ဤဆောင်းပါးသည် "သင်၏ကွန်ရက်အခြေခံအဆောက်အအုံကိုမည်သို့ထိန်းချုပ်ရမည်နည်း" စီးရီး၏ စတုတ္ထမြောက်ဆောင်းပါးဖြစ်သည်။ စီးရီးနှင့် လင့်ခ်များရှိ ဆောင်းပါးအားလုံး၏ အကြောင်းအရာများကို တွေ့နိုင်သည်။ .
В ဤအခန်းတွင်၊ Data Center အပိုင်းရှိ ကွန်ရက်လုံခြုံရေးဆိုင်ရာ ကဏ္ဍအချို့ကို လေ့လာခဲ့သည်။ ဤအပိုင်းကို "Internet Access" အပိုင်းအတွက် မြှုပ်နှံထားပါမည်။
အင်တာနက်
လုံခြုံရေး ခေါင်းစဉ်သည် ဒေတာကွန်ရက်လောကတွင် အရှုပ်ထွေးဆုံး အကြောင်းအရာများထဲမှ တစ်ခုဖြစ်သည်မှာ သေချာပါသည်။ ယခင်ကိစ္စများတွင်ကဲ့သို့ပင်၊ နက်နဲမှုနှင့် ပြည့်စုံမှုကို မတောင်းဆိုဘဲ၊ ဤနေရာတွင် ကျွန်ုပ်သည် အတော်လေးရိုးရှင်းသည်ဟု သုံးသပ်မိသော်လည်း၊ ကျွန်ုပ်၏အမြင်အရ၊ အရေးကြီးသောမေးခွန်းများ၊ အဖြေများသည် သင့်ကွန်ရက်၏လုံခြုံရေးအဆင့်ကို မြှင့်တင်နိုင်လိမ့်မည်ဟု မျှော်လင့်ပါသည်။
ဤအပိုင်းကို စစ်ဆေးသည့်အခါ အောက်ပါအချက်များကို အာရုံစိုက်ပါ။
- ပုံစံ
- BGP ဆက်တင်များ
- DOS/DDOS ကာကွယ်မှု
- Firewall တွင် traffic filtering
ပုံစံ
လုပ်ငန်းကွန်ရက်အတွက် ဤအပိုင်း၏ ဒီဇိုင်းကို နမူနာအနေဖြင့် ကျွန်ုပ်အကြံပြုလိုပါသည်။ Cisco အတွင်းမှ .
ဟုတ်ပါတယ်၊ အခြားရောင်းချသူများ၏ဖြေရှင်းချက်သည် သင့်အတွက် ပို၍ဆွဲဆောင်မှုရှိပုံပေါ်လိမ့်မည် (ကြည့်ပါ။ ) သို့သော် ဤဒီဇိုင်းကို အသေးစိတ်လိုက်နာရန် သင့်အား မတိုက်တွန်းဘဲ၊ ၎င်းနောက်ကွယ်ရှိ အခြေခံသဘောတရားများနှင့် အယူအဆများကို နားလည်ရန် အသုံးဝင်နေဆဲဖြစ်သည်။
ပွောဆို
SAFE တွင်၊ "Remote Access" အပိုင်းသည် "Internet Access" အပိုင်းဖြစ်သည်။ သို့သော် ဤအခန်းဆက်ဆောင်းပါးများတွင် ၎င်းကို သီးခြားစီ စဉ်းစားပါမည်။
လုပ်ငန်းကွန်ရက်တစ်ခုအတွက် ဤအပိုင်းရှိ စက်ကိရိယာများ၏ စံသတ်မှတ်ချက်သည်
- နယ်စပ်ရောက်တာများ
- firewalls များ
မှတ်ချက် ၁
ဤအခန်းဆက်ဆောင်းပါးများတွင် firewalls များအကြောင်းပြောသောအခါ၊ ငါဆိုလိုသည်။ .
မှတ်ချက် ၁
L2/L1 ချိတ်ဆက်မှုကို သေချာစေရန်အတွက် လိုအပ်သော L2/L3 သို့မဟုတ် L1 ဖြေရှင်းချက်များအတွက် အမျိုးမျိုးသော L2/L3 သို့မဟုတ် ထပ်ဆင့်ထားသော L1 ကို ချန်လှပ်ထားပြီး L2 အဆင့်နှင့် အထက်တွင် ပြသနာများအတွက် မိမိကိုယ်ကို ကန့်သတ်ထားသည်။ တစ်စိတ်တစ်ပိုင်းအားဖြင့် LXNUMX/LXNUMX ပြဿနာများကို အခန်း ““"။
ဤအပိုင်းတွင် firewall ကိုမတွေ့ပါက၊ ကောက်ချက်ချရန် အလျင်စလိုမလုပ်သင့်ပါ။
အထဲမှာ ပါတဲ့အတိုင်း လုပ်ကြည့်ရအောင် မေးခွန်းဖြင့်စကြပါစို့- သင့်ကိစ္စတွင် ဤအပိုင်းတွင် firewall ကိုအသုံးပြုရန် လိုအပ်ပါသလား။
ဤနေရာသည် firewalls များကိုအသုံးပြုရန်နှင့် ရှုပ်ထွေးသော traffic filtering algorithms ကိုအသုံးပြုရန် အသင့်လျော်ဆုံးနေရာဟု ကျွန်တော်ပြောနိုင်ပါသည်။ IN ဒေတာစင်တာ အပိုင်းရှိ Firewalls အသုံးပြုခြင်းကို အနှောင့်အယှက်ဖြစ်စေနိုင်သော အချက် 4 ချက်ကို ဖော်ပြထားပါသည်။ ဒါပေမယ့် ဒီမှာတော့ သူတို့ သိပ်မထူးခြားတော့ဘူး။
ဥပမာ 1 ။ နှောင့်နှေး
အင်တာနက်နဲ့ပတ်သက်ရင် 1 မီလီစက္ကန့်လောက် နှောင့်နှေးမှုတွေအကြောင်း ပြောစရာအကြောင်းမရှိပါဘူး။ ထို့ကြောင့်၊ ဤအပိုင်းရှိ ကြန့်ကြာမှုသည် firewall အသုံးပြုမှုကို ကန့်သတ်သည့်အချက်မဖြစ်နိုင်ပါ။
ဥပမာ 2 ။ ထွက်နိုင်ရေး
အချို့ကိစ္စများတွင် ဤအချက်သည် သိသာထင်ရှားနေသေးသည်။ ထို့ကြောင့်၊ firewall ကိုကျော်ဖြတ်ရန် အချို့သော traffic (ဥပမာ၊ load balancers မှ traffic) ကို ခွင့်ပြုရပါမည်။
ဥပမာ 3 ။ ယုံကြည်စိတ်ချရမှု
ဤအချက်ကို ထည့်သွင်းစဉ်းစားရန် လိုအပ်နေသေးသော်လည်း၊ အင်တာနက်ကိုယ်တိုင်၏ ယုံကြည်စိတ်ချရမှု မရှိခြင်းကြောင့်၊ ဤအပိုင်းအတွက် ၎င်း၏ အရေးပါမှုသည် ဒေတာစင်တာကဲ့သို့ အရေးပါမှု မရှိပေ။
ထို့ကြောင့် သင့်ဝန်ဆောင်မှုသည် http/https (တိုတောင်းသော sessions များနှင့်အတူ) ၏ထိပ်တွင် ရှိနေသည်ဟု ယူဆကြပါစို့။ ဤကိစ္စတွင်၊ သင်သည် သီးခြားလွတ်လပ်သောဘောက်စ်နှစ်ခု (HA မပါသော) ကိုသုံးနိုင်ပြီး ၎င်းတို့ထဲမှတစ်ခုနှင့်လမ်းကြောင်းတင်ခြင်းပြဿနာရှိပါက၊ လမ်းကြောင်းအားလုံးကို ဒုတိယသို့လွှဲပြောင်းပါ။
သို့မဟုတ် သင်သည် ဖောက်ထွင်းမြင်ရသောမုဒ်တွင် firewalls များကိုသုံးနိုင်ပြီး၊ ၎င်းတို့မအောင်မြင်ပါက ပြဿနာကိုဖြေရှင်းနေစဉ် firewall ကိုကျော်ဖြတ်ရန် traffic ကိုခွင့်ပြုပါ။
ထို့ကြောင့် ဖြစ်နိုင်ချေများပါသည်။ စြေး ဤအပိုင်းရှိ firewalls များအသုံးပြုခြင်းကို စွန့်လွှတ်ရန် သင့်အား တွန်းအားပေးမည့်အချက်ဖြစ်နိုင်သည်။
အရေးကြီး!
ဤ firewall ကို data center firewall နှင့် ပေါင်းစပ်ရန် သွေးဆောင်မှုတစ်ခု ရှိသည် (ဤအပိုင်းများအတွက် firewall တစ်ခုကို အသုံးပြုပါ)။ ဖြေရှင်းချက်က မူအရ ဖြစ်နိုင်ပေမယ့် အဲဒါကို နားလည်ဖို့လိုတယ်။ Internet Access firewall သည် အမှန်တကယ်တွင် သင့်ကာကွယ်ရေး၏ ရှေ့တန်းမှဖြစ်ပြီး အနည်းဆုံး အန္တရာယ်ရှိသော အသွားအလာအချို့ကို "လုပ်ဆောင်သည်" ဖြစ်သောကြောင့်၊ ဤ firewall ကိုပိတ်ထားမည့်အန္တရာယ်ကို ထည့်သွင်းစဉ်းစားရန် လိုအပ်ပါသည်။ ဆိုလိုသည်မှာ ဤအပိုင်းနှစ်ခုရှိ တူညီသောစက်ပစ္စည်းများကို အသုံးပြုခြင်းဖြင့်၊ သင်၏ဒေတာစင်တာ အပိုင်း၏ရရှိနိုင်မှုကို သိသာထင်ရှားစွာ လျှော့ချနိုင်မည်ဖြစ်သည်။
ကုမ္ပဏီမှ ပေးဆောင်သော ဝန်ဆောင်မှုပေါ်မူတည်၍ ဤအပိုင်း၏ ဒီဇိုင်းသည် လွန်စွာကွဲပြားနိုင်ကြောင်း အမြဲလိုလို နားလည်ထားရန် လိုအပ်ပါသည်။ အမြဲလိုလို၊ သင့်လိုအပ်ချက်ပေါ်မူတည်ပြီး မတူညီသောချဉ်းကပ်မှုများကို သင်ရွေးချယ်နိုင်သည်။
နမူနာ
အကယ်၍ သင်သည် CDN ကွန်ရက်ဖြင့် အကြောင်းအရာပံ့ပိုးပေးသူဖြစ်ပါက (ဥပမာ၊ ကြည့်ပါ၊ ) သို့ဆိုလျှင် သင်သည် လမ်းပြခြင်းနှင့် အသွားအလာများကို စစ်ထုတ်ခြင်းအတွက် သီးခြားစက်ပစ္စည်းများကို အသုံးပြု၍ တည်ရှိနေသော အချက်ပေါင်းများစွာ သို့မဟုတ် ရာနှင့်ချီသော တည်ရှိနေသည့် အခြေခံအဆောက်အဦများကို ဖန်တီးလိုမည်မဟုတ်ပါ။ ၎င်းသည်စျေးကြီးလိမ့်မည်၊ ရိုးရှင်းစွာမလိုအပ်ဘဲဖြစ်နိုင်သည်။
BGP အတွက် သင့်တွင် သီးခြား router များ ရှိရန် မလိုအပ်ဘဲ၊ သင်ကဲ့သို့ open-source tools များကို သုံးနိုင်သည်။ . ထို့ကြောင့် သင်လိုအပ်သမျှမှာ ဆာဗာတစ်ခု သို့မဟုတ် ဆာဗာများစွာ၊ ခလုတ်တစ်ခုနှင့် BGP ဖြစ်ကောင်းဖြစ်နိုင်သည်။
ဤကိစ္စတွင်၊ သင်၏ဆာဗာ သို့မဟုတ် ဆာဗာအများအပြားသည် CDN ဆာဗာသာမက router ၏ အခန်းကဏ္ဍကို ထမ်းဆောင်နိုင်သည်။ ဟုတ်ပါတယ်၊ အသေးစိတ်အချက်များစွာရှိပါသေးသည် (ဥပမာ ဟန်ချက်ညီအောင်ပြုလုပ်နည်း)၊ သို့သော် ၎င်းသည် လုပ်ဆောင်နိုင်သည်၊ ၎င်းသည် ကျွန်ုပ်တို့၏လုပ်ဖော်ကိုင်ဖက်တစ်ဦးအတွက် အောင်မြင်စွာအသုံးပြုထားသော ချဉ်းကပ်မှုတစ်ခုဖြစ်သည်။
အပြည့်အဝကာကွယ်မှုဖြင့် ဒေတာစင်တာအများအပြား (firewalls၊ သင်၏အင်တာနက်ဝန်ဆောင်မှုပေးသူများမှ ပံ့ပိုးပေးသော DDOS ကာကွယ်ရေးဝန်ဆောင်မှုများ) နှင့် L2 ခလုတ်များနှင့် ဆာဗာများသာရှိသော “ရိုးရှင်းသော” အချက်ပေါင်းများစွာ သို့မဟုတ် ရာပေါင်းများစွာသော “ရိုးရှင်းသော” ရှိနေခြင်းအချက်များ ရှိနိုင်ပါသည်။
ဒါပေမယ့် ဒီကိစ္စမှာ ဘယ်လိုကာကွယ်မလဲ။
ဥပမာ၊ မကြာသေးမီက လူကြိုက်များတာကို ကြည့်ရအောင် . ၎င်း၏အန္တရာယ်မှာ သင်၏ uplinks များအားလုံးကို 100% ရိုးရှင်းစွာ "ပိတ်ဆို့" စေသည့် အသွားအလာ အများအပြားကို ထုတ်ပေးခြင်းကြောင့်ဖြစ်သည်။
ကျွန်တော်တို့ရဲ့ ဒီဇိုင်းကိစ္စမှာ ဘာတွေပါလဲ။
- AnyCast ကို သင်အသုံးပြုပါက သင့်ရောက်ရှိနေသည့်နေရာများကြား လမ်းကြောင်းကို ဖြန့်ဝေပါသည်။ သင်၏စုစုပေါင်း bandwidth သည် terabits ဖြစ်ပါက၊ ၎င်းသည် အမှန်တကယ်ပင် (သို့သော်၊ မကြာသေးမီက terabits အစီအစဉ်တွင် အန္တရာယ်ရှိသော အသွားအလာများဖြင့် တိုက်ခိုက်မှုများစွာရှိခဲ့သည်) သည် သင့်အား "overflowing" uplinks များမှ ကာကွယ်ပေးပါသည်။
- သို့သော်၊ အချို့သောလင့်ခ်များ ပိတ်ဆို့သွားပါက၊ သင်သည် ဤဆိုက်ကို ဝန်ဆောင်မှုမှ ဖယ်ရှားလိုက်ရုံသာ (ရှေ့ဆက်ကြော်ငြာကို ရပ်လိုက်ပါ)
- သင်၏ "အပြည့်" (နှင့် လျော်ညီစွာ ကာကွယ်ထားသည်) ဒေတာစင်တာများမှ ပေးပို့သော အသွားအလာဝေစုကိုလည်း တိုးမြှင့်နိုင်သည်၊ ထို့ကြောင့် အန္တရာယ်ရှိသော လမ်းကြောင်း၏ သိသာထင်ရှားသော အစိတ်အပိုင်းကို အကာအကွယ်မဲ့ ရှိနေသည့်နေရာများမှ ဖယ်ရှားနိုင်သည်
ပြီးတော့ ဒီဥပမာအတွက် နောက်ထပ် မှတ်စုလေးတစ်ခု။ IXs မှတဆင့် လုံလောက်သော traffic ပေးပို့ပါက၊ ၎င်းသည် ထိုကဲ့သို့သော တိုက်ခိုက်မှုများအတွက် သင်၏အားနည်းချက်ကိုလည်း လျှော့ချပေးပါသည်။
BGP စနစ်ထည့်သွင်းခြင်း။
ဒီနေရာမှာ ခေါင်းစဉ်နှစ်ခုရှိတယ်။
- ချိတ်ဆက်မှု
- BGP စနစ်ထည့်သွင်းခြင်း။
ဆက်သွယ်မှုအကြောင်း နည်းနည်းပြောပြီးပြီ။ . အဓိကအချက်မှာ သင့်ဖောက်သည်များထံ အသွားအလာ အကောင်းမွန်ဆုံးလမ်းကြောင်းကို လိုက်နာကြောင်း သေချာစေရန်ဖြစ်သည်။ အကောင်းဆုံးသည် အမြဲတမ်း latency မျှသာမဟုတ်သော်လည်း၊ latency နည်းပါးခြင်းသည် များသောအားဖြင့် အကောင်းဆုံးဖြစ်ခြင်း၏ အဓိကညွှန်ပြချက်ဖြစ်သည်။ အချို့သော ကုမ္ပဏီများအတွက် ၎င်းသည် ပိုအရေးကြီးသည်၊ အခြားသူများအတွက် နည်းပါးသည်။ အားလုံးက သင်ပေးတဲ့ဝန်ဆောင်မှုပေါ်မှာ မူတည်ပါတယ်။
ဥပမာအား 1
အကယ်၍ သင်သည် လဲလှယ်သူတစ်ဦးဖြစ်ပြီး၊ မီလီစက္ကန့်ထက်နည်းသော အချိန်ကာလများသည် သင့်ဖောက်သည်များအတွက် အရေးကြီးသည်ဆိုလျှင်၊ အင်တာနက် အမျိုးအစားကို လုံးဝပြောဆိုနိုင်မည်မဟုတ်ပေ။
ဥပမာအား 2
သင်ဟာ ဂိမ်းကုမ္ပဏီတစ်ခုဖြစ်ပြီး ဆယ်ဂဏန်းမီလီစက္ကန့်တွေက သင့်အတွက် အရေးကြီးတယ်ဆိုရင်၊ ချိတ်ဆက်မှုဟာ သင့်အတွက် အရမ်းအရေးကြီးပါတယ်။
ဥပမာအား 3
TCP ပရိုတိုကော၏ ဂုဏ်သတ္တိများကြောင့် TCP စက်ရှင်တစ်ခုအတွင်း ဒေတာလွှဲပြောင်းမှုနှုန်းသည် RTT (အသွားအပြန်ခရီးအချိန်) ပေါ်တွင်လည်း မူတည်ကြောင်း သင်နားလည်ထားရန် လိုအပ်ပါသည်။ အကြောင်းအရာဖြန့်ချီရေးဆာဗာများကို ဤအကြောင်းအရာ၏စားသုံးသူနှင့်ပိုမိုနီးကပ်စွာရွှေ့ခြင်းဖြင့် ဤပြဿနာကိုဖြေရှင်းရန် CDN ကွန်ရက်များကို တည်ဆောက်လျက်ရှိသည်။
ချိတ်ဆက်မှုကို လေ့လာခြင်းသည် ၎င်း၏ကိုယ်ပိုင်အခွင့်အရေး၊ ၎င်း၏ကိုယ်ပိုင်ဆောင်းပါး သို့မဟုတ် ဆောင်းပါးတွဲများနှင့်ထိုက်တန်သော စိတ်ဝင်စားစရာကောင်းသည့်အကြောင်းအရာဖြစ်ပြီး အင်တာနက် “အလုပ်လုပ်ပုံ” ကို ကောင်းစွာနားလည်ရန် လိုအပ်သည်။
အသုံးဝင်သောအရင်းအမြစ်များ
နမူနာ
ဥပမာလေးတစ်ခုလောက်ပြောပြမယ်။
သင့်ဒေတာစင်တာသည် မော်စကိုတွင် တည်ရှိပြီး သင့်တွင် တစ်ခုတည်းသော uplink တစ်ခုရှိသည် - Rostelecom (AS12389) ဟု ယူဆကြပါစို့။ ဤကိစ္စတွင် (တစ်အိမ်တည်းနေ) BGP မလိုအပ်ပါ၊ နှင့် Rostelecom မှ လိပ်စာပေါင်းကို အများသူငှာ လိပ်စာများအဖြစ် သင်အသုံးပြုနိုင်ပါသည်။
သင်သည် ဝန်ဆောင်မှုတစ်ခုပေးသည်ဟု ယူဆကြပါစို့၊ သင့်တွင် ယူကရိန်းမှ ဖောက်သည်အရေအတွက် အလုံအလောက်ရှိပြီး ၎င်းတို့သည် ကာလကြာရှည်နှောင့်နှေးမှုများနှင့် ပတ်သက်၍ တိုင်ကြားထားကြပါစို့။ သင်၏သုတေသနပြုစဉ်အတွင်း ၎င်းတို့ထဲမှအချို့၏ IP လိပ်စာများသည် 37.52.0.0/21 ဂရစ်တွင်ဖြစ်ကြောင်း သင်တွေ့ရှိခဲ့သည်။
traceroute ကို လည်ပတ်ခြင်းဖြင့်၊ လမ်းကြောင်းသည် AS1299 (Telia) ကိုဖြတ်သွားသည်ကို သင်မြင်ရပြီး ping တစ်ခုကို လည်ပတ်ခြင်းဖြင့်၊ သင်သည် ပျမ်းမျှ RTT 70 - 80 မီလီစက္ကန့်ကို ရရှိပါသည်။ ဒီမှာလည်း ကြည့်လို့ရပါတယ်။ .
whois utility (ripe.net သို့မဟုတ် local utility တွင်) ကိုအသုံးပြု၍ block 37.52.0.0/21 သည် AS6849 (Ukrtelecom) မှဖြစ်ကြောင်း အလွယ်တကူဆုံးဖြတ်နိုင်သည်။
နောက်တစ်ခုက သွားမယ်။ AS6849 သည် AS12389 နှင့် ဆက်စပ်မှုမရှိသည်ကို သင်တွေ့မြင်ရသည် (၎င်းတို့သည် ဖောက်သည်များမဟုတ်ကြသလို တစ်ဦးနှင့်တစ်ဦး အချိတ်အဆက်မရှိကြသလို ၎င်းတို့တွင် ပေါင်းသင်းဆက်ဆံမှုလည်း မရှိပါ)။ ဒါပေမယ့် ကြည့်မယ်ဆိုရင် AS6849 အတွက်၊ ဥပမာ၊ AS29226 (Mastertel) နှင့် AS31133 (Megafon) ကိုတွေ့ရပါမည်။
ဤဝန်ဆောင်မှုပေးသူများ၏ကြည့်နေသည့်ဖန်ခွက်ကို သင်ရှာတွေ့ပြီးသည်နှင့် သင်သည် လမ်းကြောင်းနှင့် RTT ကို နှိုင်းယှဉ်နိုင်သည်။ ဥပမာအားဖြင့်၊ Mastertel RTT အတွက် 30 မီလီစက္ကန့်ခန့် ရှိလိမ့်မည်။
ထို့ကြောင့်၊ 80 နှင့် 30 မီလီစက္ကန့်ကြား ကွာခြားချက်သည် သင့်ဝန်ဆောင်မှုအတွက် အရေးကြီးပါက၊ ချိတ်ဆက်မှုအကြောင်း စဉ်းစားရန်၊ သင်၏ AS နံပါတ်၊ သင့်လိပ်စာပေါင်းကူးကန်ကို RIPE မှ ရယူပြီး အပိုလင့်ခ်များနှင့်/သို့မဟုတ် IXs တွင် ရှိနေသည့်နေရာများကို ဖန်တီးရန် လိုအပ်ပေမည်။
BGP ကို သင်အသုံးပြုသောအခါတွင်၊ သင်သည် ချိတ်ဆက်မှုကို မြှင့်တင်ရန် အခွင့်အလမ်းသာမက သင်၏အင်တာနက်ချိတ်ဆက်မှုကိုလည်း မလိုအပ်ဘဲ ထိန်းသိမ်းထားနိုင်သည်။
BGP ကို ပြင်ဆင်သတ်မှတ်ခြင်းအတွက် အကြံပြုချက်များ ပါဝင်သည်။ ဤအကြံပြုချက်များကို ပံ့ပိုးပေးသူများ၏ "အကောင်းဆုံးအလေ့အကျင့်" ပေါ်တွင် အခြေခံ၍ ရေးဆွဲထားသော်လည်း၊ (သင်၏ BGP ဆက်တင်များသည် အခြေခံမဟုတ်ပါက) ၎င်းတို့သည် သံသယဖြစ်ဖွယ်အသုံးဝင်ပြီး အမှန်တကယ်တွင် ကျွန်ုပ်တို့ ဆွေးနွေးခဲ့သည့် ခိုင်မာမှု၏ တစ်စိတ်တစ်ပိုင်းဖြစ်သင့်ပါသည်။ .
DOS/DDOS ကာကွယ်မှု
ယခုအခါ DOS/DDOS တိုက်ခိုက်မှုများသည် ကုမ္ပဏီများစွာအတွက် နေ့စဉ်လက်တွေ့ဖြစ်လာခဲ့သည်။ တကယ်တော့ သင်ဟာ ပုံစံတစ်မျိုးမဟုတ်တစ်မျိုးနဲ့ တိုက်ခိုက်ခံရလေ့ရှိပါတယ်။ ဤအချက်ကို သင်သတိမပြုမိသေးသည့်အချက်က သင့်အား ပစ်မှတ်ထားတိုက်ခိုက်ခြင်းအား မစီစဉ်ရသေးကြောင်း ဆိုလိုခြင်းဖြစ်ပြီး သင်အသုံးပြုသည့် ကာကွယ်မှုအစီအမံများ (လည်ပတ်မှုစနစ်များ၏ အမျိုးမျိုးသော built-in အကာအကွယ်များ) သည်ပင် လုံလောက်သည်ဟု ဆိုလိုခြင်းဖြစ်သည်။ သင်နှင့် သင့်ဖောက်သည်များအတွက် ပေးဆောင်ထားသော ဝန်ဆောင်မှု၏ ပျက်စီးယိုယွင်းမှုကို အနည်းဆုံးဖြစ်အောင် သေချာအောင်လုပ်ပါ။
စက်ပစ္စည်းမှတ်တမ်းများကို အခြေခံ၍ လှပသော တိုက်ခိုက်ရေးမြေပုံများကို အချိန်နှင့်တပြေးညီရေးဆွဲနိုင်သော အင်တာနက်အရင်းအမြစ်များရှိပါသည်။
၎င်းတို့ထံ လင့်ခ်များကို သင်ရှာနိုင်သည်။
အချစ် CheckPoint မှ
DDOS/DOS ကို ကာကွယ်ခြင်းသည် များသောအားဖြင့် အလွှာတစ်ခုဖြစ်သည်။ အဘယ်ကြောင့်ဆိုသော် နားလည်ရန် DOS/DDOS တိုက်ခိုက်မှု အမျိုးအစားများကို နားလည်ရန် လိုအပ်သည် (ဥပမာ၊ ကြည့်ပါ၊ သို့မဟုတ် )
ဆိုလိုသည်မှာ ကျွန်ုပ်တို့တွင် တိုက်ခိုက်မှုသုံးမျိုးရှိသည်။
- volumetric တိုက်ခိုက်မှုများ
- protocol တိုက်ခိုက်မှုများ
- လျှောက်လွှာတိုက်ခိုက်မှု
ဥပမာ၊ firewalls ကိုအသုံးပြုပြီး နောက်ဆုံး တိုက်ခိုက်မှု နှစ်မျိုးမှ သင့်ကိုယ်သင် ကာကွယ်နိုင်ပါက၊ သင်၏ uplinks များကို “လွှမ်းမိုး” စေရန် ရည်ရွယ်သော တိုက်ခိုက်မှုများမှ သင့်ကိုယ်သင် ကာကွယ်နိုင်မည် မဟုတ်ပါ။ သို့မဟုတ် ဆယ်တီရီဘစ်ဖြင့် ပိုကောင်းသည်)။
ထို့ကြောင့်၊ ပထမကာကွယ်ရေးလိုင်းသည် "volumetric" တိုက်ခိုက်မှုများကို ကာကွယ်ခြင်းဖြစ်ပြီး သင်၏ဝန်ဆောင်မှုပေးသူ သို့မဟုတ် ဝန်ဆောင်မှုပေးသူများသည် သင့်အား ဤအကာအကွယ်ကို ပေးရပါမည်။ ဒါကို သင်မသိသေးရင် အခုအချိန်မှာ သင်ကံကောင်းနေပါပြီ။
နမူနာ
သင့်တွင် အချိတ်အဆက်များစွာ ရှိသည်ဟု ဆိုပါစို့၊ သို့သော် ဝန်ဆောင်မှုပေးသူ တစ်ဦးတည်းက သင့်အား ဤအကာအကွယ်ကို ပေးစွမ်းနိုင်ပါသည်။ သို့သော် အသွားအလာအားလုံးသည် ဝန်ဆောင်မှုပေးသူတစ်ခုတည်းမှတစ်ဆင့် ဖြတ်သန်းသွားပါက၊ အစောပိုင်းက ကျွန်ုပ်တို့ အကျဉ်းချုံးဆွေးနွေးခဲ့သည့် ချိတ်ဆက်မှုနှင့်ပတ်သက်၍ကော။
ဤကိစ္စတွင်၊ သင်သည် တိုက်ခိုက်မှုအတွင်း ချိတ်ဆက်မှုကို တစ်စိတ်တစ်ပိုင်း စွန့်လွှတ်ရမည်ဖြစ်သည်။ ဒါပေမယ့်
- ဤသည်မှာ တိုက်ခိုက်မှုကြာချိန်အတွက်သာဖြစ်သည်။ တိုက်ခိုက်မှုတစ်ခုဖြစ်ပွားသောအခါ၊ သင်သည် "ထီး" ကိုပေးဆောင်ပေးသော ဝန်ဆောင်မှုပေးသူမှတဆင့်သာ အသွားအလာများသွားနိုင်ရန် BGP ကို ကိုယ်တိုင် သို့မဟုတ် အလိုအလျောက် ပြင်ဆင်သတ်မှတ်နိုင်သည်။ တိုက်ခိုက်မှုပြီးသွားသောအခါ၊ သင်သည် ၎င်း၏ယခင်အခြေအနေသို့ လမ်းကြောင်းပြန်သွားနိုင်သည်။
- အသွားအလာအားလုံးကို လွှဲပြောင်းရန် မလိုအပ်ပါ။ ဥပမာအားဖြင့်၊ အချို့သော uplinks များ သို့မဟုတ် peering များမှတဆင့် တိုက်ခိုက်မှုများမရှိဟု သင်မြင်ပါက (သို့မဟုတ် traffic သည် သိသာထင်ရှားခြင်းမရှိပါ)၊ သင်သည် ဤ BGP အိမ်နီးချင်းများအတွက် ပြိုင်ဆိုင်မှုရှိသော attribute များဖြင့် ရှေ့ဆက်ကြော်ငြာများကို ဆက်လက်ကြော်ငြာနိုင်ပါသည်။
"ပရိုတိုကော တိုက်ခိုက်မှုများ" နှင့် "အပလီကေးရှင်းတိုက်ခိုက်မှုများ" တို့မှ အကာအကွယ်ကို သင့်လုပ်ဖော်ကိုင်ဖက်များသို့လည်း လွှဲအပ်နိုင်ပါသည်။
ဒီမှာ လေ့လာဖတ်ရှုနိုင်ပါသည် () မှန်ပါသည်၊ ဆောင်းပါးသည် နှစ်နှစ်ကျော်ရှိပြီဖြစ်သော်လည်း DDOS တိုက်ခိုက်မှုများမှ သင့်ကိုယ်သင် ကာကွယ်နိုင်ပုံနှင့်ပတ်သက်၍ ချဉ်းကပ်နည်းများကို အကြံဉာဏ်ပေးပါမည်။
မူအရ၊ သင်၏အကာအကွယ်ကို လုံးလုံးလျားလျား ပြင်ပမှ ရယူခြင်းဖြင့် ဤအရာကို သင်ကိုယ်တိုင် ကန့်သတ်နိုင်သည်။ ဒီဆုံးဖြတ်ချက်အတွက် အားသာချက်တွေရှိပေမယ့် သိသာထင်ရှားတဲ့ အားနည်းချက်တစ်ခုလည်း ရှိပါတယ်။ အမှန်မှာ ကျွန်ုပ်တို့သည် လုပ်ငန်း၏ရှင်သန်မှုအကြောင်း (သင့်ကုမ္ပဏီ၏လုပ်ဆောင်မှုအပေါ်မူတည်၍) ထပ်မံပြောဆိုနိုင်ပါသည်။ ဒီလိုအရာတွေကို ပြင်ပအဖွဲ့အစည်းတွေကို ယုံကြည်ပါ...
ထို့ကြောင့်၊ ဒုတိယနှင့် တတိယ ကာကွယ်ရေးလိုင်းများ (ပံ့ပိုးပေးသူထံမှ အကာအကွယ်အပြင်) ကို မည်သို့ စုစည်းရမည်ကို လေ့လာကြည့်ကြပါစို့။
ထို့ကြောင့်၊ ဒုတိယကာကွယ်ရေးလိုင်းသည် သင့်ကွန်ရက်ဝင်ပေါက်တွင် ယာဉ်ကြောကန့်သတ်သူများ (ရဲများ) ကို စစ်ထုတ်ခြင်းဖြစ်ပါသည်။
ဥပမာအား 1
ပံ့ပိုးပေးသူတစ်ဦး၏အကူအညီဖြင့် သင်သည် DDOS ကို ထီးဖြင့်ဖုံးအုပ်ထားသည်ဟု ယူဆကြပါစို့။ ဤဝန်ဆောင်မှုပေးသူသည် ၎င်း၏ကွန်ရက်အစွန်းရှိ အသွားအလာများကို စစ်ထုတ်ရန်နှင့် စစ်ထုတ်ရန် Arbor ကို အသုံးပြုသည်ဟု ယူဆကြပါစို့။
Arbor လုပ်နိုင်သည့် bandwidth သည် အကန့်အသတ်ရှိပြီး၊ သေချာသည်မှာ ဝန်ဆောင်မှုပေးသူက ဤဝန်ဆောင်မှုကို filtering ကိရိယာများမှတစ်ဆင့် မှာယူသော ၎င်း၏လုပ်ဖော်ကိုင်ဖက်များအားလုံး၏ အသွားအလာကို အဆက်မပြတ်မဖြတ်သန်းနိုင်ပါ။ ထို့ကြောင့် ပုံမှန်အခြေအနေအရ ယာဉ်ကြောပိတ်ဆို့မှုကို မပြုလုပ်ရပါ။
SYN ရေလွှမ်းမိုးမှုတိုက်ခိုက်မှုတစ်ခုရှိနေသည်ဟုယူဆကြပါစို့။ တိုက်ခိုက်မှုတစ်ခုဖြစ်ပွားသည့်အချိန်တွင် အသွားအလာများကို စစ်ထုတ်ခြင်းသို့ အလိုအလျောက်ပြောင်းပေးသည့် ဝန်ဆောင်မှုကို သင်ခိုင်းထားသော်လည်း၊ ၎င်းသည် ချက်ချင်းမဖြစ်ပါ။ တစ်မိနစ် သို့မဟုတ် ထို့ထက်ပို၍ တိုက်ခိုက်ခံနေရသည်။ ၎င်းသည် သင့်စက်ကိရိယာများ ချို့ယွင်းမှု သို့မဟုတ် ဝန်ဆောင်မှုကို ပျက်စီးစေနိုင်သည်။ ဤအခြေအနေတွင်၊ edge routing တွင် အသွားအလာကန့်သတ်ခြင်းသည် ဤအချိန်အတွင်း TCP sessions အချို့ကို တည်ထောင်မည်မဟုတ်ဟူသောအချက်ကို ဦးတည်စေသော်လည်း၊ သင်၏အခြေခံအဆောက်အအုံကို ကြီးမားသောပြဿနာများမှ ကယ်တင်မည်ဖြစ်သည်။
ဥပမာအား 2
ပုံမှန်မဟုတ်သော SYN ပက်ကေ့ခ်ျများ အများအပြားသည် SYN ရေလွှမ်းမိုးမှုတိုက်ခိုက်မှု၏ ရလဒ်ဖြစ်နိုင်သည်မဟုတ်ပါ။ သင်သည် တစ်ပြိုင်နက် TCP ချိတ်ဆက်မှုပေါင်း 100 (ဒေတာစင်တာတစ်ခုသို့) ဝန်ဆောင်မှုတစ်ခုပေးသည်ဟု ယူဆကြပါစို့။
သင်၏အဓိကဝန်ဆောင်မှုပေးသူများအနက်မှ ရေတိုပြဿနာတစ်ခုကြောင့်၊ သင်၏ session တစ်ဝက်ကို စတင်လိုက်ပြီဟု ဆိုကြပါစို့။ အကယ်၍ သင့်လျှောက်လွှာကို နှစ်ခါမစဉ်းစားဘဲ၊ ၎င်းသည် ချက်ချင်း (သို့မဟုတ် အချိန်အတိုင်းအတာတစ်ခုအထိ တူညီသောအချိန်ကာလတစ်ခုပြီးနောက်) ချိတ်ဆက်မှုကို ပြန်လည်တည်ဆောက်ရန် ကြိုးစားပါက သင်သည် အနည်းဆုံး SYN ပက်ကေ့ခ်ျ 50 ခန့် ရရှိမည်ဖြစ်သည်။ တပြိုင်နက်တည်း
ဥပမာအားဖြင့်၊ သင်သည် ssl/tls လက်ဆွဲနှုတ်ဆက်ခြင်းကို လုပ်ဆောင်ရန် လိုအပ်ပါက၊ လက်မှတ်များ လဲလှယ်ခြင်း ပါ၀င်သည် ၊ ထို့နောက် သင်၏ load balancer အတွက် အရင်းအမြစ်များ လျော့နည်းသွားခြင်း၏ ရှုထောင့်မှ ကြည့်ပါက၊ ၎င်းသည် ရိုးရှင်းသော "DDOS" ထက် ပိုမိုအားကောင်းလာမည်ဖြစ်ပါသည်။ SYN ရေလွှမ်းမိုး။ ချိန်ခွင်လျှာညှိသူများသည် ထိုသို့သောဖြစ်ရပ်များကို ကိုင်တွယ်သင့်သည်ဟု ထင်ရသော်လည်း... ကံမကောင်းစွာဖြင့်၊ ကျွန်ုပ်တို့သည် ထိုကဲ့သို့သော ပြဿနာနှင့် ရင်ဆိုင်နေကြရပါသည်။
ထို့အပြင် Edge Router မှ ရဲအရာရှိတစ်ဦးသည် ဤကိစ္စတွင် သင့်စက်ပစ္စည်းများကိုလည်း ကယ်တင်မည်ဖြစ်သည်။
DDOS/DOS ကို ကာကွယ်သည့် တတိယအဆင့်မှာ သင်၏ firewall ဆက်တင်များဖြစ်သည်။
ဤနေရာတွင် သင်သည် ဒုတိယအမျိုးအစားနှင့် တတိယအမျိုးအစားများ၏ တိုက်ခိုက်မှုနှစ်ခုလုံးကို ရပ်တန့်နိုင်သည်။ ယေဘူယျအားဖြင့်၊ firewall သို့ရောက်ရှိသည့်အရာအားလုံးကို ဤနေရာတွင် စစ်ထုတ်နိုင်ပါသည်။
ကောင်စီ
Firewall ကို တတ်နိုင်သမျှ နည်းပါးအောင် လုပ်ဆောင်ပေးပြီး ပထမ ကာကွယ်ရေး မျဉ်းနှစ်ကြောင်းကို တတ်နိုင်သမျှ စစ်ထုတ်ပါ။ အဲဒါဘာကြောင့်လဲ။
ဥပမာအားဖြင့်၊ သင့်ဆာဗာများ၏ လည်ပတ်မှုစနစ်သည် DDOS တိုက်ခိုက်မှုများကို မည်မျှခံနိုင်ရည်ရှိသည်ကို စစ်ဆေးရန် မတော်တဆဖြစ်ဖူးပါသလား၊ သင်သည် သင်၏ firewall ကို "သတ်" ခဲ့ပြီး ၎င်းကို 100 ရာခိုင်နှုန်းအထိ တင်ကာ ပုံမှန်ပြင်းထန်မှုဖြင့် traffic ? မဟုတ်ရင် သင်မကြိုးစားရသေးလို့ ဖြစ်နိုင်ပါတယ်။
ယေဘူယျအားဖြင့်၊ ငါပြောခဲ့သည့်အတိုင်း firewall သည် ရှုပ်ထွေးသော အရာဖြစ်ပြီး ၎င်းသည် သိထားသော အားနည်းချက်များနှင့် စမ်းသပ်ထားသော ဖြေရှင်းချက်များနှင့် ကောင်းမွန်စွာအလုပ်လုပ်သော်လည်း ပုံမှန်မဟုတ်သောအရာတစ်ခုခုကို ပေးပို့ပါက၊ အချို့သော အမှိုက်များ သို့မဟုတ် ပက်ကေ့ခ်ျများ မမှန်ကန်သော ခေါင်းစီးများပါရှိသော အချို့သော အမှိုက်များ သို့မဟုတ် ပက်ကေ့ခ်ျများသည် သင်နှင့်အတူရှိနေသည်မဟုတ်ပေ။ ထိုကဲ့သို့သော ဖြစ်နိုင်ခြေအနည်းငယ် (ကျွန်ုပ်၏ အတွေ့အကြုံအပေါ် အခြေခံ၍) သင်သည် ထိပ်တန်းစက်ပစ္စည်းများကိုပင် ရူးသွပ်သွားစေနိုင်သည်။ ထို့ကြောင့်၊ အဆင့် 2 တွင်၊ ပုံမှန် ACLs (L3/L4 အဆင့်တွင်) ကို အသုံးပြု၍ ထိုနေရာသို့ ဝင်သင့်သော သင့်ကွန်ရက်ထဲသို့ အသွားအလာကိုသာ ခွင့်ပြုပါ။
Firewall တွင် traffic ကို စစ်ထုတ်ခြင်း။
Firewall အကြောင်း စကားဝိုင်းကို ဆက်ကြည့်ရအောင်။ DOS/DDOS တိုက်ခိုက်မှုများသည် ဆိုက်ဘာတိုက်ခိုက်မှု အမျိုးအစားတစ်ခုသာဖြစ်ကြောင်း နားလည်ထားရန် လိုအပ်ပါသည်။
DOS/DDOS ကာကွယ်မှုအပြင်၊ ကျွန်ုပ်တို့တွင် အောက်ပါအင်္ဂါရပ်များစာရင်းကဲ့သို့သော အရာတစ်ခုလည်း ရှိနိုင်သည်-
- လျှောက်လွှာ firewalling
- ခြိမ်းခြောက်မှုကာကွယ်ခြင်း (အင်တီဗိုင်းရပ်စ်၊ Spyware နှင့် အားနည်းချက်)
- URL စစ်ထုတ်ခြင်း။
- ဒေတာစစ်ထုတ်ခြင်း (အကြောင်းအရာ စစ်ထုတ်ခြင်း)
- ဖိုင်ပိတ်ဆို့ခြင်း (ဖိုင်အမျိုးအစားများကို ပိတ်ဆို့ခြင်း)
ဤစာရင်းမှ သင်လိုအပ်သည်များကို ဆုံးဖြတ်ရန် သင့်အပေါ်တွင် မူတည်သည်။
ဆက်ခံရဖို့
source: www.habr.com