ProHoster > බ්ලොග් > පරිපාලනය > ඔබගේ ජාල යටිතල පහසුකම් පාලනය කරන්නේ කෙසේද. තුන්වන පරිච්ඡේදය. ජාල ආරක්ෂාව. දෙවන කොටස

ඔබගේ ජාල යටිතල පහසුකම් පාලනය කරන්නේ කෙසේද. තුන්වන පරිච්ඡේදය. ජාල ආරක්ෂාව. දෙවන කොටස

මෙම ලිපිය "ඔබේ ජාල යටිතල පහසුකම් පාලනය කරන්නේ කෙසේද" යන ලිපි මාලාවේ සිව්වන ලිපියයි. ලිපි මාලාවේ සියලුම ලිපිවල අන්තර්ගතය සහ සබැඳි සොයා ගත හැක මෙහි.

В පළමු කොටස මෙම පරිච්ඡේදයේ දී, අපි දත්ත මධ්‍යස්ථාන අංශයේ ජාල ආරක්ෂාව පිළිබඳ සමහර පැති දෙස බැලුවෙමු. මෙම කොටස "අන්තර්ජාල ප්රවේශය" කොටස සඳහා කැප කරනු ලැබේ.

ඔබගේ ජාල යටිතල පහසුකම් පාලනය කරන්නේ කෙසේද. තුන්වන පරිච්ඡේදය. ජාල ආරක්ෂාව. දෙවන කොටස

අන්තර්ජාල පිවිසුම

ආරක්ෂාව පිළිබඳ මාතෘකාව දත්ත ජාල ලෝකයේ වඩාත්ම සංකීර්ණ මාතෘකා වලින් එකකි. පෙර අවස්ථා වලදී මෙන්, ගැඹුර සහ සම්පූර්ණත්වය ප්‍රකාශ නොකර, මම මෙහි ඉතා සරල ලෙස සලකා බලමි, නමුත්, මගේ මතය අනුව, වැදගත් ප්‍රශ්න, පිළිතුරු, ඔබේ ජාලයේ ආරක්ෂක මට්ටම ඉහළ නැංවීමට උපකාරී වනු ඇතැයි මම බලාපොරොත්තු වෙමි.

මෙම කොටස විගණනය කරන විට, පහත සඳහන් කරුණු කෙරෙහි අවධානය යොමු කරන්න:

  • නිර්මාණය
  • BGP සැකසුම්
  • DOS/DDOS ආරක්ෂාව
  • ෆයර්වෝල් මත රථවාහන පෙරහන

නිර්මාණ

ව්යවසාය ජාලයක් සඳහා මෙම කොටස සැලසුම් කිරීම සඳහා උදාහරණයක් ලෙස, මම නිර්දේශ කරමි නායකත්වය ඇතුළත සිස්කෝ වෙතින් ආරක්ෂිත මාදිලි.

ඇත්ත වශයෙන්ම, සමහර විට වෙනත් විකුණුම්කරුවන්ගේ විසඳුම ඔබට වඩාත් ආකර්ෂණීය වනු ඇත (බලන්න. Gartner Quadrant 2018), නමුත් මෙම සැලසුම විස්තරාත්මකව අනුගමනය කිරීමට ඔබව දිරිමත් නොකර, එහි පිටුපස ඇති මූලධර්ම සහ අදහස් තේරුම් ගැනීම මට තවමත් ප්‍රයෝජනවත් වේ.

සටහන

SAFE හි, "දුරස්ථ ප්‍රවේශ" කොටස "අන්තර්ජාල ප්‍රවේශ" කොටසේ කොටසකි. නමුත් මෙම ලිපි මාලාවේ අපි එය වෙන වෙනම සලකා බලමු.

ව්යවසාය ජාලයක් සඳහා මෙම කොටසෙහි සම්මත උපකරණ කට්ටලය වේ

  • මායිම් රවුටර
  • ගිනි පවුර

සටහන 1

මෙම ලිපි මාලාවේ, මම ෆයර්වෝල් ගැන කතා කරන විට, මම අදහස් කරන්නේ NGFW.

සටහන 2

L2/L1 සම්බන්ධතාව සහතික කිරීම සඳහා අවශ්‍ය විවිධ ආකාරයේ L2/L3 හෝ L1 විසඳුම් මත L2 ආවරණය කිරීම මම අත්හැර දමා L3 මට්ටමේ සහ ඉහළ ගැටලුවලට පමණක් සීමා කරමි. අර්ධ වශයෙන්, L1/L2 ගැටළු "" පරිච්ඡේදයේ සාකච්ඡා කරන ලදී.පිරිසිදු කිරීම සහ ලේඛනගත කිරීම«.

ඔබ මෙම කොටසෙහි ෆයර්වෝලයක් සොයාගෙන නොමැති නම්, ඔබ නිගමනවලට ඉක්මන් නොවිය යුතුය.

දී ඇති ආකාරයටම කරමු පෙර කොටසඅපි ප්‍රශ්නයෙන් පටන් ගනිමු: ඔබේ නඩුවේදී මෙම කොටසෙහි ෆයර්වෝලයක් භාවිතා කිරීම අවශ්‍යද?

ෆයර්වෝල් භාවිතා කිරීමට සහ සංකීර්ණ රථවාහන පෙරීමේ ඇල්ගොරිතම යෙදීමට මෙය වඩාත්ම සාධාරණ ස්ථානය බව මට පැවසිය හැකිය. තුල 1 කොටස දත්ත මධ්‍යස්ථාන අංශයේ ෆයර්වෝල් භාවිතයට බාධාවක් විය හැකි සාධක 4ක් අපි සඳහන් කළෙමු. නමුත් මෙහි ඒවා තවදුරටත් එතරම් වැදගත් නොවේ.

නිදසුනක් 1. ප්‍රමාදය

අන්තර්ජාලය සම්බන්ධයෙන් ගත් කල, මිලි තත්පර 1ක පමණ ප්‍රමාදයක් ගැන කතා කිරීමෙන් පලක් නැත. එබැවින්, මෙම කොටසෙහි ප්රමාදය ෆයර්වෝල් භාවිතය සීමා කරන සාධකයක් විය නොහැක.

නිදසුනක් 2. ඵලදායිතාව

සමහර අවස්ථාවලදී මෙම සාධකය තවමත් වැදගත් විය හැකිය. එමනිසා, ෆයර්වෝලය මඟ හැරීමට ඔබට යම් තදබදයකට (උදාහරණයක් ලෙස, load balancers වෙතින් වන තදබදය) ඉඩ දීමට සිදු විය හැක.

නිදසුනක් 3. විශ්වසනීයත්වය

මෙම සාධකය තවමත් සැලකිල්ලට ගත යුතුය, නමුත් තවමත්, අන්තර්ජාලයේම අවිශ්වාසය සැලකිල්ලට ගෙන, මෙම කොටස සඳහා එහි වැදගත්කම දත්ත මධ්යස්ථානය සඳහා තරම් වැදගත් නොවේ.

එබැවින්, ඔබගේ සේවාව http/https (කෙටි සැසි සමඟ) මත ජීවත් වේ යැයි උපකල්පනය කරමු. මෙම අවස්ථාවේදී, ඔබට ස්වාධීන පෙට්ටි දෙකක් (HA නොමැතිව) භාවිතා කළ හැකි අතර, ඒවායින් එකක් සමඟ මාර්ගගත කිරීමේ ගැටලුවක් තිබේ නම්, සියලු ගමනාගමනය දෙවන ස්ථානයට මාරු කරන්න.

නැතහොත් ඔබට විනිවිද පෙනෙන ආකාරයෙන් ෆයර්වෝල් භාවිතා කළ හැකි අතර, ඒවා අසාර්ථක වුවහොත්, ගැටළුව විසඳන අතරතුර ෆයර්වෝලය මඟ හැරීමට ගමනාගමනයට ඉඩ දෙන්න.

එමනිසා, බොහෝ විට හුදෙක් මිල මෙම කොටසෙහි ෆයර්වෝල් භාවිතය අත්හැරීමට ඔබට බල කරන සාධකය විය හැකිය.

වැදගත්!

මෙම ෆයර්වෝලය දත්ත මධ්‍යස්ථාන ෆයර්වෝලය සමඟ ඒකාබද්ධ කිරීමට පෙළඹීමක් ඇත (මෙම කොටස් සඳහා එක් ෆයර්වෝල් එකක් භාවිතා කරන්න). විසඳුම, ප්රතිපත්තිමය වශයෙන්, හැකි ය, නමුත් ඔබ එය තේරුම් ගත යුතුය අන්තර්ජාල ප්‍රවේශ ෆයර්වෝලයක් ඇත්ත වශයෙන්ම ඔබගේ ආරක්‍ෂාවෙහි ඉදිරියෙන්ම සිටින අතර අවම වශයෙන් ද්වේෂසහගත ගමනාගමනයෙන් සමහරක් "ගනියි", එසේ නම්, ඇත්ත වශයෙන්ම, මෙම ෆයර්වෝලය අක්‍රිය වීමේ වැඩි අවදානමක් ඔබ සැලකිල්ලට ගත යුතුය. එනම්, මෙම කොටස් දෙකෙහිම එකම උපාංග භාවිතා කිරීමෙන්, ඔබ ඔබේ දත්ත මධ්‍යස්ථාන අංශයේ පවතින බව සැලකිය යුතු ලෙස අඩු කරනු ඇත.

සෑම විටම මෙන්, සමාගම සපයන සේවාව අනුව, මෙම කොටසෙහි සැලසුම බොහෝ සෙයින් වෙනස් විය හැකි බව ඔබ තේරුම් ගත යුතුය. සෑම විටම මෙන්, ඔබේ අවශ්‍යතා අනුව ඔබට විවිධ ප්‍රවේශයන් තෝරා ගත හැකිය.

උදාහරණ:

ඔබ CDN ජාලයක් සහිත අන්තර්ගත සපයන්නෙකු නම් (බලන්න, උදාහරණයක් ලෙස, ලිපි මාලාව), එවිට ඔබට ගමනාගමනය මාර්ගගත කිරීම සහ පෙරීම සඳහා වෙනම උපාංග භාවිතා කරමින් දුසිම් ගනනක් හරහා යටිතල පහසුකම් නිර්මාණය කිරීමට අවශ්‍ය නොවනු ඇත. එය මිල අධික වනු ඇත, එය හුදෙක් අනවශ්ය විය හැකිය.

BGP සඳහා ඔබට කැපවූ රවුටර තිබීම අවශ්‍ය නොවේ, ඔබට විවෘත මූලාශ්‍ර මෙවලම් භාවිතා කළ හැක ක්වාග්ගා. එබැවින් ඔබට අවශ්‍ය වන්නේ සේවාදායකයක් හෝ සේවාදායක කිහිපයක්, ස්විචයක් සහ BGP පමණි.

මෙම අවස්ථාවේදී, ඔබේ සේවාදායකය හෝ සේවාදායකයන් කිහිපයක් CDN සේවාදායකයේ පමණක් නොව, රවුටරයක කාර්යභාරය ඉටු කළ හැකිය. ඇත්ත වශයෙන්ම, තවමත් බොහෝ විස්තර ඇත (සමතුලිත වීම සහතික කරන්නේ කෙසේද වැනි), නමුත් එය කළ හැකි අතර, එය අපගේ හවුල්කරුවෙකු සඳහා අප සාර්ථකව භාවිතා කර ඇති ප්‍රවේශයකි.

ඔබට සම්පූර්ණ ආරක්ෂාව සහිත දත්ත මධ්‍යස්ථාන කිහිපයක් (ෆයර්වෝල්, ඔබේ අන්තර්ජාල සපයන්නන් විසින් සපයනු ලබන DDOS ආරක්ෂණ සේවා) සහ L2 ස්විච සහ සර්වර් පමණක් සහිත දුසිම් ගනනක් හෝ "සරල" ස්ථාන සිය ගණනක් තිබිය හැක.

නමුත් මෙම නඩුවේ ආරක්ෂාව ගැන කුමක් කිව හැකිද?

උදාහරණයක් ලෙස, මෑතකදී ජනප්රියත්වය දෙස බලමු DNS වර්ධක DDOS ප්‍රහාරය. එහි අන්තරාය පවතින්නේ ඔබේ සියලු උඩුගත කිරීම් වලින් 100% ක් “අවහිර” කරන විශාල තදබදයක් ජනනය වීමයි.

අපගේ නිර්මාණය සම්බන්ධයෙන් අපට ඇත්තේ කුමක්ද.

  • ඔබ AnyCast භාවිතා කරන්නේ නම්, ඔබ සිටින ස්ථාන අතර ගමනාගමනය බෙදා හරිනු ලැබේ. ඔබේ සම්පූර්ණ කලාප පළල ටෙරාබිට් නම්, මෙය ඇත්ත වශයෙන්ම (කෙසේ වෙතත්, මෑතකදී ටෙරාබිට් අනුපිළිවෙලට අනිෂ්ට ගමනාගමනය සමඟ ප්‍රහාර කිහිපයක් සිදුවී ඇත) “පිටාර ගැලීම” උඩුගත කිරීම් වලින් ඔබව ආරක්ෂා කරයි.
  • කෙසේ වෙතත්, සමහර උඩුගත කිරීම් අවහිර වී ඇත්නම්, ඔබ මෙම වෙබ් අඩවිය සේවාවෙන් ඉවත් කරන්න (උපසර්ගය ප්‍රචාරණය කිරීම නවත්වන්න)
  • ඔබට ඔබේ “සම්පූර්ණ” (සහ, ඒ අනුව, ආරක්ෂිත) දත්ත මධ්‍යස්ථානවලින් එවන ගමනාගමනයේ කොටස වැඩි කළ හැකි අතර, එමඟින් අනාරක්ෂිත ස්ථානවලින් අනිෂ්ට ගමනාගමනයේ සැලකිය යුතු කොටසක් ඉවත් කළ හැකිය.

තවද මෙම උදාහරණයට තවත් කුඩා සටහනක්. ඔබ IX හරහා ප්‍රමාණවත් තදබදයක් යවන්නේ නම්, මෙයද එවැනි ප්‍රහාරවලට ඔබේ අවදානම අඩු කරයි

BGP වින්‍යාස කිරීම

මෙහි මාතෘකා දෙකක් ඇත.

  • සම්බන්ධතාවය
  • BGP වින්‍යාස කිරීම

අපි දැනටමත් සම්බන්ධතාවය ගැන ටිකක් කතා කර ඇත්තෙමු 1 කොටස. කාරණය වන්නේ ඔබේ ගනුදෙනුකරුවන් වෙත ගමනාගමනය ප්‍රශස්ත මාර්ගයක් අනුගමනය කරන බව සහතික කිරීමයි. ප්‍රශස්ත බව සැමවිටම ප්‍රමාදය පමණක් නොව, අඩු ප්‍රමාදය සාමාන්‍යයෙන් ප්‍රශස්ත බවේ ප්‍රධාන දර්ශකය වේ. සමහර සමාගම් සඳහා මෙය වඩා වැදගත් වන අතර අනෙක් අයට එය අඩු වේ. ඒ සියල්ල රඳා පවතින්නේ ඔබ සපයන සේවාව මත ය.

උදාහරණයක් 1

ඔබ හුවමාරුවක් නම් සහ මිලි තත්පර වලට වඩා අඩු කාල පරතරයන් ඔබේ ගනුදෙනුකරුවන්ට වැදගත් වේ නම්, ඇත්ත වශයෙන්ම, කිසිදු ආකාරයක අන්තර්ජාලයක් ගැන කතා කළ නොහැක.

උදාහරණයක් 2

ඔබ සූදු සමාගමක් නම් සහ මිලි තත්පර දස ගණනක් ඔබට වැදගත් නම්, ඇත්ත වශයෙන්ම, සම්බන්ධතාවය ඔබට ඉතා වැදගත් වේ.

උදාහරණයක් 3

TCP ප්‍රොටෝකෝලයේ ගුණාංග නිසා, එක් TCP සැසියක් තුළ දත්ත හුවමාරු අනුපාතය RTT (රවුන්ඩ් ට්‍රිප් වේලාව) මත රඳා පවතින බව ද ඔබ තේරුම් ගත යුතුය. අන්තර්ගත බෙදා හැරීමේ සේවාදායකයන් මෙම අන්තර්ගතයේ පාරිභෝගිකයා වෙතට ගෙන යාමෙන් මෙම ගැටළුව විසඳීම සඳහා CDN ජාල ද ගොඩනගා ඇත.

සම්බන්ධතාවය පිළිබඳ අධ්‍යයනය එහි ම රසවත් මාතෘකාවක් වන අතර, එහි ම ලිපියක් හෝ ලිපි මාලාවක් සඳහා සුදුසු වන අතර අන්තර්ජාලය “ක්‍රියා කරන” ආකාරය පිළිබඳ මනා අවබෝධයක් අවශ්‍ය වේ.

ප්රයෝජනවත් සම්පත්:

ඉදුණු.net
bgp.he.net

උදාහරණ:

මම පොඩි උදාහරණයක් විතරක් දෙන්නම්.

ඔබගේ දත්ත මධ්‍යස්ථානය මොස්කව්හි පිහිටා ඇති බව උපකල්පනය කරමු, ඔබට තනි උඩුගත කිරීමක් ඇත - Rostelecom (AS12389). මෙම අවස්ථාවේදී (තනි ගෙදර) ඔබට BGP අවශ්‍ය නොවන අතර, ඔබ බොහෝ විට Rostelecom වෙතින් ලිපින සංචිතය පොදු ලිපින ලෙස භාවිතා කරයි.

ඔබ යම් සේවාවක් සපයන බව උපකල්පනය කරමු, සහ ඔබට යුක්රේනයේ සිට ප්රමාණවත් ගනුදෙනුකරුවන් සංඛ්යාවක් සිටින අතර, ඔවුන් දිගු ප්රමාදයන් ගැන පැමිණිලි කරයි. ඔබේ පර්යේෂණය අතරතුර, ඔවුන්ගෙන් සමහරෙකුගේ IP ලිපින 37.52.0.0/21 ජාලකයේ ඇති බව ඔබට පෙනී ගියේය.

ට්‍රේසර්රූට් එකක් ධාවනය කිරීමෙන්, ට්‍රැෆික් එක AS1299 (ටෙලියා) හරහා යන බව ඔබ දුටු අතර, පිං එකක් ධාවනය කිරීමෙන් ඔබට සාමාන්‍ය RTT 70 - 80 මිලි තත්පර ලබා ඇත. ඔබට මෙය ද දැක ගත හැකිය පෙනුම වීදුරු Rostelecom.

whois උපයෝගීතාව (ripe.net හෝ දේශීය උපයෝගිතා) භාවිතා කරමින්, ඔබට 37.52.0.0/21 AS6849 (Ukrtelecom) ට අයත් බව පහසුවෙන් තීරණය කළ හැකිය.

ඊළඟට, වෙත යාමෙන් bgp.he.net AS6849 හට AS12389 සමඟ කිසිදු සම්බන්ධයක් නොමැති බව ඔබට පෙනේ (ඔවුන් සේවාදායකයින් හෝ එකිනෙකා වෙත සම්බන්ධ කිරීම් හෝ ඔවුන් සමඟ සම්බන්ධකම් නොමැත). හැබැයි බැලුවොත් සම වයසේ මිතුරන් ලැයිස්තුව AS6849 සඳහා, ඔබට පෙනෙනු ඇත, උදාහරණයක් ලෙස, AS29226 (Mastertel) සහ AS31133 (Megafon).

ඔබ මෙම සැපයුම්කරුවන්ගේ පෙනුමැති වීදුරුව සොයාගත් පසු, ඔබට මාර්ගය සහ RTT සංසන්දනය කළ හැකිය. උදාහරණයක් ලෙස, Mastertel RTT සඳහා මිලි තත්පර 30 ක් පමණ වේ.

එබැවින්, ඔබගේ සේවාව සඳහා මිලි තත්පර 80 සහ 30 අතර වෙනස සැලකිය යුතු නම්, සමහරවිට ඔබ සම්බන්ධතාවය ගැන සිතා බැලිය යුතුය, ඔබේ AS අංකය, ඔබේ ලිපින සංචිතය RIPE වෙතින් ලබාගෙන අමතර සම්බන්ධක සම්බන්ධ කිරීම සහ/හෝ IXs හි පවතින ලකුණු නිර්මාණය කිරීම.

ඔබ BGP භාවිතා කරන විට, ඔබට සම්බන්ධතාවය වැඩිදියුණු කිරීමට පමණක් නොව, ඔබගේ අන්තර්ජාල සම්බන්ධතාවය අනවශ්‍ය ලෙස පවත්වා ගැනීමටද ඔබට අවස්ථාව තිබේ.

මෙම ලේඛනය BGP වින්‍යාස කිරීම සඳහා නිර්දේශ අඩංගු වේ. මෙම නිර්දේශ සපයන්නන්ගේ "හොඳම භාවිතය" මත පදනම්ව සංවර්ධනය කර ඇතත්, කෙසේ වෙතත් (ඔබේ BGP සැකසුම් මුලික නොවේ නම්) ඒවා නිසැකවම ප්‍රයෝජනවත් වන අතර ඇත්ත වශයෙන්ම අප සාකච්ඡා කළ දැඩි කිරීමේ කොටසක් විය යුතුය. පළමු කොටස.

DOS/DDOS ආරක්ෂාව

දැන් DOS/DDOS ප්‍රහාර බොහෝ සමාගම් සඳහා එදිනෙදා යථාර්ථයක් වී ඇත. ඇත්ත වශයෙන්ම, ඔබට බොහෝ විට එක් ආකාරයකින් හෝ වෙනත් ආකාරයකින් පහර දෙනු ලැබේ. ඔබ මෙය තවමත් නොදැක්කා සේ සිටීමෙන් අදහස් වන්නේ ඔබට එරෙහිව ඉලක්කගත ප්‍රහාරයක් තවමත් සංවිධානය වී නොමැති බවත්, සමහර විට ඔබ නොදැනුවත්වම (මෙහෙයුම් පද්ධතිවල විවිධ ගොඩනඟන ලද ආරක්ෂණ) භාවිතා කරන ආරක්ෂණ ක්‍රම ප්‍රමාණවත් බවත්ය. ඔබ සහ ඔබේ ගනුදෙනුකරුවන් සඳහා සපයනු ලබන සේවාවේ පිරිහීම අවම කර ඇති බවට සහතික වන්න.

උපකරණ ලඝු-සටහන් මත පදනම්ව, තථ්‍ය කාලය තුළ අලංකාර ප්‍රහාරක සිතියම් අඳින අන්තර්ජාල සම්පත් තිබේ.

එය ඔබට ඒවාට සබැඳි සොයා ගත හැක.

මගේ ප්රියතම සිතියම CheckPoint වෙතින්.

DDOS/DOS වලට එරෙහිව ආරක්ෂාව සාමාන්යයෙන් ස්ථර වේ. ඇයි දැයි තේරුම් ගැනීමට, ඔබ DOS/DDOS ප්‍රහාර වර්ග මොනවාද යන්න තේරුම් ගත යුතුය (උදාහරණයක් ලෙස බලන්න, මෙහි හෝ මෙහි)

එනම්, අපට ප්‍රහාර වර්ග තුනක් ඇත:

  • පරිමාමිතික ප්රහාර
  • ප්රොටෝකෝල ප්රහාර
  • යෙදුම් ප්රහාර

උදාහරණයක් ලෙස, ෆයර්වෝල් භාවිතයෙන් ඔබට අවසන් ප්‍රහාර දෙකෙන් ඔබව ආරක්ෂා කර ගත හැකි නම්, ඔබේ උඩුගත කිරීම් “අතිශයින්” කිරීම අරමුණු කරගත් ප්‍රහාරවලින් ඔබට ඔබව ආරක්ෂා කර ගත නොහැක (ඇත්ත වශයෙන්ම, ඔබේ අන්තර්ජාල නාලිකා වල මුළු ධාරිතාව ටෙරාබිට් වලින් ගණනය නොකරන්නේ නම්, හෝ ඊට වඩා හොඳයි, ටෙරාබිට් දස ගණනකින්).

එබැවින්, පළමු ආරක්ෂක මාර්ගය "පරිමාමිතික" ප්රහාරයන්ගෙන් ආරක්ෂා වන අතර, ඔබේ සැපයුම්කරු හෝ සැපයුම්කරුවන් ඔබට මෙම ආරක්ෂාව සැපයිය යුතුය. ඔබ තවමත් මෙය තේරුම් ගෙන නොමැති නම්, ඔබ දැනට වාසනාවන්තයි.

උදාහරණ:

ඔබට ඉහළ සබැඳි කිහිපයක් ඇතැයි සිතමු, නමුත් ඔබට මෙම ආරක්ෂාව සැපයිය හැක්කේ එක් සපයන්නෙකුට පමණි. නමුත් සියලුම ගමනාගමනය එක් සැපයුම්කරුවෙකු හරහා ගියහොත්, අපි ටිකක් කලින් සාකච්ඡා කළ සම්බන්ධතාවය ගැන කුමක් කිව හැකිද?

මෙම අවස්ථාවේදී, ප්‍රහාරය අතරතුර ඔබට අර්ධ වශයෙන් සම්බන්ධතාවය කැප කිරීමට සිදුවනු ඇත. එහෙත්

  • මෙය ප්රහාරයේ කාලසීමාව සඳහා පමණි. ප්‍රහාරයකදී, ඔබට BGP අතින් හෝ ස්වයංක්‍රීයව නැවත වින්‍යාසගත කළ හැකි අතර එවිට ඔබට “කුඩය” සපයන සැපයුම්කරු හරහා පමණක් ගමනාගමනය සිදුවේ. ප්‍රහාරය අවසන් වූ පසු, ඔබට මාර්ගගත කිරීම එහි පෙර තත්වයට ගෙන යා හැක
  • සියලුම ගමනාගමනය මාරු කිරීම අවශ්ය නොවේ. උදාහරණයක් ලෙස, ඔබ සමහර uplink හෝ peerings හරහා ප්‍රහාර නොමැති බව දකිනවා නම් (හෝ තදබදය සැලකිය යුතු නොවේ), ඔබට මෙම BGP අසල්වැසියන් වෙත තරඟකාරී ගුණාංග සහිත උපසර්ග ප්‍රචාරණය කිරීම දිගටම කරගෙන යා හැක.

ඔබට "ප්‍රොටෝකෝල ප්‍රහාර" සහ "යෙදුම් ප්‍රහාර" වලින් ආරක්ෂාව ඔබේ හවුල්කරුවන්ට පැවරිය හැක.
මෙහි මෙහි ඔබට හොඳ අධ්‍යයනයක් කියවිය හැකිය (පරිවර්තනයයි) ලිපිය අවුරුදු දෙකක් පැරණි බව ඇත්ත, නමුත් එය ඔබට DDOS ප්‍රහාරවලින් ආරක්ෂා විය හැකි ආකාරය පිළිබඳ ප්‍රවේශයන් පිළිබඳ අදහසක් ලබා දෙනු ඇත.

ප්‍රතිපත්තිමය වශයෙන්, ඔබට මෙය සීමා කළ හැකිය, ඔබේ ආරක්ෂාව සම්පූර්ණයෙන්ම බාහිරින් ලබා ගැනීම. මෙම තීරණයේ වාසි ඇත, නමුත් පැහැදිලි අවාසියක් ද ඇත. කාරණය නම් අපට ව්‍යාපාරයේ පැවැත්ම ගැන (නැවතත්, ඔබේ සමාගම කරන දේ අනුව) කතා කළ හැකිය. එවැනි දේවල් තුන්වන පාර්ශ්වයන්ට විශ්වාස කරන්න...

එමනිසා, දෙවන හා තෙවන ආරක්ෂක පේළි සංවිධානය කරන්නේ කෙසේදැයි බලමු (සැපයුම්කරුගෙන් ආරක්ෂාව සඳහා එකතු කිරීමක් ලෙස).

එබැවින්, දෙවන ආරක්ෂක පේළිය ඔබේ ජාලයට ඇතුල් වන ස්ථානයේ පෙරීම සහ රථවාහන සීමා කරන්නන් (පොලිස් නිලධාරීන්) වේ.

උදාහරණයක් 1

එක් සැපයුම්කරුවෙකුගේ සහාය ඇතිව ඔබ DDOS ට එරෙහිව කුඩයකින් ඔබ ආවරණය කර ඇති බව උපකල්පනය කරමු. මෙම සැපයුම්කරු එහි ජාලයේ කෙළවරේ ඇති තදබදය සහ පෙරහන් පෙරීමට Arbor භාවිතා කරන බව උපකල්පනය කරමු.

Arbor හට “ක්‍රියාවලි” කළ හැකි කලාප පළල සීමිත වන අතර, සැපයුම්කරුට, ඇත්ත වශයෙන්ම, පෙරීමේ උපකරණ හරහා මෙම සේවාව ඇණවුම් කරන එහි සියලුම හවුල්කරුවන්ගේ ගමනාගමනය නිරන්තරයෙන් සම්මත කළ නොහැක. එබැවින්, සාමාන්ය තත්ව යටතේ, ගමනාගමනය පෙරහන් නොකෙරේ.

අපි හිතමු SYN ගංවතුර ප්‍රහාරයක් තියෙනවා කියලා. ප්‍රහාරයකදී ස්වයංක්‍රීයව රථවාහන පෙරීමට මාරු කරන සේවාවක් ඔබ ඇණවුම් කළද, මෙය ක්ෂණිකව සිදු නොවේ. මිනිත්තුවක් හෝ ඊට වැඩි කාලයක් ඔබ ප්‍රහාරයට ලක්ව සිටින්න. තවද මෙය ඔබගේ උපකරණ අසාර්ථක වීමට හෝ සේවාව පිරිහීමට හේතු විය හැක. මෙම අවස්ථාවෙහිදී, අද්දර මාර්ගගත කිරීමේදී ගමනාගමනය සීමා කිරීම, මෙම කාලය තුළ සමහර TCP සැසි ස්ථාපිත නොකරනු ඇති බවට හේතු වනු ඇත, විශාල පරිමාණ ගැටළු වලින් ඔබේ යටිතල පහසුකම් සුරැකෙනු ඇත.

උදාහරණයක් 2

අසාමාන්‍ය ලෙස විශාල SYN පැකට් සංඛ්‍යාවක් SYN ගංවතුර ප්‍රහාරයක ප්‍රතිඵලයක් පමණක් නොවේ. ඔබට එකවර TCP සම්බන්ධතා 100 ක් පමණ (එක් දත්ත මධ්‍යස්ථානයකට) තිබිය හැකි සේවාවක් ඔබ සපයන බව උපකල්පනය කරමු.

ඔබේ ප්‍රධාන සැපයුම්කරුවෙකු සමඟ ඇති වූ කෙටි කාලීන ගැටලුවක ප්‍රතිඵලයක් ලෙස, ඔබේ සැසිවලින් අඩක් පයින් ගසා ඇති බව කියමු. ඔබගේ යෙදුම දෙවරක් නොසිතා, එය වහාම (හෝ සියලුම සැසි සඳහා එකම කාල පරතරයකින් පසුව) සම්බන්ධතාවය නැවත ස්ථාපිත කිරීමට උත්සාහ කරන ආකාරයට නිර්මාණය කර ඇත්නම්, එවිට ඔබට අවම වශයෙන් SYN පැකට් 50 ක් ලැබෙනු ඇත. එකවරම.

උදාහරණයක් ලෙස, ඔබට සහතික හුවමාරු කිරීම ඇතුළත් වන මෙම සැසිවලට ඉහළින් ssl/tls හෑන්ඩ්ෂේක් ධාවනය කළ යුතු නම්, ඔබේ load balancer සඳහා සම්පත් ක්ෂය කිරීමේ දෘෂ්ටි කෝණයෙන්, මෙය සරල එකකට වඩා ශක්තිමත් “DDOS” වනු ඇත. SYN ගංවතුර. සමතුලිතයින් එවැනි සිදුවීම් හැසිරවිය යුතු බව පෙනේ, නමුත් ... අවාසනාවකට මෙන්, අපි එවැනි ගැටලුවකට මුහුණ දී සිටිමු.

තවද, ඇත්ත වශයෙන්ම, එජ් රවුටරයේ පොලිස් නිලධාරියෙකු මෙම නඩුවේදීද ඔබේ උපකරණ සුරකිනු ඇත.

DDOS/DOS වලට එරෙහිව තුන්වන මට්ටමේ ආරක්ෂාව වන්නේ ඔබේ ෆයර්වෝල් සැකසුම් වේ.

මෙහිදී ඔබට දෙවන හා තෙවන වර්ගවල ප්රහාර දෙකම නතර කළ හැකිය. පොදුවේ, ෆයර්වෝල් වෙත ළඟා වන සෑම දෙයක්ම මෙහි පෙරීමට හැකිය.

ඉඟිය

ෆයර්වෝලයට හැකි තරම් කුඩා කාර්යයක් ලබා දීමට උත්සාහ කරන්න, පළමු ආරක්ෂක පේළි දෙකෙහි හැකි තරම් දුරට පෙරීම. සහ ඒ නිසයි.

ඔබට අහම්බෙන් සිදුවී තිබේද, උදාහරණයක් ලෙස, DDOS ප්‍රහාරවලට ඔබේ සර්වර් වල මෙහෙයුම් පද්ධතිය කෙතරම් ප්‍රතිරෝධීද යන්න පරීක්ෂා කිරීම සඳහා තදබදය ජනනය කරන අතරතුර, ඔබ ඔබේ ෆයර්වෝලය “මරා”, සාමාන්‍ය තීව්‍රතාවයෙන් රථවාහන සමඟ එය සියයට 100 දක්වා පටවා ඇත. ? එසේ නොවේ නම්, සමහර විට එය ඔබ උත්සාහ කර නැති නිසා විය හැකිද?

පොදුවේ ගත් කල, ෆයර්වෝල් එකක්, මා කී පරිදි, සංකීර්ණ දෙයක් වන අතර, එය දන්නා දුර්වලතා සහ පරීක්ෂා කළ විසඳුම් සමඟ හොඳින් ක්‍රියා කරයි, නමුත් ඔබ අසාමාන්‍ය දෙයක් යවන්නේ නම්, වැරදි ශීර්ෂයන් සහිත කුණු හෝ පැකට් කිහිපයක් යවන්නේ නම්, ඔබ සිටින්නේ සමහරක් සමඟ මිස සමඟ නොවේ. එවැනි කුඩා සම්භාවිතාවක් (මගේ අත්දැකීම් මත පදනම්ව), ඔබට ඉහළ මට්ටමේ උපකරණ පවා මෝඩ කළ හැකිය. එබැවින්, 2 වන අදියරේදී, සාමාන්‍ය ACL භාවිතා කරමින් (L3/L4 මට්ටමින්), ඔබේ ජාලයට ඇතුළු විය යුතු ගමනාගමනයට පමණක් ඉඩ දෙන්න.

ෆයර්වෝලයේ තදබදය පෙරීම

ගිනි පවුර ගැන සංවාදය දිගටම කරගෙන යමු. DOS/DDOS ප්‍රහාර යනු එක් සයිබර් ප්‍රහාරයක් පමණක් බව ඔබ තේරුම් ගත යුතුය.

DOS/DDOS ආරක්ෂාවට අමතරව, අපට පහත විශේෂාංග ලැයිස්තුවක් වැනි දෙයක් ද තිබිය හැක:

  • යෙදුම් ෆයර්වෝලින්
  • තර්ජන වැළැක්වීම (ප්‍රති-වයිරස, ප්‍රති-ඔත්තු මෘදුකාංග සහ අවදානම්)
  • URL පෙරීම
  • දත්ත පෙරීම (අන්තර්ගත පෙරහන)
  • ගොනු අවහිර කිරීම (ගොනු වර්ග අවහිර කිරීම)

මෙම ලැයිස්තුවෙන් ඔබට අවශ්‍ය දේ තීරණය කිරීම ඔබට භාරයි.

දිගටම කරගෙන යන්න

මූලාශ්රය: www.habr.com

අදහස් එක් කරන්න