ProHoster > Блог > Захиргаа > Сүлжээний дэд бүтцээ хэрхэн хянах вэ. Гуравдугаар бүлэг. Сүлжээний аюулгүй байдал. Хоёрдугаар хэсэг

Сүлжээний дэд бүтцээ хэрхэн хянах вэ. Гуравдугаар бүлэг. Сүлжээний аюулгүй байдал. Хоёрдугаар хэсэг

Энэ нийтлэл нь "Сүлжээний дэд бүтцээ хэрхэн хянах вэ" цувралын дөрөв дэх нийтлэл юм. Цуврал дахь бүх нийтлэлийн агуулга, холбоосыг олж болно энд.

В эхний хэсэг Энэ бүлэгт бид Дата төвийн сегмент дэх сүлжээний аюулгүй байдлын зарим асуудлыг авч үзсэн. Энэ хэсэг нь "Интернет хандалт" сегментэд зориулагдсан болно.

Сүлжээний дэд бүтцээ хэрхэн хянах вэ. Гуравдугаар бүлэг. Сүлжээний аюулгүй байдал. Хоёрдугаар хэсэг

Интернэт хандалт

Аюулгүй байдлын сэдэв бол өгөгдлийн сүлжээний дэлхийн хамгийн төвөгтэй сэдвүүдийн нэг юм. Өмнөх тохиолдлуудын нэгэн адил гүн гүнзгий, бүрэн бүтэн байдлыг шаардахгүйгээр би энд маш энгийн, гэхдээ миний бодлоор чухал асуултуудыг авч үзэх болно, хариулт нь таны сүлжээний аюулгүй байдлын түвшинг дээшлүүлэхэд тусална гэж найдаж байна.

Энэ сегментэд аудит хийхдээ дараахь зүйлийг анхаарч үзээрэй.

  • зураг төсөл
  • BGP тохиргоо
  • DOS/DDOS хамгаалалт
  • галт хананд замын хөдөлгөөний шүүлтүүр

Зураг төсөл

Байгууллагын сүлжээнд зориулсан энэ сегментийн дизайны жишээ болгон би санал болгож байна гарын авлага дотор Cisco-аас АЮУЛГҮЙ загварууд.

Мэдээжийн хэрэг, бусад борлуулагчдын шийдэл танд илүү сонирхолтой санагдаж магадгүй юм (харна уу. Gartner Quadrant 2018), гэхдээ энэ дизайныг нарийвчлан дагаж мөрдөхийг урамшуулалгүйгээр би түүний цаад зарчим, санааг ойлгоход хэрэгтэй хэвээр байна.

Тэмдэглэл

SAFE-д "Алсын зайнаас хандах" сегмент нь "Интернет хандалт" сегментийн нэг хэсэг юм. Гэхдээ энэ цуврал нийтлэлд бид үүнийг тусад нь авч үзэх болно.

Аж ахуйн нэгжийн сүлжээнд энэ сегмент дэх тоног төхөөрөмжийн стандарт багц нь

  • хилийн чиглүүлэгчид
  • галт хана

Тэмдэглэл 1

Энэ цуврал нийтлэлд би галт хананы тухай ярихдаа би хэлэх гэсэн юм NGFW.

Тэмдэглэл 2

Би L2/L1 холболтыг хангахад шаардлагатай янз бүрийн төрлийн L2/L3 эсвэл L1 дээр давхарласан L2 шийдлүүдийг авч үзэхгүй бөгөөд зөвхөн L3 болон түүнээс дээш түвшний асуудлуудаар өөрийгөө хязгаарладаг. L1/L2 асуудлуудыг хэсэгчлэн "" бүлэгт хэлэлцсэн.Цэвэрлэгээ ба бичиг баримт".

Хэрэв та энэ сегментэд галт хана олоогүй бол дүгнэлт хийх гэж яарах хэрэггүй.

Дээр дурдсантай ижил зүйлийг хийцгээе өмнөх хэсэгАсуултаас эхэлье: таны тохиолдолд энэ сегментэд галт хана ашиглах шаардлагатай юу?

Энэ бол галт ханыг ашиглах, замын хөдөлгөөний шүүлтүүрийн нарийн төвөгтэй алгоритмуудыг ашиглах хамгийн үндэслэлтэй газар юм шиг санагдаж байна гэж би хэлж чадна. IN 1-р хэсэг Дата төвийн сегмент дэх галт ханыг ашиглахад саад учруулж болох 4 хүчин зүйлийг бид дурдсан. Гэхдээ энд тэд тийм ч чухал байхаа больсон.

Жишээ 1. Хойшлуулах

Интернэтийн хувьд 1 миллисекунд ч гэсэн саатал ярих нь утгагүй юм. Тиймээс энэ сегмент дэх саатал нь галт хананы хэрэглээг хязгаарлах хүчин зүйл болж чадахгүй.

Жишээ 2. Бүтээмж

Зарим тохиолдолд энэ хүчин зүйл чухал хэвээр байж болно. Тиймээс та галт ханыг тойрч гарахын тулд зарим урсгалыг (жишээлбэл, ачаалал тэнцвэржүүлэгчийн урсгал) зөвшөөрөх шаардлагатай болж магадгүй юм.

Жишээ 3. Найдвартай байдал

Энэ хүчин зүйлийг харгалзан үзэх шаардлагатай хэвээр байгаа боловч Интернет өөрөө найдваргүй тул энэ сегментийн хувьд түүний ач холбогдол нь мэдээллийн төвийнхтэй адил чухал биш юм.

Тиймээс, таны үйлчилгээ http/https дээр ажилладаг (богино сесстэй) гэж бодъё. Энэ тохиолдолд та хоёр бие даасан хайрцгийг (HA-гүй) ашиглаж болох бөгөөд тэдгээрийн аль нэгэнд нь чиглүүлэлтийн асуудал гарвал бүх урсгалыг хоёр дахь руу шилжүүлээрэй.

Эсвэл та галт ханыг ил тод горимд ашиглаж болох бөгөөд хэрэв амжилтгүй болвол асуудлыг шийдвэрлэх явцад галт ханыг тойрч гарахыг зөвшөөрнө үү.

Тиймээс, хамгийн их магадлалтай үнэ Энэ сегмент дэх галт ханыг ашиглахаас татгалзах хүчин зүйл байж магадгүй юм.

Чухал!

Энэ галт ханыг өгөгдлийн төвийн галт ханатай хослуулах (эдгээр сегментүүдэд нэг галт ханыг ашиглах) уруу таталт байдаг. Үүний шийдэл нь зарчмын хувьд боломжтой, гэхдээ та үүнийг ойлгох хэрэгтэй Интернетэд нэвтрэх галт хана нь үнэндээ таны хамгаалалтын тэргүүн эгнээнд байдаг бөгөөд хамгийн багадаа хортой траффикийг "авдаг" тул энэ галт ханыг идэвхгүй болгох эрсдэл нэмэгдэж байгааг анхаарч үзэх хэрэгтэй. Өөрөөр хэлбэл, эдгээр хоёр сегментэд ижил төхөөрөмжүүдийг ашигласнаар та дата төвийн сегментийн хүртээмжийг эрс багасгах болно.

Компанийн үзүүлж буй үйлчилгээнээс хамааран энэ сегментийн дизайн ихээхэн ялгаатай байж болохыг та үргэлж ойлгох хэрэгтэй. Та өөрийн шаардлагаас хамааран өөр өөр аргыг сонгох боломжтой.

Жишээ нь:

Хэрэв та CDN сүлжээтэй контент нийлүүлэгч бол (жишээ нь: цуврал нийтлэлүүд), тэгвэл та урсгалыг чиглүүлэх, шүүх тусдаа төхөөрөмж ашиглан хэдэн арван эсвэл бүр хэдэн зуун цэгүүдэд дэд бүтцийг бий болгохыг хүсэхгүй байж магадгүй. Энэ нь үнэтэй байх бөгөөд энэ нь зүгээр л шаардлагагүй байж магадгүй юм.

BGP-ийн хувьд та тусгай чиглүүлэгчтэй байх албагүй, та нээлттэй эхийн хэрэгслийг ашиглаж болно Квага. Тиймээс танд сервер эсвэл хэд хэдэн сервер, шилжүүлэгч болон BGP хэрэгтэй байж магадгүй юм.

Энэ тохиолдолд таны сервер эсвэл хэд хэдэн серверүүд зөвхөн CDN сервер төдийгүй чиглүүлэгчийн үүрэг гүйцэтгэх боломжтой. Мэдээжийн хэрэг, маш олон нарийн ширийн зүйл (тэнцвэрийг хэрхэн хангах гэх мэт) байсаар байгаа ч энэ нь хэрэгжих боломжтой бөгөөд энэ нь бидний түншүүдийн аль нэгэнд амжилттай ашигласан арга юм.

Та бүрэн хамгаалалттай хэд хэдэн дата төвтэй байж болно (галт хана, DDOS хамгаалах үйлчилгээ нь таны интернет үйлчилгээ үзүүлэгчээс хангадаг), зөвхөн L2 шилжүүлэгч болон серверүүдтэй хэдэн арван эсвэл хэдэн зуун "хялбаршуулсан" цэгүүдтэй байж болно.

Гэхдээ энэ тохиолдолд хамгаалалтын талаар юу хэлэх вэ?

Жишээлбэл, саяхан алдартай болсон зүйлийг харцгаая DNS олшруулах DDOS халдлага. Үүний аюул нь их хэмжээний траффик үүсгэдэг бөгөөд энэ нь таны бүх холболтын 100% "бөглөрдөг" явдал юм.

Манай дизайны хувьд бидэнд юу байна.

  • Хэрэв та AnyCast ашигладаг бол траффик таны байгаа цэгүүдийн хооронд хуваарилагдана. Хэрэв таны нийт зурвасын өргөн терабит бол энэ нь өөрөө (гэхдээ сүүлийн үед терабитийн дарааллаар хортой урсгалтай хэд хэдэн халдлага гарсан) таныг "халих" холболтоос хамгаалдаг.
  • Гэсэн хэдий ч, хэрэв зарим дээш холбоосууд бөглөрвөл та энэ сайтыг үйлчилгээнээс хасахад л болно (угтварыг сурталчлахаа боль)
  • Та мөн "бүрэн" (мөн үүний дагуу хамгаалагдсан) дата төвөөсөө илгээсэн траффикийн эзлэх хувийг нэмэгдүүлж, ингэснээр хамгаалалтгүй байгаа цэгүүдээс хортой траффикийн ихээхэн хэсгийг устгаж болно.

Энэ жишээнд бас нэг жижиг тэмдэглэл. Хэрэв та IX-ээр дамжуулан хангалттай хэмжээний траффик илгээдэг бол энэ нь таны ийм халдлагад өртөх эрсдэлийг бууруулдаг

BGP тохируулж байна

Энд хоёр сэдэв байна.

  • Холболт
  • BGP тохируулж байна

Бид аль хэдийн холболтын талаар бага зэрэг ярьсан 1-р хэсэг. Гол зорилго нь таны үйлчлүүлэгчдэд чиглэсэн урсгалыг оновчтой замыг дагаж мөрдөх явдал юм. Хэдийгээр оновчтой байх нь үргэлж хоцрогдолтой холбоотой байдаггүй ч бага хоцрогдол нь ихэвчлэн оновчтой байдлын гол үзүүлэлт болдог. Зарим компаниудын хувьд энэ нь илүү чухал, бусад хүмүүсийн хувьд бага байдаг. Энэ бүхэн таны үзүүлж буй үйлчилгээнээс хамаарна.

жишээ нь 1

Хэрэв та бирж бөгөөд үйлчлүүлэгчдэд миллисекундээс бага хугацааны интервал чухал бол мэдээжийн хэрэг ямар ч төрлийн интернетийн талаар ярих боломжгүй юм.

жишээ нь 2

Хэрэв та тоглоомын компани бөгөөд хэдэн арван миллисекунд танд чухал бол мэдээжийн хэрэг, холболт танд маш чухал юм.

жишээ нь 3

TCP протоколын шинж чанаруудаас шалтгаалан нэг TCP сесс доторх өгөгдөл дамжуулах хурд нь RTT (Дугуй аялалын хугацаа) -аас бас хамаардаг гэдгийг та ойлгох хэрэгтэй. Агуулга түгээх серверүүдийг энэ контентын хэрэглэгчдэд ойртуулах замаар энэ асуудлыг шийдэхийн тулд CDN сүлжээг бий болгож байна.

Холболтыг судлах нь өөрийн гэсэн нийтлэл эсвэл цуврал нийтлэлд тохирсон сонирхолтой сэдэв бөгөөд интернет хэрхэн "ажилладаг" талаар сайн ойлголттой байхыг шаарддаг.

Ашигтай нөөцүүд:

ripe.net
bgp.he.net

Жишээ нь:

Би ганцхан жижиг жишээ хэлье.

Таны дата төв Москвад байрладаг бөгөөд танд Ростелеком (AS12389) гэсэн ганц холболт байна гэж бодъё. Энэ тохиолдолд (ганц гэрт) танд BGP хэрэггүй бөгөөд та Ростелекомын хаягийн санг нийтийн хаяг болгон ашиглах магадлалтай.

Та тодорхой үйлчилгээ үзүүлдэг, Украинаас хангалттай тооны үйлчлүүлэгчид байдаг, тэд удаан саатсан талаар гомдоллодог гэж бодъё. Судалгааны явцад заримынх нь IP хаяг 37.52.0.0/21 сүлжээнд байгааг олж мэдсэн.

Traceroute-г ажиллуулснаар та траффик AS1299 (Telia)-аар дамжиж байгааг харж, ping-г ажиллуулснаар та дунджаар 70-80 миллисекундийн RTT-ийг авсан. Та мөн үүнийг эндээс харж болно Ростелекомын шил харагдана.

Whois хэрэгслийг ашиглан (ripe.net эсвэл орон нутгийн хэрэгсэл дээр) 37.52.0.0/21 блок нь AS6849 (Ukrtelecom)-д хамаарах болохыг хялбархан тодорхойлох боломжтой.

Дараа нь очих замаар bgp.he.net AS6849 нь AS12389-тэй ямар ч хамааралгүй гэдгийг та харж байна (тэд үйлчлүүлэгчид ч биш, бие биетэйгээ холбогддоггүй, мөн тэдэнтэй ижил төстэй зүйл байхгүй). Гэхдээ харвал үе тэнгийнхний жагсаалт AS6849-ийн хувьд та жишээ нь AS29226 (Mastertel) болон AS31133 (Megafon) харах болно.

Эдгээр үйлчилгээ үзүүлэгчдийн харагдах шилийг олсны дараа та зам болон RTT-ийг харьцуулж болно. Жишээлбэл, Mastertel RTT-ийн хувьд ойролцоогоор 30 миллисекунд байх болно.

Тиймээс, хэрэв 80 ба 30 миллисекундын хоорондох ялгаа нь таны үйлчилгээнд чухал ач холбогдолтой бол та холболтын талаар бодож, RIPE-ээс AS дугаар, хаягийн сангаа авч, нэмэлт холболтыг холбох ба/эсвэл IX дээр байрлах цэгүүдийг үүсгэх хэрэгтэй.

Та BGP-г ашигласнаар холболтыг сайжруулаад зогсохгүй интернетийн холболтоо байнга хадгалах боломжтой болно.

Энэхүү баримт бичиг BGP-г тохируулах зөвлөмжийг агуулдаг. Эдгээр зөвлөмжийг үйлчилгээ үзүүлэгчдийн "шилдэг туршлага" дээр үндэслэн боловсруулсан хэдий ч (хэрэв таны BGP тохиргоо нь тийм ч энгийн биш бол) тэдгээр нь эргэлзээгүй ашигтай бөгөөд үнэн хэрэгтээ бидний хэлэлцсэн хатуужлын нэг хэсэг байх ёстой. эхний хэсэг.

DOS/DDOS хамгаалалт

Одоо DOS/DDOS халдлага нь олон компаниудын өдөр тутмын бодит байдал болсон. Үнэндээ та нэг хэлбэрээр эсвэл өөр хэлбэрээр халдлагад өртдөг. Та үүнийг хараахан анзаараагүй байгаа нь зөвхөн таны эсрэг чиглэсэн дайралт зохион байгуулаагүй байгаа бөгөөд таны ашиглаж байгаа хамгаалалтын арга хэмжээ (үйлдлийн системийн янз бүрийн суурилуулсан хамгаалалт) хангалттай гэсэн үг юм. Үйлчилгээний доройтлыг танд болон таны үйлчлүүлэгчдэд хамгийн бага байлгах.

Тоног төхөөрөмжийн бүртгэл дээр үндэслэн бодит цаг хугацаанд үзэсгэлэнтэй довтолгооны газрын зургийг зурдаг интернет нөөцүүд байдаг.

энд Та тэдгээрийн холбоосыг олох боломжтой.

Миний хайрт карт CheckPoint-ээс.

DDOS/DOS-ээс хамгаалах хамгаалалт нь ихэвчлэн давхаргатай байдаг. Яагаад гэдгийг ойлгохын тулд ямар төрлийн DOS/DDOS халдлага байдгийг ойлгох хэрэгтэй (жишээ нь: энд буюу энд)

Өөрөөр хэлбэл, бидэнд гурван төрлийн халдлага байна:

  • эзэлхүүний дайралт
  • протоколын халдлага
  • програмын халдлага

Хэрэв та сүүлийн хоёр төрлийн халдлагаас, жишээлбэл галт хана ашиглан өөрийгөө хамгаалж чадвал дээд линкээ "дарах" зорилготой халдлагаас өөрийгөө хамгаалж чадахгүй (мэдээж хэрэв таны интернет сувгийн нийт багтаамжийг терабитээр тооцоогүй бол, эсвэл илүү сайн, хэдэн арван терабитээр).

Тиймээс, хамгаалалтын эхний мөр нь "хэлбэрийн" халдлагаас хамгаалах бөгөөд таны үйлчилгээ үзүүлэгч эсвэл үйлчилгээ үзүүлэгч танд энэ хамгаалалтыг өгөх ёстой. Хэрэв та үүнийг хараахан ухаарч амжаагүй бол та одоохондоо азтай байна.

Жишээ нь:

Танд хэд хэдэн холболт байгаа гэж бодъё, гэхдээ зөвхөн нэг үйлчилгээ үзүүлэгч танд энэ хамгаалалтыг өгч чадна. Гэхдээ бүх траффик нэг үйлчилгээ үзүүлэгчээр дамждаг бол бидний өмнө нь товч ярилцсан холболтын талаар юу хэлэх вэ?

Энэ тохиолдолд та халдлагын үеэр холболтыг хэсэгчлэн золиослох хэрэгтэй болно. Гэхдээ

  • Энэ нь зөвхөн халдлагын хугацаанд л хамаарна. Халдлага гарсан тохиолдолд та BGP-г гараар эсвэл автоматаар дахин тохируулах боломжтой бөгөөд ингэснээр траффик зөвхөн танд "шүхэр" өгдөг үйлчилгээ үзүүлэгчээр дамждаг. Довтолгоо дууссаны дараа та чиглүүлэлтийн өмнөх төлөв рүү буцах боломжтой
  • Бүх урсгалыг шилжүүлэх шаардлагагүй. Жишээлбэл, хэрэв та зарим нэг дээш холбоос эсвэл үе тэнгийнх нь халдлага байхгүй (эсвэл ачаалал тийм ч чухал биш) гэж үзвэл эдгээр BGP хөршүүдэд өрсөлдөх чадвартай угтваруудыг үргэлжлүүлэн сурталчилж болно.

Та мөн "протоколын халдлага" болон "аппликэйшн халдлага"-аас хамгаалалтыг түншүүддээ шилжүүлж болно.
энд энд чи сайн судалгаа уншиж болно (орчуулга). Энэ нийтлэл нь хоёр жилийн настай боловч DDOS халдлагаас өөрийгөө хэрхэн хамгаалах талаар ойлголт өгөх болно.

Зарчмын хувьд та хамгаалалтаа бүрэн аутсорсинг хийснээр өөрийгөө хязгаарлаж болно. Энэ шийдвэр нь давуу талтай боловч сул тал нь бас бий. Үнэн хэрэгтээ бид бизнесийн оршин тогтнох талаар (таны компани юу хийж байгаагаас хамаарч) ярьж болно. Ийм зүйлийг гуравдагч этгээдэд даатга...

Тиймээс, хамгаалалтын хоёр, гурав дахь шугамыг хэрхэн зохион байгуулах талаар авч үзье (үйлчилгээ үзүүлэгчээс хамгаалах нэмэлт болгон).

Тиймээс, хамгаалалтын хоёр дахь шугам бол таны сүлжээний үүдэнд шүүж, хөдөлгөөний хязгаарлалт (цагдаа) юм.

жишээ нь 1

Та аль нэг үйлчилгээ үзүүлэгчийн тусламжтайгаар өөрийгөө DDOS-ийн эсрэг шүхэрээр бүрхсэн гэж бодъё. Энэ үйлчилгээ үзүүлэгч нь сүлжээнийхээ захад урсгал, шүүлтүүрийг шүүхдээ Arbor ашигладаг гэж бодъё.

Arbor-ийн "боловсруулж" чадах зурвасын өргөн хязгаарлагдмал бөгөөд мэдээж хэрэг үйлчилгээ үзүүлэгч нь шүүлтүүрийн төхөөрөмжөөр дамжуулан энэ үйлчилгээг захиалсан бүх түншийнхээ траффикийг байнга дамжуулж чадахгүй. Тиймээс хэвийн нөхцөлд замын хөдөлгөөнийг шүүдэггүй.

SYN үерийн халдлага байна гэж бодъё. Хэрэв та халдлагад өртсөн тохиолдолд траффикийг автоматаар шүүлтүүрт шилжүүлдэг үйлчилгээг захиалсан байсан ч энэ нь шууд тохиолддоггүй. Нэг минут ба түүнээс дээш хугацаанд та дайралтанд өртөх болно. Энэ нь таны тоног төхөөрөмжийн эвдрэл, үйлчилгээний чанар муудахад хүргэж болзошгүй юм. Энэ тохиолдолд захын чиглүүлэлтийн урсгалыг хязгаарлах нь энэ хугацаанд зарим TCP сессийг үүсгэхгүй байх болно, гэхдээ таны дэд бүтцийг том хэмжээний асуудлаас аврах болно.

жишээ нь 2

Ер бусын олон тооны SYN пакетууд нь зөвхөн SYN үерийн дайралтын үр дүн биш байж болно. Та нэгэн зэрэг 100 мянга орчим TCP холболттой (нэг мэдээллийн төвд) үйлчилгээ үзүүлдэг гэж бодъё.

Таны үндсэн үйлчилгээ үзүүлэгчдийн нэгтэй холбоотой богино хугацааны асуудлын үр дүнд таны сессийн тал хувь нь хаагдсан гэж бодъё. Хэрэв таны аппликейшн хоёр удаа бодохгүйгээр шууд (эсвэл бүх сессийн хувьд ижил хугацааны интервал) холболтыг сэргээхийг оролдохоор хийгдсэн бол та дор хаяж 50 мянган SYN пакет хүлээн авах болно. нэгэн зэрэг.

Жишээлбэл, хэрэв та эдгээр сессүүд дээр сертификат солилцох ssl/tls гар барих шаардлагатай бол ачаалал тэнцвэржүүлэгчийн нөөцийг шавхах үүднээс энэ нь энгийн горимоос хамаагүй илүү хүчтэй "DDOS" байх болно. SYN үер. Ийм үйл явдлыг тэнцвэржүүлэгчид зохицуулах ёстой юм шиг санагдаж байна, гэхдээ харамсалтай нь ийм асуудалтай тулгараад байна.

Мэдээжийн хэрэг, захын чиглүүлэгч дээрх цагдаа энэ тохиолдолд таны төхөөрөмжийг хэмнэх болно.

DDOS/DOS-ээс хамгаалах гурав дахь түвшин бол таны галт ханын тохиргоо юм.

Энд та хоёр, гурав дахь төрлийн халдлагыг зогсоож болно. Ерөнхийдөө галт хананд хүрч байгаа бүх зүйлийг энд шүүж болно.

Зөвлөгөө

Хамгаалалтын эхний хоёр мөрөнд аль болох ихийг шүүж, галт хананд аль болох бага ажиллахыг хичээ. Тийм учраас л.

Танд тохиолдлоор таны серверийн үйлдлийн систем DDOS халдлагад хэр тэсвэртэй болохыг шалгахын тулд траффик үүсгэж байхдаа галт ханыг 100 хувь ачаалж, хэвийн эрч хүчээр "алж" байсан тохиолдол бий юу? ? Үгүй бол зүгээр л оролдоод үзээгүйгээс болсон юм болов уу?

Ерөнхийдөө, галт хана бол миний хэлсэнчлэн нарийн төвөгтэй зүйл бөгөөд энэ нь мэдэгдэж буй сул талууд, туршиж үзсэн шийдлүүдтэй сайн ажилладаг, гэхдээ хэрэв та ямар нэг ер бусын зүйл, зүгээр л зарим хог хаягдал эсвэл буруу толгойтой пакетуудыг илгээвэл та заримтай нь биш харин заримтай нь хамт байна гэсэн үг. Ийм бага магадлал (миний туршлага дээр үндэслэн) та дээд зэргийн тоног төхөөрөмжийг хүртэл гайхшруулж чадна. Тиймээс, 2-р шатанд ердийн ACL-уудыг (L3/L4 түвшинд) ашиглан зөвхөн сүлжээнд орох урсгалыг зөвшөөрнө үү.

Галт хана дээрх урсгалыг шүүж байна

Галт хананы тухай яриагаа үргэлжлүүлье. DOS/DDOS халдлага бол кибер халдлагын нэг төрөл гэдгийг та ойлгох хэрэгтэй.

DOS/DDOS хамгаалалтаас гадна бид дараах функцүүдийн жагсаалттай адил зүйлтэй байж болно.

  • програмын галт хана
  • аюулаас урьдчилан сэргийлэх (вирусны эсрэг, тагнуулын эсрэг програм, эмзэг байдал)
  • URL шүүлтүүр
  • өгөгдөл шүүх (агуулгын шүүлтүүр)
  • файлыг хориглох (файлын төрлийг хориглох)

Энэ жагсаалтаас юу хэрэгтэйг та өөрөө шийднэ.

Үргэлжлүүлэх

Эх сурвалж: www.habr.com

сэтгэгдэл нэмэх