ప్రోహోస్టర్ > బ్లాగ్ > పరిపాలన > మీ నెట్వర్క్ ఇన్ఫ్రాస్ట్రక్చర్ను ఎలా నియంత్రించాలి. అధ్యాయం మూడు. నెట్వర్క్ భద్రత. రెండవ భాగం
మీ నెట్వర్క్ ఇన్ఫ్రాస్ట్రక్చర్ను ఎలా నియంత్రించాలి. అధ్యాయం మూడు. నెట్వర్క్ భద్రత. రెండవ భాగం
ఈ కథనం “మీ నెట్వర్క్ ఇన్ఫ్రాస్ట్రక్చర్ను ఎలా నియంత్రించాలి” సిరీస్లో నాల్గవది. సిరీస్లోని అన్ని కథనాల కంటెంట్లు మరియు లింక్లను కనుగొనవచ్చు ఇక్కడ.
В మొదటి భాగం ఈ అధ్యాయంలో, మేము డేటా సెంటర్ విభాగంలో నెట్వర్క్ భద్రతకు సంబంధించిన కొన్ని అంశాలను పరిశీలించాము. ఈ భాగం "ఇంటర్నెట్ యాక్సెస్" విభాగానికి అంకితం చేయబడుతుంది.
ఇంటర్నెట్ సదుపాయం
డేటా నెట్వర్క్ల ప్రపంచంలో భద్రత అంశం నిస్సందేహంగా అత్యంత సంక్లిష్టమైన అంశాలలో ఒకటి. మునుపటి సందర్భాలలో వలె, లోతు మరియు పరిపూర్ణతను క్లెయిమ్ చేయకుండా, నేను ఇక్కడ చాలా సరళంగా పరిగణిస్తాను, కానీ, నా అభిప్రాయం ప్రకారం, ముఖ్యమైన ప్రశ్నలు, సమాధానాలు మీ నెట్వర్క్ యొక్క భద్రతా స్థాయిని పెంచడంలో సహాయపడతాయని నేను ఆశిస్తున్నాను.
ఈ విభాగాన్ని ఆడిట్ చేస్తున్నప్పుడు, ఈ క్రింది అంశాలకు శ్రద్ధ వహించండి:
డిజైన్
BGP సెట్టింగ్లు
DOS/DDOS రక్షణ
ఫైర్వాల్పై ట్రాఫిక్ ఫిల్టరింగ్
డిజైన్
ఎంటర్ప్రైజ్ నెట్వర్క్ కోసం ఈ సెగ్మెంట్ రూపకల్పనకు ఉదాహరణగా, నేను సిఫార్సు చేస్తాను గైడ్ లోపల సిస్కో నుండి సురక్షిత నమూనాలు.
వాస్తవానికి, బహుశా ఇతర విక్రేతల పరిష్కారం మీకు మరింత ఆకర్షణీయంగా కనిపిస్తుంది (చూడండి. గార్ట్నర్ క్వాడ్రంట్ 2018), కానీ ఈ డిజైన్ను వివరంగా అనుసరించమని మిమ్మల్ని ప్రోత్సహించకుండా, దాని వెనుక ఉన్న సూత్రాలు మరియు ఆలోచనలను అర్థం చేసుకోవడం నాకు ఇప్పటికీ ఉపయోగకరంగా ఉంది.
వ్యాఖ్య
SAFEలో, "రిమోట్ యాక్సెస్" సెగ్మెంట్ "ఇంటర్నెట్ యాక్సెస్" విభాగంలో భాగం. కానీ ఈ కథనాల శ్రేణిలో మేము దానిని విడిగా పరిశీలిస్తాము.
ఎంటర్ప్రైజ్ నెట్వర్క్ కోసం ఈ విభాగంలోని ప్రామాణిక పరికరాల సెట్
సరిహద్దు రౌటర్లు
ఫైర్వాల్లు
వ్యాఖ్య 1
ఈ కథనాల శ్రేణిలో, నేను ఫైర్వాల్ల గురించి మాట్లాడేటప్పుడు, నా ఉద్దేశ్యం NGFW.
వ్యాఖ్య 2
నేను L2/L1 కనెక్టివిటీని నిర్ధారించడానికి అవసరమైన వివిధ రకాల L2/L3 లేదా L1 పరిష్కారాలపై అతివ్యాప్తి L2 యొక్క పరిగణనను విస్మరిస్తాను మరియు L3 స్థాయి మరియు అంతకంటే ఎక్కువ ఉన్న సమస్యలకు మాత్రమే పరిమితం అవుతాను. పాక్షికంగా, L1/L2 సమస్యలు "అధ్యాయంలో చర్చించబడ్డాయి.క్లీనింగ్ మరియు డాక్యుమెంటేషన్".
మీరు ఈ విభాగంలో ఫైర్వాల్ను కనుగొనలేకపోతే, మీరు ముగింపులకు వెళ్లకూడదు.
లో ఉన్నట్లే చేద్దాం మునుపటి భాగంప్రశ్నతో ప్రారంభిద్దాం: మీ విషయంలో ఈ విభాగంలో ఫైర్వాల్ని ఉపయోగించడం అవసరమా?
ఫైర్వాల్లను ఉపయోగించడానికి మరియు సంక్లిష్టమైన ట్రాఫిక్ ఫిల్టరింగ్ అల్గారిథమ్లను వర్తింపజేయడానికి ఇది అత్యంత సమర్థనీయమైన స్థలం అని నేను చెప్పగలను. IN భాగం 1 డేటా సెంటర్ విభాగంలో ఫైర్వాల్ల వినియోగానికి ఆటంకం కలిగించే 4 అంశాలను మేము ప్రస్తావించాము. కానీ ఇక్కడ అవి అంత ముఖ్యమైనవి కావు.
ఉదాహరణకు 1. ఆలస్యం
ఇంటర్నెట్ విషయానికొస్తే, దాదాపు 1 మిల్లీసెకన్ల ఆలస్యం గురించి మాట్లాడటంలో అర్థం లేదు. అందువల్ల, ఈ విభాగంలో ఆలస్యం ఫైర్వాల్ వినియోగాన్ని పరిమితం చేసే అంశం కాదు.
ఉదాహరణకు 2. ఉత్పాదకత
కొన్ని సందర్భాల్లో ఈ అంశం ఇప్పటికీ ముఖ్యమైనది కావచ్చు. అందువల్ల, ఫైర్వాల్ను దాటవేయడానికి మీరు కొంత ట్రాఫిక్ను (ఉదాహరణకు, లోడ్ బ్యాలెన్సర్ల నుండి వచ్చే ట్రాఫిక్) అనుమతించవలసి ఉంటుంది.
ఉదాహరణకు 3. విశ్వసనీయత
ఈ అంశం ఇప్పటికీ పరిగణనలోకి తీసుకోవలసిన అవసరం ఉంది, అయితే ఇప్పటికీ, ఇంటర్నెట్ యొక్క అవిశ్వసనీయత కారణంగా, ఈ విభాగానికి దాని ప్రాముఖ్యత డేటా సెంటర్కు అంత ముఖ్యమైనది కాదు.
కాబట్టి, మీ సేవ http/https పైన (చిన్న సెషన్లతో) నివసిస్తుందని అనుకుందాం. ఈ సందర్భంలో, మీరు రెండు స్వతంత్ర పెట్టెలను (HA లేకుండా) ఉపయోగించవచ్చు మరియు వాటిలో ఒకదానితో రౌటింగ్ సమస్య ఉంటే, మొత్తం ట్రాఫిక్ను రెండవదానికి బదిలీ చేయండి.
లేదా మీరు ఫైర్వాల్లను పారదర్శక మోడ్లో ఉపయోగించవచ్చు మరియు అవి విఫలమైతే, సమస్యను పరిష్కరించేటప్పుడు ఫైర్వాల్ను దాటవేయడానికి ట్రాఫిక్ను అనుమతించండి.
అందువలన, చాలా మటుకు కేవలం ధర ఈ విభాగంలో ఫైర్వాల్ల వినియోగాన్ని వదిలివేయడానికి మిమ్మల్ని బలవంతం చేసే అంశం కావచ్చు.
ముఖ్యం!
ఈ ఫైర్వాల్ను డేటా సెంటర్ ఫైర్వాల్తో కలపడానికి టెంప్టేషన్ ఉంది (ఈ విభాగాల కోసం ఒక ఫైర్వాల్ని ఉపయోగించండి). పరిష్కారం, సూత్రప్రాయంగా, సాధ్యమే, కానీ మీరు అర్థం చేసుకోవాలి ఎందుకంటే ఇంటర్నెట్ యాక్సెస్ ఫైర్వాల్ వాస్తవానికి మీ రక్షణలో ముందంజలో ఉంది మరియు కనీసం కొన్ని హానికరమైన ట్రాఫిక్ను "తీసుకుంటుంది", అయితే, ఈ ఫైర్వాల్ నిలిపివేయబడే ప్రమాదాన్ని మీరు పరిగణనలోకి తీసుకోవాలి. అంటే, ఈ రెండు విభాగాలలో ఒకే పరికరాలను ఉపయోగించడం ద్వారా, మీరు మీ డేటా సెంటర్ సెగ్మెంట్ లభ్యతను గణనీయంగా తగ్గిస్తారు.
ఎప్పటిలాగే, కంపెనీ అందించే సేవపై ఆధారపడి, ఈ విభాగం రూపకల్పన చాలా తేడా ఉండవచ్చని మీరు అర్థం చేసుకోవాలి. ఎప్పటిలాగే, మీరు మీ అవసరాలను బట్టి విభిన్న విధానాలను ఎంచుకోవచ్చు.
ఉదాహరణకు
మీరు CDN నెట్వర్క్తో కంటెంట్ ప్రొవైడర్ అయితే (ఉదాహరణకు చూడండి, వ్యాసాల శ్రేణి), అప్పుడు మీరు ట్రాఫిక్ని రూటింగ్ మరియు ఫిల్టర్ చేయడం కోసం ప్రత్యేక పరికరాలను ఉపయోగించి డజన్ల కొద్దీ లేదా వందల సంఖ్యలో ఉనికిని కలిగి ఉన్న అంతటా మౌలిక సదుపాయాలను సృష్టించకూడదు. ఇది ఖరీదైనది, మరియు ఇది కేవలం అనవసరం కావచ్చు.
BGP కోసం మీరు తప్పనిసరిగా ప్రత్యేక రౌటర్లను కలిగి ఉండవలసిన అవసరం లేదు, మీరు వంటి ఓపెన్ సోర్స్ సాధనాలను ఉపయోగించవచ్చు క్వాగ్గా. కాబట్టి మీకు కావలసిందల్లా సర్వర్ లేదా అనేక సర్వర్లు, స్విచ్ మరియు BGP.
ఈ సందర్భంలో, మీ సర్వర్ లేదా అనేక సర్వర్లు CDN సర్వర్ మాత్రమే కాకుండా, రౌటర్ పాత్రను కూడా పోషిస్తాయి. వాస్తవానికి, ఇంకా చాలా వివరాలు ఉన్నాయి (బ్యాలెన్సింగ్ను ఎలా నిర్ధారించాలి వంటివి), కానీ ఇది చేయదగినది మరియు ఇది మేము మా భాగస్వాములలో ఒకరి కోసం విజయవంతంగా ఉపయోగించిన విధానం.
మీరు పూర్తి రక్షణతో (ఫైర్వాల్లు, మీ ఇంటర్నెట్ ప్రొవైడర్లు అందించే DDOS రక్షణ సేవలు) మరియు డజన్ల కొద్దీ లేదా వందల కొద్దీ "సరళీకృత" పాయింట్లతో L2 స్విచ్లు మరియు సర్వర్లతో అనేక డేటా సెంటర్లను కలిగి ఉండవచ్చు.
కానీ ఈ సందర్భంలో రక్షణ గురించి ఏమిటి?
ఉదాహరణకు, ఇటీవల జనాదరణ పొందిన వాటిని చూద్దాం DNS యాంప్లిఫికేషన్ DDOS దాడి. దీని ప్రమాదం ఏమిటంటే పెద్ద మొత్తంలో ట్రాఫిక్ ఏర్పడుతుంది, ఇది మీ అన్ని అప్లింక్లలో 100% "అడ్డుపడుతుంది".
మా డిజైన్ విషయంలో మనకు ఏమి ఉంది.
మీరు AnyCastని ఉపయోగిస్తే, ట్రాఫిక్ మీ ప్రెజెన్స్ పాయింట్ల మధ్య పంపిణీ చేయబడుతుంది. మీ మొత్తం బ్యాండ్విడ్త్ టెరాబిట్లు అయితే, ఇది వాస్తవంగా (అయితే, ఇటీవల టెరాబిట్ల క్రమంలో హానికరమైన ట్రాఫిక్తో అనేక దాడులు జరిగాయి) మిమ్మల్ని "ఓవర్ఫ్లోయింగ్" అప్లింక్ల నుండి రక్షిస్తుంది
అయితే, కొన్ని అప్లింక్లు మూసుకుపోయినట్లయితే, మీరు ఈ సైట్ను సేవ నుండి తీసివేయండి (ఉపసర్గ ప్రకటనలను ఆపండి)
మీరు మీ "పూర్తి" (మరియు, తదనుగుణంగా, రక్షిత) డేటా సెంటర్ల నుండి పంపబడిన ట్రాఫిక్ వాటాను కూడా పెంచుకోవచ్చు, తద్వారా అసురక్షిత ప్రదేశాల నుండి హానికరమైన ట్రాఫిక్లో గణనీయమైన భాగాన్ని తొలగిస్తుంది
మరియు ఈ ఉదాహరణకి మరో చిన్న గమనిక. మీరు IXల ద్వారా తగినంత ట్రాఫిక్ను పంపినట్లయితే, ఇది మీ అటువంటి దాడులకు హానిని కూడా తగ్గిస్తుంది
BGPని సెటప్ చేస్తోంది
ఇక్కడ రెండు అంశాలున్నాయి.
కనెక్టివిటీ
BGPని సెటప్ చేస్తోంది
మేము ఇప్పటికే కనెక్టివిటీ గురించి కొంచెం మాట్లాడాము భాగం 1. మీ కస్టమర్లకు ట్రాఫిక్ సరైన మార్గాన్ని అనుసరిస్తుందని నిర్ధారించుకోవడం ప్రధాన విషయం. ఆప్టిమాలిటీ అనేది ఎల్లప్పుడూ జాప్యం గురించి మాత్రమే కాదు, తక్కువ జాప్యం సాధారణంగా ఆప్టిమాలిటీకి ప్రధాన సూచిక. కొన్ని కంపెనీలకు ఇది చాలా ముఖ్యమైనది, మరికొన్నింటికి ఇది తక్కువ. ఇది మీరు అందించే సేవపై ఆధారపడి ఉంటుంది.
ఉదాహరణకు 1
మీరు మార్పిడి మరియు మిల్లీసెకన్ల కంటే తక్కువ సమయ విరామాలు మీ క్లయింట్లకు ముఖ్యమైనవి అయితే, వాస్తవానికి, ఎలాంటి ఇంటర్నెట్ గురించి మాట్లాడకూడదు.
ఉదాహరణకు 2
మీరు గేమింగ్ కంపెనీ అయితే మరియు పదుల మిల్లీసెకన్లు మీకు ముఖ్యమైనవి అయితే, మీకు కనెక్టివిటీ చాలా ముఖ్యం.
ఉదాహరణకు 3
TCP ప్రోటోకాల్ యొక్క లక్షణాల కారణంగా, ఒక TCP సెషన్లోని డేటా బదిలీ రేటు కూడా RTT (రౌండ్ ట్రిప్ సమయం)పై ఆధారపడి ఉంటుందని మీరు అర్థం చేసుకోవాలి. కంటెంట్ పంపిణీ సర్వర్లను ఈ కంటెంట్ వినియోగదారునికి దగ్గరగా తరలించడం ద్వారా ఈ సమస్యను పరిష్కరించడానికి CDN నెట్వర్క్లు కూడా నిర్మించబడుతున్నాయి.
కనెక్టివిటీ అధ్యయనం అనేది దాని స్వంత కథనం లేదా కథనాల శ్రేణికి అర్హమైనది మరియు ఇంటర్నెట్ “పనిచేస్తుంది” అనేదానిపై మంచి అవగాహన అవసరం.
మీ డేటా సెంటర్ మాస్కోలో ఉందని మరియు మీకు ఒకే అప్లింక్ ఉందని అనుకుందాం - Rostelecom (AS12389). ఈ సందర్భంలో (సింగిల్ హోమ్డ్) మీకు BGP అవసరం లేదు మరియు మీరు ఎక్కువగా Rostelecom నుండి అడ్రస్ పూల్ని పబ్లిక్ అడ్రస్లుగా ఉపయోగిస్తారు.
మీరు ఒక నిర్దిష్ట సేవను అందిస్తారని అనుకుందాం మరియు మీకు యుక్రెయిన్ నుండి తగినంత సంఖ్యలో క్లయింట్లు ఉన్నారు మరియు వారు సుదీర్ఘ జాప్యం గురించి ఫిర్యాదు చేస్తారు. మీ పరిశోధన సమయంలో, వాటిలో కొన్నింటి IP చిరునామాలు 37.52.0.0/21 గ్రిడ్లో ఉన్నాయని మీరు కనుగొన్నారు.
ట్రేసర్రూట్ను అమలు చేయడం ద్వారా, ట్రాఫిక్ AS1299 (టెలియా) గుండా వెళుతున్నట్లు మీరు చూశారు మరియు పింగ్ను అమలు చేయడం ద్వారా మీరు సగటున 70 - 80 మిల్లీసెకన్ల RTTని పొందారు. మీరు దీన్ని ఇక్కడ కూడా చూడవచ్చు గాజు Rostelecom చూస్తున్నారు.
whois యుటిలిటీని (ripe.net లేదా లోకల్ యుటిలిటీలో) ఉపయోగించి, బ్లాక్ 37.52.0.0/21 AS6849 (Ukrtelecom)కి చెందినదని మీరు సులభంగా గుర్తించవచ్చు.
తదుపరి, వెళ్లడం ద్వారా bgp.he.net AS6849కి AS12389తో ఎలాంటి సంబంధం లేదని మీరు చూస్తారు (వారు క్లయింట్లు కాదు లేదా ఒకరికొకరు అప్లింక్లు కాదు లేదా వారికి పీరింగ్ కూడా లేదు). కానీ చూస్తే సహచరుల జాబితా AS6849 కోసం, మీరు చూస్తారు, ఉదాహరణకు, AS29226 (Mastertel) మరియు AS31133 (Megafon).
మీరు ఈ ప్రొవైడర్ల లుకింగ్ గ్లాస్ని కనుగొన్న తర్వాత, మీరు మార్గం మరియు RTTని సరిపోల్చవచ్చు. ఉదాహరణకు, Mastertel RTT కోసం సుమారు 30 మిల్లీసెకన్లు ఉంటుంది.
కాబట్టి, మీ సేవకు 80 మరియు 30 మిల్లీసెకన్ల మధ్య వ్యత్యాసం ముఖ్యమైనది అయితే, బహుశా మీరు కనెక్టివిటీ గురించి ఆలోచించి, మీ AS నంబర్ని, RIPE నుండి మీ అడ్రస్ పూల్ను పొందండి మరియు అదనపు అప్లింక్లను కనెక్ట్ చేయండి మరియు/లేదా IXలలో ఉనికిని పాయింట్లను సృష్టించండి.
మీరు BGPని ఉపయోగించినప్పుడు, మీకు కనెక్టివిటీని మెరుగుపరచడానికి మాత్రమే అవకాశం ఉంటుంది, కానీ మీరు మీ ఇంటర్నెట్ కనెక్షన్ని అనవసరంగా నిర్వహించవచ్చు.
ఈ పత్రం BGPని కాన్ఫిగర్ చేయడానికి సిఫార్సులను కలిగి ఉంది. ఈ సిఫార్సులు ప్రొవైడర్ల "ఉత్తమ అభ్యాసం" ఆధారంగా అభివృద్ధి చేయబడినప్పటికీ, (మీ BGP సెట్టింగ్లు చాలా ప్రాథమికంగా లేకుంటే) అవి నిస్సందేహంగా ఉపయోగకరంగా ఉంటాయి మరియు వాస్తవానికి మేము చర్చించిన గట్టిపడటంలో భాగంగా ఉండాలి. మొదటి భాగం.
DOS/DDOS రక్షణ
ఇప్పుడు DOS/DDOS దాడులు చాలా కంపెనీలకు రోజువారీ వాస్తవంగా మారాయి. నిజానికి, మీరు ఒక రూపంలో లేదా మరొక రూపంలో చాలా తరచుగా దాడి చేయబడతారు. మీరు దీన్ని ఇంకా గమనించలేదంటే, మీపై లక్షిత దాడి ఇంకా నిర్వహించబడలేదని మరియు మీకు తెలియకుండానే మీరు ఉపయోగించే రక్షణ చర్యలు (ఆపరేటింగ్ సిస్టమ్ల యొక్క వివిధ అంతర్నిర్మిత రక్షణలు) సరిపోతాయని మాత్రమే అర్థం. మీకు మరియు మీ క్లయింట్లకు అందించబడిన సేవ యొక్క క్షీణత తగ్గించబడిందని నిర్ధారించుకోండి.
పరికరాల లాగ్ల ఆధారంగా నిజ సమయంలో అందమైన దాడి మ్యాప్లను గీసే ఇంటర్నెట్ వనరులు ఉన్నాయి.
DDOS/DOSకి వ్యతిరేకంగా రక్షణ సాధారణంగా పొరలుగా ఉంటుంది. ఎందుకు అని అర్థం చేసుకోవడానికి, మీరు ఏ రకమైన DOS/DDOS దాడులు ఉన్నాయో అర్థం చేసుకోవాలి (ఉదాహరణకు చూడండి, ఇక్కడ లేదా ఇక్కడ)
అంటే, మనకు మూడు రకాల దాడులు ఉన్నాయి:
వాల్యూమెట్రిక్ దాడులు
ప్రోటోకాల్ దాడులు
అప్లికేషన్ దాడులు
ఉదాహరణకు, ఫైర్వాల్లను ఉపయోగించి మీరు చివరి రెండు రకాల దాడుల నుండి మిమ్మల్ని మీరు రక్షించుకోగలిగితే, మీరు మీ అప్లింక్లను "అధికంగా" లక్ష్యంగా చేసుకునే దాడుల నుండి మిమ్మల్ని మీరు రక్షించుకోలేరు (వాస్తవానికి, మీ ఇంటర్నెట్ ఛానెల్ల మొత్తం సామర్థ్యాన్ని టెరాబిట్లలో లెక్కించకపోతే, లేదా ఇంకా మంచిది, పదుల టెరాబిట్లలో).
అందువల్ల, రక్షణ యొక్క మొదటి వరుస "వాల్యూమెట్రిక్" దాడుల నుండి రక్షణ, మరియు మీ ప్రొవైడర్ లేదా ప్రొవైడర్లు మీకు ఈ రక్షణను అందించాలి. మీరు దీన్ని ఇంకా గ్రహించకపోతే, ప్రస్తుతానికి మీరు అదృష్టవంతులు.
ఉదాహరణకు
మీకు అనేక అప్లింక్లు ఉన్నాయని అనుకుందాం, కానీ ప్రొవైడర్లలో ఒకరు మాత్రమే మీకు ఈ రక్షణను అందించగలరు. అయితే అన్ని ట్రాఫిక్లు ఒకే ప్రొవైడర్ ద్వారా వెళితే, మేము కొంచెం ముందుగా చర్చించిన కనెక్టివిటీ గురించి ఏమిటి?
ఈ సందర్భంలో, మీరు దాడి సమయంలో పాక్షికంగా కనెక్టివిటీని త్యాగం చేయాల్సి ఉంటుంది. కానీ
ఇది దాడి వ్యవధికి మాత్రమే. దాడి జరిగినప్పుడు, మీరు BGPని మాన్యువల్గా లేదా ఆటోమేటిక్గా రీకాన్ఫిగర్ చేయవచ్చు, తద్వారా ట్రాఫిక్ మీకు “గొడుగు”ని అందించే ప్రొవైడర్ ద్వారా మాత్రమే వెళ్తుంది. దాడి ముగిసిన తర్వాత, మీరు రూటింగ్ను దాని మునుపటి స్థితికి తిరిగి ఇవ్వవచ్చు
అన్ని ట్రాఫిక్లను బదిలీ చేయవలసిన అవసరం లేదు. ఉదాహరణకు, మీరు కొన్ని అప్లింక్లు లేదా పీరింగ్ల ద్వారా ఎటువంటి దాడులు లేవని (లేదా ట్రాఫిక్ ముఖ్యమైనది కాదు) మీరు చూసినట్లయితే, మీరు ఈ BGP పొరుగువారి పట్ల పోటీ లక్షణాలతో ప్రిఫిక్స్లను ప్రచారం చేయడం కొనసాగించవచ్చు.
మీరు మీ భాగస్వాములకు "ప్రోటోకాల్ దాడులు" మరియు "అప్లికేషన్ దాడులు" నుండి రక్షణను కూడా అప్పగించవచ్చు.
ఇక్కడ ఇక్కడ మీరు మంచి అధ్యయనాన్ని చదవగలరు (అనువాదం) నిజమే, కథనం రెండు సంవత్సరాల వయస్సులో ఉంది, అయితే ఇది DDOS దాడుల నుండి మిమ్మల్ని మీరు ఎలా రక్షించుకోవాలనే దానిపై మీకు ఒక ఆలోచనను ఇస్తుంది.
సూత్రప్రాయంగా, మీరు మీ రక్షణను పూర్తిగా అవుట్సోర్సింగ్ చేస్తూ దీనికి మిమ్మల్ని పరిమితం చేసుకోవచ్చు. ఈ నిర్ణయానికి ప్రయోజనాలు ఉన్నాయి, కానీ స్పష్టమైన ప్రతికూలత కూడా ఉంది. వాస్తవం ఏమిటంటే, మేము వ్యాపారం యొక్క మనుగడ గురించి (మళ్ళీ, మీ కంపెనీ చేసే పనిని బట్టి) మాట్లాడవచ్చు. మరియు అలాంటి వాటిని మూడవ పక్షాలకు విశ్వసించండి...
అందువల్ల, రక్షణ యొక్క రెండవ మరియు మూడవ పంక్తులను ఎలా నిర్వహించాలో చూద్దాం (ప్రొవైడర్ నుండి రక్షణకు అదనంగా).
కాబట్టి, మీ నెట్వర్క్ ప్రవేశద్వారం వద్ద వడపోత మరియు ట్రాఫిక్ పరిమితులు (పోలీసులు) రక్షణ యొక్క రెండవ పంక్తి.
ఉదాహరణకు 1
ప్రొవైడర్లలో ఒకరి సహాయంతో మీరు DDOSకి వ్యతిరేకంగా గొడుగుతో కప్పుకున్నారని అనుకుందాం. ఈ ప్రొవైడర్ తన నెట్వర్క్ అంచున ట్రాఫిక్ మరియు ఫిల్టర్లను ఫిల్టర్ చేయడానికి అర్బర్ని ఉపయోగిస్తుందని అనుకుందాం.
Arbor "ప్రాసెస్" చేయగల బ్యాండ్విడ్త్ పరిమితం చేయబడింది మరియు ప్రొవైడర్, ఫిల్టరింగ్ పరికరాల ద్వారా ఈ సేవను ఆర్డర్ చేసే దాని భాగస్వాములందరి ట్రాఫిక్ను నిరంతరం పాస్ చేయలేరు. అందువల్ల, సాధారణ పరిస్థితుల్లో, ట్రాఫిక్ ఫిల్టర్ చేయబడదు.
SYN వరద దాడి ఉందని అనుకుందాం. దాడి జరిగినప్పుడు ట్రాఫిక్ను ఆటోమేటిక్గా ఫిల్టరింగ్కి మార్చే సేవను మీరు ఆర్డర్ చేసినప్పటికీ, ఇది తక్షణమే జరగదు. ఒక నిమిషం లేదా అంతకంటే ఎక్కువ కాలం మీరు దాడిలో ఉంటారు. మరియు ఇది మీ పరికరాల వైఫల్యానికి లేదా సేవ యొక్క క్షీణతకు దారితీస్తుంది. ఈ సందర్భంలో, ఎడ్జ్ రూటింగ్ వద్ద ట్రాఫిక్ను పరిమితం చేయడం, అయితే ఈ సమయంలో కొన్ని TCP సెషన్లు ఏర్పాటు చేయబడవు అనే వాస్తవానికి దారి తీస్తుంది, పెద్ద-స్థాయి సమస్యల నుండి మీ మౌలిక సదుపాయాలను సేవ్ చేస్తుంది.
ఉదాహరణకు 2
అసాధారణంగా పెద్ద సంఖ్యలో SYN ప్యాకెట్లు SYN వరద దాడి ఫలితంగా మాత్రమే ఉండకపోవచ్చు. మీరు ఏకకాలంలో సుమారు 100 వేల TCP కనెక్షన్లను (ఒక డేటా సెంటర్కు) కలిగి ఉండే సేవను అందిస్తున్నారని అనుకుందాం.
మీ ప్రధాన ప్రొవైడర్లలో ఒకరితో ఏర్పడిన స్వల్పకాలిక సమస్య ఫలితంగా, మీ సెషన్లలో సగం కిక్ చేయబడిందని చెప్పండి. మీ అప్లికేషన్ రెండుసార్లు ఆలోచించకుండా, వెంటనే (లేదా కొంత సమయం విరామం తర్వాత అన్ని సెషన్లకు ఒకే విధంగా ఉంటుంది) కనెక్షన్ని మళ్లీ స్థాపించడానికి ప్రయత్నించే విధంగా రూపొందించబడితే, మీరు కనీసం 50 వేల SYN ప్యాకెట్లను అందుకుంటారు. ఏకకాలంలో.
ఉదాహరణకు, మీరు ఈ సెషన్ల పైన ssl/tls హ్యాండ్షేక్ని అమలు చేయాల్సి ఉంటే, ఇందులో సర్టిఫికేట్ల మార్పిడి ఉంటుంది, అప్పుడు మీ లోడ్ బ్యాలెన్సర్ కోసం వనరులను తగ్గించే కోణం నుండి, ఇది సాధారణ కంటే చాలా బలమైన “DDOS” అవుతుంది. SYN వరద. బ్యాలెన్సర్లు ఇలాంటి ఈవెంట్లను నిర్వహించాలని అనిపించవచ్చు, కానీ... దురదృష్టవశాత్తు, మేము అలాంటి సమస్యను ఎదుర్కొంటున్నాము.
మరియు, వాస్తవానికి, ఎడ్జ్ రౌటర్లోని పోలీసు ఈ సందర్భంలో కూడా మీ పరికరాలను సేవ్ చేస్తుంది.
DDOS/DOS నుండి రక్షణ యొక్క మూడవ స్థాయి మీ ఫైర్వాల్ సెట్టింగ్లు.
ఇక్కడ మీరు రెండవ మరియు మూడవ రకాల రెండు దాడులను ఆపవచ్చు. సాధారణంగా, ఫైర్వాల్కు చేరే ప్రతిదాన్ని ఇక్కడ ఫిల్టర్ చేయవచ్చు.
కౌన్సిల్
ఫైర్వాల్కు వీలైనంత తక్కువ పనిని ఇవ్వడానికి ప్రయత్నించండి, రక్షణ యొక్క మొదటి రెండు పంక్తులలో వీలైనంత ఎక్కువ ఫిల్టర్ చేయండి. మరియు అందుకే.
మీ సర్వర్ల ఆపరేటింగ్ సిస్టమ్ DDOS దాడులకు ఎంత నిరోధకతను కలిగి ఉందో తనిఖీ చేయడానికి ట్రాఫిక్ని ఉత్పత్తి చేస్తున్నప్పుడు అనుకోకుండా మీకు ఎప్పుడైనా జరిగిందా, మీరు మీ ఫైర్వాల్ను "చంపారు", సాధారణ తీవ్రతతో ట్రాఫిక్తో 100 శాతానికి లోడ్ చేసారు ? కాకపోతే, మీరు ప్రయత్నించకపోవడమే దీనికి కారణం కావచ్చు?
సాధారణంగా, ఫైర్వాల్, నేను చెప్పినట్లుగా, సంక్లిష్టమైన విషయం, మరియు ఇది తెలిసిన దుర్బలత్వాలు మరియు పరీక్షించిన పరిష్కారాలతో బాగా పని చేస్తుంది, కానీ మీరు అసాధారణమైన వాటిని పంపితే, కొన్ని చెత్త లేదా ప్యాకెట్లను తప్పు హెడర్లతో పంపితే, మీరు కొన్నింటితో కాదు, వాటితో కాదు. ఇంత చిన్న సంభావ్యత (నా అనుభవం ఆధారంగా), మీరు టాప్-ఎండ్ పరికరాలను కూడా మూర్ఖంగా చేయవచ్చు. కాబట్టి, దశ 2 వద్ద, సాధారణ ACLలను (L3/L4 స్థాయిలో) ఉపయోగించి, మీ నెట్వర్క్లోకి ప్రవేశించే ట్రాఫిక్ను మాత్రమే అనుమతించండి.
ఫైర్వాల్పై ట్రాఫిక్ను ఫిల్టర్ చేస్తోంది
ఫైర్వాల్ గురించి సంభాషణను కొనసాగిద్దాం. DOS/DDOS దాడులు కేవలం ఒక రకమైన సైబర్ దాడి అని మీరు అర్థం చేసుకోవాలి.
DOS/DDOS రక్షణతో పాటు, మేము క్రింది లక్షణాల జాబితా వంటి వాటిని కూడా కలిగి ఉండవచ్చు:
అప్లికేషన్ ఫైర్వాల్లింగ్
ముప్పు నివారణ (యాంటీవైరస్, యాంటీ-స్పైవేర్ మరియు దుర్బలత్వం)
URL ఫిల్టరింగ్
డేటా ఫిల్టరింగ్ (కంటెంట్ ఫిల్టరింగ్)
ఫైల్ బ్లాకింగ్ (ఫైల్ రకాలు నిరోధించడం)
ఈ జాబితా నుండి మీకు ఏమి కావాలో నిర్ణయించుకోవడం మీ ఇష్టం.