್ಟಣೆಯು ಒಬ್ಬ ಪೂರೈಕೆದಾರರ ಮೂಲಕ ಹೋದರೆ, ಸ್ವಲ್ಪ ಹಿಂದೆ ನಾವು ಸಂಕ್ಷಿಪ್ತವಾಗಿ ಚರ್ಚಿಸಿದ ಸಂಪರ್ಕದ ಬಗ್ಗೆ ಏನು?
ಈ ಸಂದರ್ಭದಲ್ಲಿ, ದಾಳಿಯ ಸಮಯದಲ್ಲಿ ನೀವು ಸಂಪರ್ಕವನ್ನು ಭಾಗಶಃ ತ್ಯಾಗ ಮಾಡಬೇಕಾಗುತ್ತದೆ. ಆದರೆ
- ಇದು ದಾಳಿಯ ಅವಧಿಗೆ ಮಾತ್ರ. ದಾಳಿಯ ಸಂದರ್ಭದಲ್ಲಿ, ನೀವು BGP ಅನ್ನು ಹಸ್ತಚಾಲಿತವಾಗಿ ಅಥವಾ ಸ್ವಯಂಚಾಲಿತವಾಗಿ ಮರುಸಂರಚಿಸಬಹುದು ಇದರಿಂದ ನಿಮಗೆ "ಛತ್ರಿ" ಒದಗಿಸುವ ಪೂರೈಕೆದಾರರ ಮೂಲಕ ಮಾತ್ರ ಸಂಚಾರ ಹೋಗುತ್ತದೆ. ದಾಳಿಯು ಮುಗಿದ ನಂತರ, ನೀವು ರೂಟಿಂಗ್ ಅನ್ನು ಅದರ ಹಿಂದಿನ ಸ್ಥಿತಿಗೆ ಹಿಂತಿರುಗಿಸಬಹುದು
- ಎಲ್ಲಾ ಟ್ರಾಫಿಕ್ ಅನ್ನು ವರ್ಗಾಯಿಸುವುದು ಅನಿವಾರ್ಯವಲ್ಲ. ಉದಾಹರಣೆಗೆ, ಕೆಲವು ಅಪ್ಲಿಂಕ್ಗಳು ಅಥವಾ ಪೀರಿಂಗ್ಗಳ ಮೂಲಕ ಯಾವುದೇ ದಾಳಿಗಳಿಲ್ಲ ಎಂದು ನೀವು ನೋಡಿದರೆ (ಅಥವಾ ಟ್ರಾಫಿಕ್ ಗಮನಾರ್ಹವಾಗಿಲ್ಲ), ನೀವು ಈ BGP ನೆರೆಹೊರೆಯವರ ಕಡೆಗೆ ಸ್ಪರ್ಧಾತ್ಮಕ ಗುಣಲಕ್ಷಣಗಳೊಂದಿಗೆ ಪೂರ್ವಪ್ರತ್ಯಯಗಳನ್ನು ಜಾಹೀರಾತು ಮಾಡುವುದನ್ನು ಮುಂದುವರಿಸಬಹುದು.
ನಿಮ್ಮ ಪಾಲುದಾರರಿಗೆ "ಪ್ರೋಟೋಕಾಲ್ ದಾಳಿಗಳು" ಮತ್ತು "ಅಪ್ಲಿಕೇಶನ್ ದಾಳಿಗಳಿಂದ" ರಕ್ಷಣೆಯನ್ನು ಸಹ ನೀವು ನಿಯೋಜಿಸಬಹುದು.
ಇಲ್ಲಿ ನೀವು ಉತ್ತಮ ಅಧ್ಯಯನವನ್ನು ಓದಬಹುದು () ನಿಜ, ಲೇಖನವು ಎರಡು ವರ್ಷಗಳಷ್ಟು ಹಳೆಯದಾಗಿದೆ, ಆದರೆ ಇದು DDOS ದಾಳಿಯಿಂದ ನಿಮ್ಮನ್ನು ಹೇಗೆ ರಕ್ಷಿಸಿಕೊಳ್ಳಬಹುದು ಎಂಬ ವಿಧಾನಗಳ ಕಲ್ಪನೆಯನ್ನು ನೀಡುತ್ತದೆ.
ತಾತ್ವಿಕವಾಗಿ, ನಿಮ್ಮ ರಕ್ಷಣೆಯನ್ನು ಸಂಪೂರ್ಣವಾಗಿ ಹೊರಗುತ್ತಿಗೆ ಮಾಡುವ ಮೂಲಕ ನೀವು ಇದಕ್ಕೆ ನಿಮ್ಮನ್ನು ಮಿತಿಗೊಳಿಸಬಹುದು. ಈ ನಿರ್ಧಾರಕ್ಕೆ ಅನುಕೂಲಗಳಿವೆ, ಆದರೆ ಸ್ಪಷ್ಟ ಅನನುಕೂಲತೆಯೂ ಇದೆ. ಸತ್ಯವೆಂದರೆ ನಾವು ವ್ಯವಹಾರದ ಉಳಿವಿನ ಬಗ್ಗೆ (ಮತ್ತೆ, ನಿಮ್ಮ ಕಂಪನಿ ಏನು ಮಾಡುತ್ತದೆ ಎಂಬುದರ ಆಧಾರದ ಮೇಲೆ) ಮಾತನಾಡಬಹುದು. ಮತ್ತು ಅಂತಹ ವಿಷಯಗಳನ್ನು ಮೂರನೇ ವ್ಯಕ್ತಿಗಳಿಗೆ ನಂಬಿ...
ಆದ್ದರಿಂದ, ರಕ್ಷಣೆಯ ಎರಡನೇ ಮತ್ತು ಮೂರನೇ ಸಾಲುಗಳನ್ನು ಹೇಗೆ ಸಂಘಟಿಸುವುದು ಎಂದು ನೋಡೋಣ (ಒದಗಿಸುವವರಿಂದ ರಕ್ಷಣೆಗೆ ಹೆಚ್ಚುವರಿಯಾಗಿ).
ಆದ್ದರಿಂದ, ರಕ್ಷಣೆಯ ಎರಡನೇ ಸಾಲಿನ ಫಿಲ್ಟರಿಂಗ್ ಮತ್ತು ನಿಮ್ಮ ನೆಟ್ವರ್ಕ್ಗೆ ಪ್ರವೇಶದ್ವಾರದಲ್ಲಿ ಟ್ರಾಫಿಕ್ ಲಿಮಿಟರ್ಗಳು (ಪೊಲೀಸರ್ಗಳು).
ಉದಾಹರಣೆಗೆ 1
ಪೂರೈಕೆದಾರರೊಬ್ಬರ ಸಹಾಯದಿಂದ ನೀವು DDOS ವಿರುದ್ಧ ಛತ್ರಿಯಿಂದ ನಿಮ್ಮನ್ನು ಆವರಿಸಿಕೊಂಡಿದ್ದೀರಿ ಎಂದು ಭಾವಿಸೋಣ. ಈ ಪೂರೈಕೆದಾರರು ಅದರ ನೆಟ್ವರ್ಕ್ನ ಅಂಚಿನಲ್ಲಿರುವ ಟ್ರಾಫಿಕ್ ಮತ್ತು ಫಿಲ್ಟರ್ಗಳನ್ನು ಫಿಲ್ಟರ್ ಮಾಡಲು ಆರ್ಬರ್ ಅನ್ನು ಬಳಸುತ್ತಾರೆ ಎಂದು ಭಾವಿಸೋಣ.
ಆರ್ಬರ್ "ಪ್ರಕ್ರಿಯೆ" ಮಾಡಬಹುದಾದ ಬ್ಯಾಂಡ್ವಿಡ್ತ್ ಸೀಮಿತವಾಗಿದೆ ಮತ್ತು ಒದಗಿಸುವವರು, ಫಿಲ್ಟರಿಂಗ್ ಉಪಕರಣಗಳ ಮೂಲಕ ಈ ಸೇವೆಯನ್ನು ಆದೇಶಿಸುವ ಎಲ್ಲಾ ಪಾಲುದಾರರ ದಟ್ಟಣೆಯನ್ನು ನಿರಂತರವಾಗಿ ರವಾನಿಸಲು ಸಾಧ್ಯವಿಲ್ಲ. ಆದ್ದರಿಂದ, ಸಾಮಾನ್ಯ ಪರಿಸ್ಥಿತಿಗಳಲ್ಲಿ, ಸಂಚಾರವನ್ನು ಫಿಲ್ಟರ್ ಮಾಡಲಾಗುವುದಿಲ್ಲ.
SYN ಪ್ರವಾಹದ ದಾಳಿ ಇದೆ ಎಂದು ಭಾವಿಸೋಣ. ದಾಳಿಯ ಸಂದರ್ಭದಲ್ಲಿ ಸ್ವಯಂಚಾಲಿತವಾಗಿ ಟ್ರಾಫಿಕ್ ಅನ್ನು ಫಿಲ್ಟರಿಂಗ್ಗೆ ಬದಲಾಯಿಸುವ ಸೇವೆಯನ್ನು ನೀವು ಆದೇಶಿಸಿದ್ದರೂ ಸಹ, ಇದು ತಕ್ಷಣವೇ ಸಂಭವಿಸುವುದಿಲ್ಲ. ಒಂದು ನಿಮಿಷ ಅಥವಾ ಅದಕ್ಕಿಂತ ಹೆಚ್ಚು ಕಾಲ ನೀವು ಆಕ್ರಮಣಕ್ಕೆ ಒಳಗಾಗುತ್ತೀರಿ. ಮತ್ತು ಇದು ನಿಮ್ಮ ಉಪಕರಣದ ವೈಫಲ್ಯ ಅಥವಾ ಸೇವೆಯ ಅವನತಿಗೆ ಕಾರಣವಾಗಬಹುದು. ಈ ಸಂದರ್ಭದಲ್ಲಿ, ಎಡ್ಜ್ ರೂಟಿಂಗ್ನಲ್ಲಿ ದಟ್ಟಣೆಯನ್ನು ಸೀಮಿತಗೊಳಿಸುವುದು, ಈ ಸಮಯದಲ್ಲಿ ಕೆಲವು TCP ಸೆಷನ್ಗಳನ್ನು ಸ್ಥಾಪಿಸಲಾಗುವುದಿಲ್ಲ ಎಂಬ ಅಂಶಕ್ಕೆ ಇದು ಕಾರಣವಾಗುತ್ತದೆ, ದೊಡ್ಡ ಪ್ರಮಾಣದ ಸಮಸ್ಯೆಗಳಿಂದ ನಿಮ್ಮ ಮೂಲಸೌಕರ್ಯವನ್ನು ಉಳಿಸುತ್ತದೆ.
ಉದಾಹರಣೆಗೆ 2
ಅಸಹಜವಾಗಿ ಹೆಚ್ಚಿನ ಸಂಖ್ಯೆಯ SYN ಪ್ಯಾಕೆಟ್ಗಳು SYN ಪ್ರವಾಹದ ದಾಳಿಯ ಪರಿಣಾಮವಾಗಿರಬಹುದು. ನೀವು ಏಕಕಾಲದಲ್ಲಿ ಸುಮಾರು 100 ಸಾವಿರ TCP ಸಂಪರ್ಕಗಳನ್ನು (ಒಂದು ಡೇಟಾ ಕೇಂದ್ರಕ್ಕೆ) ಹೊಂದಿರುವ ಸೇವೆಯನ್ನು ಒದಗಿಸುತ್ತೀರಿ ಎಂದು ಭಾವಿಸೋಣ.
ನಿಮ್ಮ ಮುಖ್ಯ ಪೂರೈಕೆದಾರರಲ್ಲಿ ಒಬ್ಬರೊಂದಿಗಿನ ಅಲ್ಪಾವಧಿಯ ಸಮಸ್ಯೆಯ ಪರಿಣಾಮವಾಗಿ, ನಿಮ್ಮ ಅರ್ಧದಷ್ಟು ಸೆಷನ್ಗಳನ್ನು ಕಿಕ್ ಮಾಡಲಾಗಿದೆ ಎಂದು ಹೇಳೋಣ. ನಿಮ್ಮ ಅಪ್ಲಿಕೇಶನ್ ಅನ್ನು ಎರಡು ಬಾರಿ ಯೋಚಿಸದೆ ವಿನ್ಯಾಸಗೊಳಿಸಿದರೆ, ಅದು ತಕ್ಷಣವೇ (ಅಥವಾ ಎಲ್ಲಾ ಸೆಷನ್ಗಳಿಗೆ ಒಂದೇ ಆಗಿರುವ ಸ್ವಲ್ಪ ಸಮಯದ ನಂತರ) ಸಂಪರ್ಕವನ್ನು ಮರುಸ್ಥಾಪಿಸಲು ಪ್ರಯತ್ನಿಸಿದರೆ, ನೀವು ಕನಿಷ್ಟ 50 ಸಾವಿರ SYN ಪ್ಯಾಕೆಟ್ಗಳನ್ನು ಸ್ವೀಕರಿಸುತ್ತೀರಿ ಏಕಕಾಲದಲ್ಲಿ.
ಉದಾಹರಣೆಗೆ, ಪ್ರಮಾಣಪತ್ರಗಳನ್ನು ವಿನಿಮಯ ಮಾಡಿಕೊಳ್ಳುವುದನ್ನು ಒಳಗೊಂಡಿರುವ ಈ ಸೆಷನ್ಗಳ ಮೇಲೆ ನೀವು ssl/tls ಹ್ಯಾಂಡ್ಶೇಕ್ ಅನ್ನು ರನ್ ಮಾಡಬೇಕಾದರೆ, ನಿಮ್ಮ ಲೋಡ್ ಬ್ಯಾಲೆನ್ಸರ್ಗಾಗಿ ಸಂಪನ್ಮೂಲಗಳನ್ನು ಖಾಲಿ ಮಾಡುವ ದೃಷ್ಟಿಕೋನದಿಂದ, ಇದು ಸರಳಕ್ಕಿಂತ ಹೆಚ್ಚು ಪ್ರಬಲವಾದ “DDOS” ಆಗಿರುತ್ತದೆ. SYN ಪ್ರವಾಹ. ಅಂತಹ ಘಟನೆಗಳನ್ನು ಬ್ಯಾಲೆನ್ಸರ್ಗಳು ನಿರ್ವಹಿಸಬೇಕು ಎಂದು ತೋರುತ್ತದೆ, ಆದರೆ ... ದುರದೃಷ್ಟವಶಾತ್, ನಾವು ಅಂತಹ ಸಮಸ್ಯೆಯನ್ನು ಎದುರಿಸುತ್ತಿದ್ದೇವೆ.
ಮತ್ತು, ಸಹಜವಾಗಿ, ಎಡ್ಜ್ ರೂಟರ್ನಲ್ಲಿರುವ ಪೋಲಿಸರ್ ಈ ಸಂದರ್ಭದಲ್ಲಿಯೂ ನಿಮ್ಮ ಸಾಧನವನ್ನು ಉಳಿಸುತ್ತದೆ.
DDOS/DOS ವಿರುದ್ಧ ರಕ್ಷಣೆಯ ಮೂರನೇ ಹಂತವೆಂದರೆ ನಿಮ್ಮ ಫೈರ್ವಾಲ್ ಸೆಟ್ಟಿಂಗ್ಗಳು.
ಇಲ್ಲಿ ನೀವು ಎರಡನೇ ಮತ್ತು ಮೂರನೇ ವಿಧದ ಎರಡೂ ದಾಳಿಗಳನ್ನು ನಿಲ್ಲಿಸಬಹುದು. ಸಾಮಾನ್ಯವಾಗಿ, ಫೈರ್ವಾಲ್ ಅನ್ನು ತಲುಪುವ ಎಲ್ಲವನ್ನೂ ಇಲ್ಲಿ ಫಿಲ್ಟರ್ ಮಾಡಬಹುದು.
ಸಲಹೆ
ಫೈರ್ವಾಲ್ಗೆ ಸಾಧ್ಯವಾದಷ್ಟು ಕಡಿಮೆ ಕೆಲಸವನ್ನು ನೀಡಲು ಪ್ರಯತ್ನಿಸಿ, ರಕ್ಷಣೆಯ ಮೊದಲ ಎರಡು ಸಾಲುಗಳಲ್ಲಿ ಸಾಧ್ಯವಾದಷ್ಟು ಫಿಲ್ಟರ್ ಮಾಡಿ. ಮತ್ತು ಅದಕ್ಕಾಗಿಯೇ.
ನಿಮ್ಮ ಸರ್ವರ್ಗಳ ಆಪರೇಟಿಂಗ್ ಸಿಸ್ಟಂ DDOS ದಾಳಿಗೆ ಎಷ್ಟು ನಿರೋಧಕವಾಗಿದೆ ಎಂಬುದನ್ನು ಪರಿಶೀಲಿಸಲು ದಟ್ಟಣೆಯನ್ನು ಉತ್ಪಾದಿಸುವಾಗ ಆಕಸ್ಮಿಕವಾಗಿ ನಿಮಗೆ ಸಂಭವಿಸಿದೆಯೇ, ನಿಮ್ಮ ಫೈರ್ವಾಲ್ ಅನ್ನು ನೀವು "ಕೊಲ್ಲಿದ್ದೀರಿ", ಅದನ್ನು 100 ಪ್ರತಿಶತದಷ್ಟು ಲೋಡ್ ಮಾಡಿ, ಸಾಮಾನ್ಯ ತೀವ್ರತೆಯಲ್ಲಿ ದಟ್ಟಣೆಯೊಂದಿಗೆ ? ಇಲ್ಲದಿದ್ದರೆ, ಬಹುಶಃ ನೀವು ಪ್ರಯತ್ನಿಸದ ಕಾರಣವೇ?
ಸಾಮಾನ್ಯವಾಗಿ, ಫೈರ್ವಾಲ್, ನಾನು ಹೇಳಿದಂತೆ, ಒಂದು ಸಂಕೀರ್ಣ ವಿಷಯವಾಗಿದೆ, ಮತ್ತು ಇದು ತಿಳಿದಿರುವ ದುರ್ಬಲತೆಗಳು ಮತ್ತು ಪರೀಕ್ಷಿತ ಪರಿಹಾರಗಳೊಂದಿಗೆ ಉತ್ತಮವಾಗಿ ಕಾರ್ಯನಿರ್ವಹಿಸುತ್ತದೆ, ಆದರೆ ನೀವು ಅಸಾಮಾನ್ಯವಾದದ್ದನ್ನು ಕಳುಹಿಸಿದರೆ, ಕೆಲವು ಕಸ ಅಥವಾ ಪ್ಯಾಕೆಟ್ಗಳನ್ನು ತಪ್ಪಾದ ಹೆಡರ್ಗಳೊಂದಿಗೆ ಕಳುಹಿಸಿದರೆ, ನೀವು ಕೆಲವು ಜೊತೆಯಲ್ಲಿದ್ದೀರಿ. ಅಂತಹ ಸಣ್ಣ ಸಂಭವನೀಯತೆ (ನನ್ನ ಅನುಭವದ ಆಧಾರದ ಮೇಲೆ), ನೀವು ಉನ್ನತ-ಮಟ್ಟದ ಉಪಕರಣಗಳನ್ನು ಸಹ ಮೂರ್ಖಗೊಳಿಸಬಹುದು. ಆದ್ದರಿಂದ, ಹಂತ 2 ರಲ್ಲಿ, ಸಾಮಾನ್ಯ ACL ಗಳನ್ನು ಬಳಸಿ (L3/L4 ಮಟ್ಟದಲ್ಲಿ), ಅಲ್ಲಿಗೆ ಪ್ರವೇಶಿಸಬೇಕಾದ ನಿಮ್ಮ ನೆಟ್ವರ್ಕ್ಗೆ ಟ್ರಾಫಿಕ್ ಅನ್ನು ಮಾತ್ರ ಅನುಮತಿಸಿ.
ಫೈರ್ವಾಲ್ನಲ್ಲಿ ಟ್ರಾಫಿಕ್ ಅನ್ನು ಫಿಲ್ಟರ್ ಮಾಡಲಾಗುತ್ತಿದೆ
ಫೈರ್ವಾಲ್ ಕುರಿತು ಸಂಭಾಷಣೆಯನ್ನು ಮುಂದುವರಿಸೋಣ. DOS/DDOS ದಾಳಿಗಳು ಕೇವಲ ಒಂದು ರೀತಿಯ ಸೈಬರ್ ದಾಳಿ ಎಂದು ನೀವು ಅರ್ಥಮಾಡಿಕೊಳ್ಳಬೇಕು.
DOS/DDOS ರಕ್ಷಣೆಯ ಜೊತೆಗೆ, ನಾವು ಈ ಕೆಳಗಿನ ವೈಶಿಷ್ಟ್ಯಗಳ ಪಟ್ಟಿಯನ್ನು ಸಹ ಹೊಂದಬಹುದು:
- ಅಪ್ಲಿಕೇಶನ್ ಫೈರ್ವಾಲ್ಲಿಂಗ್
- ಬೆದರಿಕೆ ತಡೆಗಟ್ಟುವಿಕೆ (ಆಂಟಿವೈರಸ್, ಆಂಟಿ-ಸ್ಪೈವೇರ್ ಮತ್ತು ದುರ್ಬಲತೆ)
- URL ಫಿಲ್ಟರಿಂಗ್
- ಡೇಟಾ ಫಿಲ್ಟರಿಂಗ್ (ವಿಷಯ ಫಿಲ್ಟರಿಂಗ್)
- ಫೈಲ್ ನಿರ್ಬಂಧಿಸುವುದು (ಫೈಲ್ ಪ್ರಕಾರಗಳನ್ನು ನಿರ್ಬಂಧಿಸುವುದು)
ಈ ಪಟ್ಟಿಯಿಂದ ನಿಮಗೆ ಬೇಕಾದುದನ್ನು ನಿರ್ಧರಿಸುವುದು ನಿಮಗೆ ಬಿಟ್ಟದ್ದು.
ಮುಂದುವರೆಯಲು
ಮೂಲ: www.habr.com