ProHoster > Blogs > Administrācija > Kā pārņemt kontroli pār savu tÄ«kla infrastruktÅ«ru. TreŔā nodaļa. TÄ«kla droŔība. Otrā daļa

Kā pārņemt kontroli pār savu tÄ«kla infrastruktÅ«ru. TreŔā nodaļa. TÄ«kla droŔība. Otrā daļa

Å is ir ceturtais raksts sērijā ā€œKā pārņemt kontroli pār savu tÄ«kla infrastruktÅ«ruā€. Visu sērijas rakstu saturu un saites var atrast Å”eit.

Š’ pirmā daļa Å ajā nodaļā mēs apskatÄ«jām dažus tÄ«kla droŔības aspektus datu centra segmentā. Å Ä« daļa bÅ«s veltÄ«ta segmentam ā€œPiekļuve internetamā€.

Kā pārņemt kontroli pār savu tÄ«kla infrastruktÅ«ru. TreŔā nodaļa. TÄ«kla droŔība. Otrā daļa

Interneta pieslēgums

DroŔības tēma neapÅ”aubāmi ir viena no sarežģītākajām tēmām datu tÄ«klu pasaulē. Tāpat kā iepriekŔējos gadÄ«jumos, nepretendējot uz dziļumu un pilnÄ«gumu, es Å”eit aplÅ«koÅ”u diezgan vienkārÅ”us, bet, manuprāt, svarÄ«gus jautājumus, uz kuriem atbildes, es ceru, palÄ«dzēs paaugstināt jÅ«su tÄ«kla droŔības lÄ«meni.

Pārbaudot Å”o segmentu, pievērsiet uzmanÄ«bu Ŕādiem aspektiem:

  • dizains
  • BGP iestatÄ«jumi
  • DOS/DDOS aizsardzÄ«ba
  • trafika filtrÄ“Å”ana uz ugunsmÅ«ra

Dizains

Kā piemēru Ŕī segmenta dizainam uzņēmumu tÄ«klam es ieteiktu vadÄ«ba no Cisco DROÅ I modeļi.

Protams, iespējams, citu pārdevēju risinājums jums ŔķitÄ«s pievilcÄ«gāks (sk. Gartner Quadrant 2018), taču nemudinot jÅ«s sekot Å”im dizainam detalizēti, man tomēr Ŕķiet noderÄ«gi izprast tā pamatā esoÅ”os principus un idejas.

Piezīme:

Programmā SAFE segments ā€œAttālā piekļuveā€ ir daļa no ā€œInterneta piekļuvesā€ segmenta. Bet Å”ajā rakstu sērijā mēs to aplÅ«kosim atseviŔķi.

Standarta aprÄ«kojuma komplekts Å”ajā segmentā uzņēmuma tÄ«klam ir

  • pierobežas marÅ”rutētāji
  • ugunsmÅ«ri

1. piezīme

Šajā rakstu sērijā, runājot par ugunsmūriem, es domāju NGFW.

2. piezīme

Es neņemu vērā dažāda veida L2/L1 vai L2 pārklājuma risinājumus, kas nepiecieÅ”ami, lai nodroÅ”inātu L3/L1 savienojamÄ«bu, un aprobežojos ar problēmām L2 lÄ«menÄ« un augstāk. Daļēji L3/L1 jautājumi tika apspriesti nodaļā ā€œTÄ«rÄ«Å”ana un dokumentācija".

Ja Å”ajā segmentā neesat atradis ugunsmÅ«ri, jums nevajadzētu steigties ar secinājumiem.

DarÄ«sim tāpat kā iekŔā iepriekŔējā daļaSāksim ar jautājumu: vai jÅ«su gadÄ«jumā Å”ajā segmentā ir nepiecieÅ”ams izmantot ugunsmÅ«ri?

Varu teikt, ka Ŕī ir vispamatotākā vieta ugunsmÅ«ru izmantoÅ”anai un sarežģītu trafika filtrÄ“Å”anas algoritmu pielietoÅ”anai. IN 1 daļas Mēs minējām 4 faktorus, kas var traucēt ugunsmÅ«ru izmantoÅ”anu datu centra segmentā. Bet Å”eit tie vairs nav tik nozÄ«mÄ«gi.

Piemērs 1. KavÄ“Å”anās

Kas attiecas uz internetu, tad nav jēgas runāt par aizkavÄ“Å”anos pat aptuveni 1 milisekundi. Tāpēc kavÄ“Å”anās Å”ajā segmentā nevar bÅ«t faktors, kas ierobežo ugunsmÅ«ra izmantoÅ”anu.

Piemērs 2. ŠŸŃ€Š¾ŠøŠ·Š²Š¾Š“ŠøтŠµŠ»ŃŒŠ½Š¾ŃŃ‚ŃŒ

Dažos gadÄ«jumos Å”is faktors joprojām var bÅ«t nozÄ«mÄ«gs. Tāpēc, iespējams, bÅ«s jāļauj daļai trafika (piemēram, slodzes lÄ«dzsvarotāju trafika) apiet ugunsmÅ«ri.

Piemērs 3. Uzticamība

Å is faktors joprojām ir jāņem vērā, taču, ņemot vērā paÅ”a interneta neuzticamÄ«bu, tā nozÄ«me Å”ajā segmentā nav tik nozÄ«mÄ«ga kā datu centram.

Tātad, pieņemsim, ka jÅ«su pakalpojums darbojas virs http/https (ar Ä«sām sesijām). Å ajā gadÄ«jumā varat izmantot divas neatkarÄ«gas kastes (bez HA) un, ja ar vienu no tām ir marÅ”rutÄ“Å”anas problēma, pārsÅ«tÄ«t visu trafiku uz otro.

Vai arī varat izmantot ugunsmūrus caurspīdīgā režīmā un, ja tie neizdodas, ļaut trafikam apiet ugunsmūri, risinot problēmu.

Tāpēc, visticamāk, tikai cena var bÅ«t faktors, kas liks jums atteikties no ugunsmÅ«ru izmantoÅ”anas Å”ajā segmentā.

Svarīgi!

Pastāv kārdinājums apvienot Å”o ugunsmÅ«ri ar datu centra ugunsmÅ«ri (Å”iem segmentiem izmantojiet vienu ugunsmÅ«ri). Risinājums principā ir iespējams, bet jums tas ir jāsaprot, jo Interneta piekļuves ugunsmÅ«ris faktiski ir jÅ«su aizsardzÄ«bas priekÅ”galā un "pārņem" vismaz daļu no ļaunprātÄ«gās trafika, tad, protams, jums ir jāņem vērā paaugstināts risks, ka Å”is ugunsmÅ«ris tiks atspējots. Tas nozÄ«mē, ka, izmantojot vienas un tās paÅ”as ierÄ«ces Å”ajos divos segmentos, jÅ«s ievērojami samazināsiet sava datu centra segmenta pieejamÄ«bu.

Kā vienmēr, jums ir jāsaprot, ka atkarÄ«bā no uzņēmuma sniegtā pakalpojuma Ŕī segmenta dizains var ievērojami atŔķirties. Kā vienmēr, jÅ«s varat izvēlēties dažādas pieejas atkarÄ«bā no jÅ«su prasÄ«bām.

Piemērs

Ja esat satura nodroÅ”inātājs ar CDN tÄ«klu (skatiet, piemēram, rakstu sērija), iespējams, nevēlaties izveidot infrastruktÅ«ru desmitiem vai pat simtiem klātbÅ«tnes punktu, izmantojot atseviŔķas ierÄ«ces trafika marÅ”rutÄ“Å”anai un filtrÄ“Å”anai. Tas bÅ«s dārgi, un tas var bÅ«t vienkārÅ”i nevajadzÄ«gs.

Lai izmantotu BGP, jums nav obligāti jābÅ«t Ä«paÅ”iem marÅ”rutētājiem, varat izmantot tādus atvērtā pirmkoda rÄ«kus kā Quagga. Tātad, iespējams, viss, kas jums nepiecieÅ”ams, ir serveris vai vairāki serveri, slēdzis un BGP.

Å ajā gadÄ«jumā jÅ«su serveris vai vairāki serveri var spēlēt ne tikai CDN servera, bet arÄ« marÅ”rutētāja lomu. Protams, vēl ir daudz detaļu (piemēram, kā nodroÅ”ināt lÄ«dzsvaroÅ”anu), taču tas ir izpildāms, un tā ir pieeja, ko esam veiksmÄ«gi izmantojuÅ”i vienam no mÅ«su partneriem.

Jums var bÅ«t vairāki datu centri ar pilnu aizsardzÄ«bu (ugunsmÅ«ri, DDOS aizsardzÄ«bas pakalpojumi, ko nodroÅ”ina jÅ«su interneta pakalpojumu sniedzēji) un desmitiem vai simtiem ā€œvienkārÅ”otuā€ klātbÅ«tnes punktu tikai ar L2 slēdžiem un serveriem.

Bet kā Ŕajā gadījumā ir ar aizsardzību?

ApskatÄ«sim, piemēram, pēdējā laikā populāro DNS pastiprināŔanas DDOS uzbrukums. Tās briesmas ir saistÄ«tas ar to, ka tiek Ä£enerēts liels trafika apjoms, kas vienkārÅ”i ā€œaizsprostoā€ 100% no visām jÅ«su augÅ”upsaitēm.

Kas mums ir mūsu dizaina gadījumā.

  • ja izmantojat AnyCast, trafika tiek sadalÄ«ta starp jÅ«su klātbÅ«tnes punktiem. Ja jÅ«su kopējais joslas platums ir terabitos, tad tas pats par sevi (tomēr pēdējā laikā ir bijuÅ”i vairāki uzbrukumi ar ļaunprātÄ«gu trafiku terabitu secÄ«bā) pasargā jÅ«s no ā€œpārpildÄ«tāmā€ augÅ”upsaitēm.
  • Tomēr, ja dažas augÅ”upsaites tiek aizsērējuÅ”as, jÅ«s vienkārÅ”i noņemiet Å”o vietni no pakalpojuma (pārtrauciet prefiksa reklamÄ“Å”anu).
  • jÅ«s varat arÄ« palielināt trafika daļu, kas tiek nosÅ«tÄ«ta no jÅ«su ā€œpilnajiemā€ (un attiecÄ«gi aizsargātajiem) datu centriem, tādējādi novērÅ”ot ievērojamu ļaunprātÄ«gās trafika daļu no neaizsargātiem klātbÅ«tnes punktiem

Un vēl viena neliela piezÄ«me Å”im piemēram. Ja sÅ«tāt pietiekami daudz trafika caur IX, tas arÄ« samazina jÅ«su neaizsargātÄ«bu pret Ŕādiem uzbrukumiem

BGP iestatīŔana

Šeit ir divas tēmas.

  • SavienojamÄ«ba
  • BGP iestatÄ«Å”ana

Mēs jau esam nedaudz runājuÅ”i par savienojamÄ«bu 1 daļas. MērÄ·is ir nodroÅ”ināt, lai jÅ«su klientu satiksme sekotu optimālajam ceļam. Lai gan optimitāte ne vienmēr ir saistÄ«ta tikai ar latentumu, zems latentums parasti ir galvenais optimitātes rādÄ«tājs. Dažiem uzņēmumiem tas ir svarÄ«gāk, citiem mazāk. Tas viss ir atkarÄ«gs no jÅ«su sniegtā pakalpojuma.

piemērs 1

Ja jūs esat birža, un jūsu klientiem ir svarīgi laika intervāli, kas ir mazāki par milisekundēm, tad, protams, par internetu vispār nevar būt runas.

piemērs 2

Ja esat spēļu uzņēmums un jums ir svarīgas desmitiem milisekundes, tad, protams, savienojamība jums ir ļoti svarīga.

piemērs 3

Jums arÄ« jāsaprot, ka TCP protokola Ä«paŔību dēļ datu pārsÅ«tÄ«Å”anas ātrums vienas TCP sesijas laikā ir atkarÄ«gs arÄ« no RTT (Round Trip Time). Lai atrisinātu Å”o problēmu, tiek veidoti arÄ« CDN tÄ«kli, pārvietojot satura izplatÄ«Å”anas serverus tuvāk Ŕī satura patērētājam.

SavienojamÄ«bas izpēte pati par sevi ir interesanta tēma, kas ir sava raksta vai rakstu sērijas cienÄ«ga, un tai ir nepiecieÅ”ama laba izpratne par to, kā internets ā€œdarbojasā€.

Noderīgi resursi:

ripe.net
bgp.he.net

Piemērs

Es minÄ“Å”u tikai vienu nelielu piemēru.

Pieņemsim, ka jÅ«su datu centrs atrodas Maskavā un jums ir viena augÅ”upsaite ā€” Rostelecom (AS12389). Å ajā gadÄ«jumā (vienvietÄ«gā mājā) jums nav nepiecieÅ”ams BGP, un jÅ«s, visticamāk, izmantojat Rostelecom adreÅ”u kopu kā publiskās adreses.

Pieņemsim, ka jÅ«s sniedzat noteiktu pakalpojumu un jums ir pietiekams skaits klientu no Ukrainas, un viņi sÅ«dzas par ilgu kavÄ“Å”anos. PētÄ«juma laikā jÅ«s noskaidrojāt, ka dažu no tām IP adreses atrodas režģī 37.52.0.0/21.

Palaižot traceroute, jÅ«s redzējāt, ka satiksme notiek caur AS1299 (Telia), un, izpildot ping, jÅ«s saņēmāt vidējo RTT 70ā€“80 milisekundes. To var redzēt arÄ« vietnē izskata stikls Rostelecom.

Izmantojot utilītu whois (vietnē ripe.net vai vietējā utilītprogrammā), varat viegli noteikt, ka bloks 37.52.0.0/21 pieder AS6849 (Ukrtelecom).

Tālāk, dodoties uz bgp.he.net redzat, ka AS6849 nav saistÄ«bu ar AS12389 (tie nav ne klienti, ne augÅ”upsaites viens otram, kā arÄ« tiem nav peering). Bet, ja paskatās vienaudžu saraksts AS6849, jÅ«s redzēsit, piemēram, AS29226 (Mastertel) un AS31133 (Megafon).

Kad esat atradis Å”o pakalpojumu sniedzēju izskatu, varat salÄ«dzināt ceļu un RTT. Piemēram, Mastertel RTT bÅ«s aptuveni 30 milisekundes.

Tātad, ja starpÄ«ba starp 80 un 30 milisekundēm ir bÅ«tiska jÅ«su pakalpojumam, iespējams, jums ir jādomā par savienojamÄ«bu, jāiegÅ«st savs AS numurs, jÅ«su adreÅ”u kopums no RIPE un jāpievieno papildu augÅ”upsaites un/vai jāizveido klātbÅ«tnes punkti IX.

Izmantojot BGP, jums ir ne tikai iespēja uzlabot savienojamību, bet arī lieki uzturēt savu interneta savienojumu.

Å is dokuments satur ieteikumus BGP konfigurÄ“Å”anai. Neskatoties uz to, ka Å”ie ieteikumi tika izstrādāti, pamatojoties uz pakalpojumu sniedzēju ā€œlabāko praksiā€, tomēr (ja jÅ«su BGP iestatÄ«jumi nav gluži vienkārÅ”i) tie neapÅ”aubāmi ir noderÄ«gi, un tiem vajadzētu bÅ«t daļai no sacietÄ“Å”anas, par ko mēs runājām pirmā daļa.

DOS/DDOS aizsardzība

Tagad DOS/DDOS uzbrukumi daudziem uzņēmumiem ir kļuvuÅ”i par ikdienas realitāti. PatiesÄ«bā jums vienā vai otrā veidā uzbrÅ«k diezgan bieži. Tas, ka jÅ«s to vēl neesat pamanÄ«jis, nozÄ«mē tikai to, ka pret jums vēl nav organizēts mērÄ·tiecÄ«gs uzbrukums un ka jÅ«su izmantotie aizsardzÄ«bas pasākumi, pat, iespējams, to nezinot (dažādi operētājsistēmu iebÅ«vētie aizsardzÄ«bas lÄ«dzekļi), ir pietiekami, lai nodroÅ”ināt, ka sniegtā pakalpojuma pasliktināŔanās jums un jÅ«su klientiem tiek samazināta lÄ«dz minimumam.

Ir interneta resursi, kas, pamatojoties uz aprīkojuma žurnāliem, reāllaikā uzzīmē skaistas uzbrukuma kartes.

Šeit jūs varat atrast saites uz tiem.

Mana mīļākā karte no CheckPoint.

AizsardzÄ«ba pret DDOS/DOS parasti ir slāņaina. Lai saprastu, kāpēc, jums ir jāsaprot, kāda veida DOS/DDOS uzbrukumi pastāv (skatiet, piemēram, Å”eit vai Å”eit)

Tas nozīmē, ka mums ir trīs veidu uzbrukumi:

  • tilpuma uzbrukumi
  • protokola uzbrukumi
  • lietojumprogrammu uzbrukumi

Ja jÅ«s varat pasargāt sevi no pēdējiem divu veidu uzbrukumiem, izmantojot, piemēram, ugunsmÅ«rus, tad jÅ«s nevarat pasargāt sevi no uzbrukumiem, kuru mērÄ·is ir ā€œpārslogotā€ jÅ«su augÅ”upsaites (protams, ja jÅ«su kopējā interneta kanālu kapacitāte nav aprēķināta terabitos, vai vēl labāk, desmitos terabitos).

Tāpēc pirmā aizsardzÄ«bas lÄ«nija ir aizsardzÄ«ba pret ā€œvolumetriskiemā€ uzbrukumiem, un jÅ«su pakalpojumu sniedzējam vai pakalpojumu sniedzējiem ir jānodroÅ”ina jums Ŕī aizsardzÄ«ba. Ja jÅ«s to vēl neesat sapratuÅ”i, tad jums pagaidām ir paveicies.

Piemērs

Pieņemsim, ka jums ir vairākas augÅ”upsaites, taču Å”o aizsardzÄ«bu var nodroÅ”ināt tikai viens no pakalpojumu sniedzējiem. Bet, ja visa trafika notiek caur vienu pakalpojumu sniedzēju, kā tad ir ar savienojamÄ«bu, par kuru mēs Ä«si runājām nedaudz agrāk?

Šajā gadījumā uzbrukuma laikā jums būs daļēji jāupurē savienojamība. Bet

  • tas attiecas tikai uz uzbrukuma laiku. Uzbrukuma gadÄ«jumā varat manuāli vai automātiski pārkonfigurēt BGP, lai satiksme notiktu tikai caur pakalpojumu sniedzēju, kas nodroÅ”ina jÅ«s ar ā€œlietussarguā€. Kad uzbrukums ir beidzies, varat atgriezt marÅ”rutÄ“Å”anu iepriekŔējā stāvoklÄ«
  • Nav nepiecieÅ”ams pārsÅ«tÄ«t visu satiksmi. Ja, piemēram, redzat, ka nav uzbrukumu, izmantojot dažas augÅ”upsaites vai peering (vai trafika nav nozÄ«mÄ«ga), varat turpināt reklamēt prefiksus ar konkurētspējÄ«giem atribÅ«tiem pret Å”iem BGP kaimiņiem.

Varat arÄ« deleģēt saviem partneriem aizsardzÄ«bu pret ā€œprotokola uzbrukumiemā€ un ā€œlietojumprogrammu uzbrukumiemā€.
Å”eit ir Å”eit tu vari izlasÄ«t labu pētÄ«jumu (tulkojums). Tiesa, raksts ir divus gadus vecs, taču tas sniegs priekÅ”statu par pieejām, kā pasargāt sevi no DDOS uzbrukumiem.

Principā jÅ«s varat aprobežoties ar to, pilnÄ«bā nododot aizsardzÄ«bu ārpakalpojumu sniedzējiem. Å im lēmumam ir priekÅ”rocÄ«bas, taču ir arÄ« acÄ«mredzams trÅ«kums. Fakts ir tāds, ka mēs varam runāt (atkal, atkarÄ«bā no jÅ«su uzņēmuma darbÄ«bas) par uzņēmuma izdzÄ«voÅ”anu. Un uzticēt Ŕādas lietas treÅ”ajām personām...

Tāpēc apskatÄ«sim, kā organizēt otro un treÅ”o aizsardzÄ«bas lÄ«niju (kā papildinājumu aizsardzÄ«bai no nodroÅ”inātāja).

Tātad, otrā aizsardzÄ«bas lÄ«nija ir filtrÄ“Å”ana un satiksmes ierobežotāji (policisti) pie tÄ«kla ieejas.

piemērs 1

Pieņemsim, ka ar kāda pakalpojumu sniedzēja palÄ«dzÄ«bu esat aizsedzis sevi ar lietussargu pret DDOS. Pieņemsim, ka Å”is pakalpojumu sniedzējs izmanto Arbor, lai filtrētu trafiku un filtrus sava tÄ«kla malās.

Joslas platums, ko Arbor var ā€œapstrādātā€, ir ierobežots, un pakalpojumu sniedzējs, protams, nevar pastāvÄ«gi nodot visu savu partneru trafiku, kas pasÅ«ta Å”o pakalpojumu, izmantojot filtrÄ“Å”anas aprÄ«kojumu. Tāpēc normālos apstākļos satiksme netiek filtrēta.

Pieņemsim, ka ir SYN plÅ«du uzbrukums. Pat ja pasÅ«tÄ«jāt pakalpojumu, kas uzbrukuma gadÄ«jumā automātiski pārslēdz trafiku uz filtrÄ“Å”anu, tas nenotiek uzreiz. MinÅ«ti vai ilgāk jÅ«s paliekat uzbrukuma pakļautÄ«bā. Un tas var izraisÄ«t jÅ«su aprÄ«kojuma kļūmi vai pakalpojuma pasliktināŔanos. Å ajā gadÄ«jumā trafika ierobežoÅ”ana marÅ”rutÄ“Å”anas malā, lai gan tas novedÄ«s pie tā, ka Å”ajā laikā netiks izveidotas dažas TCP sesijas, ietaupÄ«s jÅ«su infrastruktÅ«ru no lielāka mēroga problēmām.

piemērs 2

Neparasti liels SYN pakeÅ”u skaits var bÅ«t ne tikai SYN plÅ«du uzbrukuma rezultāts. Pieņemsim, ka jÅ«s sniedzat pakalpojumu, kurā vienlaikus var bÅ«t aptuveni 100 tÅ«kstoÅ”i TCP savienojumu (uz vienu datu centru).

Pieņemsim, ka Ä«slaicÄ«gas problēmas dēļ ar kādu no jÅ«su galvenajiem pakalpojumu sniedzējiem puse no jÅ«su sesijām tiek pārtraukta. Ja jÅ«su lietojumprogramma ir veidota tā, ka, divreiz nedomājot, tā nekavējoties (vai pēc kāda laika intervāla, kas ir vienāds visām sesijām) mēģina atjaunot savienojumu, tad jÅ«s saņemsiet vismaz 50 tÅ«kstoÅ”us SYN pakeÅ”u. vienlaikus.

Ja, piemēram, pa virsu Ŕīm sesijām ir jāpalaiž ssl/tls rokasspiediens, kas ietver sertifikātu apmaiņu, tad no slodzes balansētāja resursu izsmelÅ”anas viedokļa Å”is bÅ«s daudz spēcÄ«gāks ā€œDDOSā€ nekā vienkārÅ”s. SYN plÅ«di. Å Ä·iet, ka lÄ«dzsvarotājiem vajadzētu risināt Ŕādus notikumus, bet... diemžēl mēs saskaramies ar Ŕādu problēmu.

Un, protams, policists uz malas marÅ”rutētāja glābs jÅ«su aprÄ«kojumu arÄ« Å”ajā gadÄ«jumā.

TreŔais aizsardzības līmenis pret DDOS/DOS ir jūsu ugunsmūra iestatījumi.

Å eit jÅ«s varat apturēt gan otrā, gan treŔā veida uzbrukumus. Kopumā Å”eit var filtrēt visu, kas sasniedz ugunsmÅ«ri.

Padome

Centieties ugunsmūrim dot pēc iespējas mazāk darba, pēc iespējas vairāk filtrējot pirmajās divās aizsardzības līnijās. Un tāpēc.

Vai jums kādreiz ir gadÄ«jies, ka nejauÅ”i, Ä£enerējot trafiku, lai pārbaudÄ«tu, piemēram, jÅ«su serveru operētājsistēmas noturÄ«bu pret DDOS uzbrukumiem, jÅ«s ā€œnogalinājātā€ savu ugunsmÅ«ri, ielādējot to lÄ«dz 100 procentiem ar trafiku normālā intensitātē. ? Ja nē, varbÅ«t tas ir vienkārÅ”i tāpēc, ka neesat mēģinājis?

Kopumā ugunsmūris, kā jau teicu, ir sarežģīta lieta, un tas labi darbojas ar zināmām ievainojamībām un pārbaudītiem risinājumiem, bet, ja jūs sūtāt kaut ko neparastu, tikai kādu atkritumu vai paketes ar nepareizām galvenēm, tad jūs esat ar dažiem, nevis ar. tik maza varbūtība (balstoties uz manu pieredzi), jūs varat apstulbināt pat augstākās klases aprīkojumu. Tāpēc 2. posmā, izmantojot parastos ACL (L3/L4 līmenī), savā tīklā atļaujiet trafiku tikai tam, kam tajā vajadzētu ienākt.

Datplūsmas filtrēŔana uz ugunsmūra

Turpināsim sarunu par ugunsmūri. Jums jāsaprot, ka DOS/DDOS uzbrukumi ir tikai viens no kiberuzbrukumu veidiem.

Papildus DOS/DDOS aizsardzībai mums var būt arī Ŕāds funkciju saraksts:

  • lietojumprogrammu ugunsmÅ«ris
  • draudu novērÅ”ana (antivÄ«russ, pretspiegprogrammatÅ«ra un ievainojamÄ«ba)
  • URL filtrÄ“Å”ana
  • datu filtrÄ“Å”ana (satura filtrÄ“Å”ana)
  • failu bloÄ·Ä“Å”ana (failu tipu bloÄ·Ä“Å”ana)

Jums ir jāizlemj, kas jums nepiecieŔams no Ŕī saraksta.

Lai varētu turpināt

Avots: www.habr.com

Pievieno komentāru