บทความนี้เป็นบทความที่สี่ในชุด “วิธีควบคุมโครงสร้างพื้นฐานเครือข่ายของคุณ” เนื้อหาบทความทั้งหมดในซีรีส์และลิงก์ต่างๆ สามารถพบได้
В
การเข้าถึงอินเทอร์เน็ต
หัวข้อเรื่องความปลอดภัยถือเป็นหัวข้อที่ซับซ้อนที่สุดในโลกของเครือข่ายข้อมูลอย่างไม่ต้องสงสัย เช่นเดียวกับในกรณีก่อนหน้านี้ โดยไม่ต้องอ้างสิทธิ์ในเชิงลึกและครบถ้วน ฉันจะพิจารณาที่นี่ค่อนข้างง่าย แต่ในความคิดของฉัน คำถามสำคัญ คำตอบที่ฉันหวังว่าจะช่วยยกระดับความปลอดภัยของเครือข่ายของคุณ
เมื่อตรวจสอบส่วนนี้ ให้คำนึงถึงประเด็นต่อไปนี้:
- ออกแบบ
- การตั้งค่าบีจีพี
- การป้องกันดอส/DDOS
- การกรองการรับส่งข้อมูลบนไฟร์วอลล์
ออกแบบ
ฉันอยากจะแนะนำตัวอย่างการออกแบบเซ็กเมนต์นี้สำหรับเครือข่ายองค์กร
แน่นอนว่าบางทีวิธีแก้ปัญหาของผู้จำหน่ายรายอื่นอาจดูน่าสนใจสำหรับคุณมากกว่า (ดู
คำพูด
ใน SAFE ส่วน "การเข้าถึงระยะไกล" เป็นส่วนหนึ่งของส่วน "การเข้าถึงอินเทอร์เน็ต" แต่ในบทความชุดนี้เราจะพิจารณาแยกกัน
ชุดอุปกรณ์มาตรฐานในส่วนนี้สำหรับเครือข่ายองค์กรคือ
- เราเตอร์ชายแดน
- ไฟร์วอลล์
หมายเหตุ 1
ในบทความชุดนี้ ฉันหมายถึงเมื่อฉันพูดถึงไฟร์วอลล์
เอ็นจีเอฟดับบลิว .
หมายเหตุ 2
ฉันละเว้นการพิจารณาโซลูชัน L2/L1 หรือโอเวอร์เลย์ L2 บน L3 ประเภทต่างๆ ที่จำเป็นเพื่อให้แน่ใจว่ามีการเชื่อมต่อ L1/L2 และจำกัดตัวเองเฉพาะปัญหาในระดับ L3 ขึ้นไปเท่านั้น ประเด็น L1/L2 บางส่วนถูกกล่าวถึงในบท “
การทำความสะอาดและจัดทำเอกสาร "
หากคุณไม่พบไฟร์วอลล์ในส่วนนี้ คุณไม่ควรรีบด่วนสรุป
ลองทำแบบเดียวกับใน
ฉันสามารถพูดได้ว่านี่ดูเหมือนจะเป็นสถานที่ที่เหมาะสมที่สุดในการใช้ไฟร์วอลล์และใช้อัลกอริธึมการกรองการรับส่งข้อมูลที่ซับซ้อน ใน
1 ตัวอย่าง ความล่าช้า
เท่าที่เกี่ยวกับอินเทอร์เน็ต ไม่มีประโยชน์ที่จะพูดถึงความล่าช้าแม้แต่ประมาณ 1 มิลลิวินาที ดังนั้นความล่าช้าในส่วนนี้จึงไม่สามารถเป็นปัจจัยจำกัดการใช้ไฟร์วอลล์ได้
2 ตัวอย่าง การปฏิบัติ
ในบางกรณีปัจจัยนี้อาจยังมีนัยสำคัญ ดังนั้น คุณอาจต้องอนุญาตการรับส่งข้อมูลบางอย่าง (เช่น การรับส่งข้อมูลจากโหลดบาลานเซอร์) เพื่อเลี่ยงผ่านไฟร์วอลล์
3 ตัวอย่าง ความเชื่อถือได้
ปัจจัยนี้ยังต้องนำมาพิจารณาด้วย แต่ถึงกระนั้น เนื่องจากอินเทอร์เน็ตไม่น่าเชื่อถือ ความสำคัญของส่วนนี้ไม่สำคัญเท่ากับศูนย์ข้อมูล
สมมติว่าบริการของคุณทำงานบน http/https (ด้วยเซสชันสั้นๆ) ในกรณีนี้ คุณสามารถใช้สองกล่องแยกกัน (ไม่มี HA) และหากมีปัญหาการกำหนดเส้นทางกับกล่องใดกล่องหนึ่ง ให้โอนการรับส่งข้อมูลทั้งหมดไปยังกล่องที่สอง
หรือคุณสามารถใช้ไฟร์วอลล์ในโหมดโปร่งใส และหากล้มเหลว อนุญาตให้รับส่งข้อมูลข้ามไฟร์วอลล์ในขณะที่แก้ไขปัญหาได้
ดังนั้นน่าจะเพียง ราคา อาจเป็นปัจจัยที่จะบังคับให้คุณละทิ้งการใช้ไฟร์วอลล์ในส่วนนี้
ที่สำคัญ!
มีสิ่งล่อใจให้รวมไฟร์วอลล์นี้เข้ากับไฟร์วอลล์ศูนย์ข้อมูล (ใช้ไฟร์วอลล์เดียวสำหรับเซ็กเมนต์เหล่านี้) โดยหลักการแล้ววิธีแก้ปัญหาคือเป็นไปได้ แต่คุณต้องเข้าใจว่าเพราะว่า ไฟร์วอลล์การเข้าถึงอินเทอร์เน็ตเป็นแนวหน้าในการป้องกันของคุณและ "เข้าโจมตี" การรับส่งข้อมูลที่เป็นอันตรายอย่างน้อยบางส่วน ดังนั้นแน่นอนว่าคุณต้องคำนึงถึงความเสี่ยงที่เพิ่มขึ้นที่ไฟร์วอลล์นี้จะถูกปิดใช้งาน กล่าวคือ การใช้อุปกรณ์เดียวกันในสองส่วนนี้ คุณจะลดความพร้อมใช้งานของกลุ่มศูนย์ข้อมูลของคุณได้อย่างมาก
และเช่นเคย คุณต้องเข้าใจว่าการออกแบบของกลุ่มนี้อาจมีความแตกต่างกันอย่างมากทั้งนี้ขึ้นอยู่กับบริการที่บริษัทมอบให้ และเช่นเคย คุณสามารถเลือกแนวทางที่แตกต่างกันได้ตามความต้องการของคุณ
ตัวอย่าง
หากคุณเป็นผู้ให้บริการเนื้อหาที่มีเครือข่าย CDN (ดูตัวอย่าง
ชุดบทความ ) จากนั้น คุณอาจไม่ต้องการสร้างโครงสร้างพื้นฐานข้ามจุดแสดงตนหลายสิบหรือหลายร้อยจุดโดยใช้อุปกรณ์แยกกันสำหรับการกำหนดเส้นทางและกรองการรับส่งข้อมูล มันจะมีราคาแพงและอาจไม่จำเป็นเลยสำหรับ BGP คุณไม่จำเป็นต้องมีเราเตอร์เฉพาะ คุณสามารถใช้เครื่องมือโอเพ่นซอร์สได้ เช่น
กวักกา . ดังนั้นบางทีสิ่งที่คุณต้องการคือเซิร์ฟเวอร์หรือเซิร์ฟเวอร์หลายตัว สวิตช์และ BGPในกรณีนี้ เซิร์ฟเวอร์ของคุณหรือเซิร์ฟเวอร์หลายตัวสามารถไม่เพียงแต่เป็นเซิร์ฟเวอร์ CDN เท่านั้น แต่ยังเป็นเราเตอร์ด้วย แน่นอนว่ายังมีรายละเอียดอีกมาก (เช่น วิธีการสร้างความสมดุล) แต่ก็สามารถทำได้ และเป็นแนวทางที่เราใช้กับพันธมิตรรายหนึ่งของเราได้สำเร็จ
คุณสามารถมีศูนย์ข้อมูลหลายแห่งที่มีการป้องกันเต็มรูปแบบ (ไฟร์วอลล์ บริการป้องกัน DDOS จากผู้ให้บริการอินเทอร์เน็ตของคุณ) และมีจุดแสดงตนที่ “เรียบง่าย” นับสิบหรือหลายร้อยจุดด้วยสวิตช์และเซิร์ฟเวอร์ L2 เท่านั้น
แต่ความคุ้มครองในกรณีนี้ล่ะ?
ลองดูตัวอย่างที่ได้รับความนิยมเมื่อเร็ว ๆ นี้
การโจมตี DDOS ขยาย DNS . อันตรายอยู่ที่ความจริงที่ว่ามีการสร้างทราฟฟิกจำนวนมาก ซึ่งเพียงแค่ "อุดตัน" 100% ของอัปลิงก์ทั้งหมดของคุณเรามีอะไรในกรณีของการออกแบบของเรา
- หากคุณใช้ AnyCast การรับส่งข้อมูลจะถูกกระจายระหว่างจุดแสดงตนของคุณ หากแบนด์วิดท์ทั้งหมดของคุณเป็นเทราบิต สิ่งนี้ในตัวมันเอง (อย่างไรก็ตาม มีการโจมตีหลายครั้งที่มีการรับส่งข้อมูลที่เป็นอันตรายตามลำดับเทราบิต) จะปกป้องคุณจากการอัปลิงค์ที่ "ล้น"
- อย่างไรก็ตาม หากอัปลิงค์บางส่วนเกิดการอุดตัน คุณเพียงแค่ลบไซต์นี้ออกจากบริการ (หยุดโฆษณาคำนำหน้า)
- คุณยังสามารถเพิ่มส่วนแบ่งการรับส่งข้อมูลที่ส่งจากศูนย์ข้อมูล "เต็มรูปแบบ" ของคุณ (และได้รับการป้องกันตามนั้น) ได้ด้วย ซึ่งจะช่วยลบส่วนสำคัญของการรับส่งข้อมูลที่เป็นอันตรายออกจากจุดแสดงตนที่ไม่ได้รับการป้องกัน
และอีกข้อสังเกตเล็กๆ น้อยๆ อีกประการหนึ่งสำหรับตัวอย่างนี้ หากคุณส่งการรับส่งข้อมูลผ่าน IX เพียงพอ สิ่งนี้จะลดความเสี่ยงต่อการโจมตีดังกล่าวด้วย
การตั้งค่า BGP
มีสองหัวข้อที่นี่
- การเชื่อมต่อ
- การตั้งค่า BGP
เราได้พูดคุยกันเล็กน้อยเกี่ยวกับการเชื่อมต่อแล้ว
1 ตัวอย่าง
หากคุณเป็นตลาดแลกเปลี่ยน และช่วงเวลาน้อยกว่ามิลลิวินาทีมีความสำคัญต่อลูกค้าของคุณ แน่นอนว่าจะไม่มีการพูดถึงอินเทอร์เน็ตใดๆ เลย
2 ตัวอย่าง
หากคุณเป็นบริษัทเกมและเวลาหลายสิบมิลลิวินาทีมีความสำคัญต่อคุณ แน่นอนว่าการเชื่อมต่อมีความสำคัญต่อคุณมาก
3 ตัวอย่าง
คุณต้องเข้าใจด้วยว่า เนื่องจากคุณสมบัติของโปรโตคอล TCP อัตราการถ่ายโอนข้อมูลภายในเซสชัน TCP หนึ่งเซสชันจึงขึ้นอยู่กับ RTT (Round Trip Time) ด้วย เครือข่าย CDN ยังถูกสร้างขึ้นเพื่อแก้ไขปัญหานี้ด้วยการย้ายเซิร์ฟเวอร์กระจายเนื้อหาให้ใกล้กับผู้บริโภคเนื้อหานี้มากขึ้น
การศึกษาเรื่องการเชื่อมต่อเป็นหัวข้อที่น่าสนใจในตัวเอง คุ้มค่ากับบทความหรือบทความชุดของตัวเอง และต้องอาศัยความเข้าใจที่ดีว่าอินเทอร์เน็ต “ทำงานอย่างไร”
แหล่งข้อมูลที่เป็นประโยชน์:
ตัวอย่าง
ผมจะยกตัวอย่างเล็กๆ น้อยๆ เพียงตัวอย่างเดียว
สมมติว่าศูนย์ข้อมูลของคุณตั้งอยู่ในมอสโก และคุณมีอัปลิงก์เดียว - Rostelecom (AS12389) ในกรณีนี้ (บ้านเดียว) คุณไม่จำเป็นต้องใช้ BGP และคุณมักจะใช้กลุ่มที่อยู่จาก Rostelecom เป็นที่อยู่สาธารณะ
สมมติว่าคุณให้บริการบางอย่าง และคุณมีลูกค้าจากยูเครนในจำนวนเพียงพอ และพวกเขาบ่นว่าเกิดความล่าช้าเป็นเวลานาน ในระหว่างการวิจัย คุณพบว่าที่อยู่ IP ของบางส่วนอยู่ในตาราง 37.52.0.0/21
เมื่อเรียกใช้ Traceroute คุณจะเห็นว่าการรับส่งข้อมูลกำลังผ่าน AS1299 (Telia) และเมื่อเรียกใช้ Ping คุณจะได้ RTT เฉลี่ย 70 - 80 มิลลิวินาที คุณสามารถดูสิ่งนี้ได้ที่
มองกระจก Rostelecom .การใช้ยูทิลิตี้ whois (บน Rip.net หรือยูทิลิตี้ท้องถิ่น) คุณสามารถระบุได้อย่างง่ายดายว่าบล็อก 37.52.0.0/21 เป็นของ AS6849 (Ukrtelecom)
ต่อไปโดยไปที่
บีจีพี.เฮ.เน็ต คุณจะเห็นว่า AS6849 ไม่มีความสัมพันธ์กับ AS12389 (ไม่ใช่ไคลเอ็นต์หรืออัปลิงก์ถึงกัน และไม่มีการเพียร์) แต่หากมองดู.รายชื่อเพื่อน สำหรับ AS6849 คุณจะเห็น AS29226 (Mastertel) และ AS31133 (Megafon)เมื่อคุณพบตัวเลือกของผู้ให้บริการเหล่านี้แล้ว คุณก็สามารถเปรียบเทียบเส้นทางและ RTT ได้ ตัวอย่างเช่น สำหรับ Mastertel RTT จะอยู่ที่ประมาณ 30 มิลลิวินาที
ดังนั้น หากความแตกต่างระหว่าง 80 ถึง 30 มิลลิวินาทีมีความสำคัญต่อบริการของคุณ คุณอาจจำเป็นต้องคิดถึงการเชื่อมต่อ รับหมายเลข AS พูลที่อยู่ของคุณจาก RIPE และเชื่อมต่ออัปลิงก์เพิ่มเติม และ/หรือสร้างจุดแสดงตนบน IX
เมื่อคุณใช้ BGP คุณไม่เพียงแต่มีโอกาสปรับปรุงการเชื่อมต่อเท่านั้น แต่คุณยังรักษาการเชื่อมต่ออินเทอร์เน็ตของคุณซ้ำซ้อนอีกด้วย
การป้องกันดอส/DDOS
ขณะนี้ การโจมตี DOS/DDOS ได้กลายเป็นความจริงในชีวิตประจำวันสำหรับหลายๆ บริษัท ในความเป็นจริง คุณถูกโจมตีค่อนข้างบ่อยในรูปแบบใดรูปแบบหนึ่ง ข้อเท็จจริงที่ว่าคุณยังไม่ได้สังเกตเห็นสิ่งนี้เพียงหมายความว่ายังไม่มีการจัดการการโจมตีแบบกำหนดเป้าหมายเพื่อต่อต้านคุณ และมาตรการป้องกันที่คุณใช้ แม้จะไม่รู้ตัวก็ตาม (การป้องกันระบบปฏิบัติการในตัวต่างๆ) เพียงพอที่จะ ตรวจสอบให้แน่ใจว่าความเสื่อมโทรมของบริการที่มอบให้นั้นลดลงสำหรับคุณและลูกค้าของคุณ
มีแหล่งข้อมูลทางอินเทอร์เน็ตที่วาดแผนที่การโจมตีที่สวยงามแบบเรียลไทม์ตามบันทึกอุปกรณ์
ที่ฉันชอบ
การป้องกัน DDOS/DOS มักจะเป็นแบบหลายชั้น เพื่อทำความเข้าใจว่าทำไม คุณต้องเข้าใจว่ามีการโจมตี DOS/DDOS ประเภทใดบ้าง (ดูตัวอย่าง
นั่นคือเรามีการโจมตีสามประเภท:
- การโจมตีเชิงปริมาตร
- การโจมตีโปรโตคอล
- การโจมตีแอปพลิเคชัน
หากคุณสามารถป้องกันตัวเองจากการโจมตีสองประเภทล่าสุดโดยใช้ไฟร์วอลล์ได้ คุณจะไม่สามารถป้องกันตัวเองจากการโจมตีที่มีเป้าหมาย "ครอบงำ" อัปลิงก์ของคุณ (แน่นอนว่า หากความจุรวมของช่องอินเทอร์เน็ตของคุณไม่ได้คำนวณเป็นเทราบิต หรือดีกว่านั้นอีกเป็นสิบเทราบิต)
ดังนั้น แนวป้องกันแรกคือการป้องกันการโจมตีแบบ “ปริมาตร” และผู้ให้บริการของคุณต้องให้การป้องกันนี้แก่คุณ หากคุณยังไม่ตระหนักถึงสิ่งนี้ แสดงว่าคุณโชคดีในตอนนี้
ตัวอย่าง
สมมติว่าคุณมีอัปลิงก์หลายรายการ แต่มีผู้ให้บริการเพียงรายเดียวเท่านั้นที่สามารถให้การป้องกันนี้ได้ แต่ถ้าการรับส่งข้อมูลทั้งหมดผ่านผู้ให้บริการรายเดียว แล้วการเชื่อมต่อที่เราพูดคุยสั้น ๆ ก่อนหน้านี้ล่ะ
ในกรณีนี้ คุณจะต้องเสียสละการเชื่อมต่อบางส่วนระหว่างการโจมตี แต่
- นี่เป็นเพียงช่วงระยะเวลาของการโจมตีเท่านั้น ในกรณีที่มีการโจมตี คุณสามารถกำหนดค่า BGP ใหม่ได้ด้วยตนเองหรือโดยอัตโนมัติ เพื่อให้การรับส่งข้อมูลผ่านผู้ให้บริการที่ให้ "ร่ม" แก่คุณเท่านั้น หลังจากการโจมตีสิ้นสุดลง คุณสามารถคืนเส้นทางกลับสู่สถานะก่อนหน้าได้
- ไม่จำเป็นต้องถ่ายโอนการรับส่งข้อมูลทั้งหมด ตัวอย่างเช่น หากคุณเห็นว่าไม่มีการโจมตีผ่านการอัปลิงก์หรือการเพียร์บางส่วน (หรือการรับส่งข้อมูลไม่มีนัยสำคัญ) คุณสามารถโฆษณาคำนำหน้าด้วยคุณลักษณะที่แข่งขันกับเพื่อนบ้าน BGP เหล่านี้ต่อไปได้
คุณยังสามารถมอบหมายการป้องกันจาก "การโจมตีโปรโตคอล" และ "การโจมตีแอปพลิเคชัน" ให้กับคู่ค้าของคุณได้
ที่นี่
โดยหลักการแล้ว คุณสามารถจำกัดตัวเองอยู่เพียงเท่านี้ โดยจ้างบุคคลภายนอกมาปกป้องคุณโดยสมบูรณ์ การตัดสินใจครั้งนี้มีข้อดี แต่ก็มีข้อเสียที่ชัดเจนเช่นกัน ความจริงก็คือเราสามารถพูดคุยได้ (อีกครั้ง ขึ้นอยู่กับว่าบริษัทของคุณทำอะไร) เกี่ยวกับการอยู่รอดของธุรกิจ และไว้วางใจสิ่งดังกล่าวกับบุคคลที่สาม...
ดังนั้นเรามาดูวิธีจัดระเบียบแนวป้องกันที่สองและสาม (นอกเหนือจากการป้องกันจากผู้ให้บริการ)
ดังนั้นแนวป้องกันที่สองคือการกรองและตัวจำกัดการรับส่งข้อมูล (ตำรวจ) ที่ทางเข้าเครือข่ายของคุณ
1 ตัวอย่าง
สมมติว่าคุณได้ปกปิดตัวเองด้วยการป้องกัน DDOS ด้วยความช่วยเหลือจากผู้ให้บริการรายใดรายหนึ่ง สมมติว่าผู้ให้บริการรายนี้ใช้ Arbor เพื่อกรองการรับส่งข้อมูลและกรองที่ขอบของเครือข่าย
แบนด์วิธที่ Arbor สามารถ "ประมวลผล" นั้นมีจำกัด และแน่นอนว่าผู้ให้บริการไม่สามารถส่งผ่านการรับส่งข้อมูลของพันธมิตรทั้งหมดที่สั่งซื้อบริการนี้ผ่านอุปกรณ์กรองได้อย่างต่อเนื่อง ดังนั้นภายใต้สภาวะปกติ การจราจรจะไม่ถูกกรอง
สมมติว่ามีการโจมตีแบบน้ำท่วมของ SYN แม้ว่าคุณจะสั่งบริการที่สลับการรับส่งข้อมูลเป็นการกรองโดยอัตโนมัติในกรณีที่มีการโจมตี สิ่งนี้จะไม่เกิดขึ้นในทันที คุณจะยังคงถูกโจมตีเป็นเวลาหนึ่งนาทีหรือมากกว่านั้น และอาจนำไปสู่ความล้มเหลวของอุปกรณ์ของคุณหรือความเสื่อมของบริการ ในกรณีนี้ การจำกัดการรับส่งข้อมูลที่การกำหนดเส้นทาง Edge แม้ว่าจะนำไปสู่ความจริงที่ว่าเซสชัน TCP บางรายการจะไม่ถูกสร้างขึ้นในช่วงเวลานี้ แต่ก็จะช่วยประหยัดโครงสร้างพื้นฐานของคุณจากปัญหาในวงกว้าง
2 ตัวอย่าง
แพ็กเก็ต SYN จำนวนมากผิดปกติอาจไม่เพียงเป็นผลมาจากการโจมตี SYN ฟลัดเท่านั้น สมมติว่าคุณให้บริการที่คุณสามารถมีการเชื่อมต่อ TCP ได้ประมาณ 100 รายการพร้อมกัน (ไปยังศูนย์ข้อมูลเดียว)
สมมติว่าผลลัพธ์ของปัญหาระยะสั้นกับผู้ให้บริการหลักรายใดรายหนึ่งของคุณ ทำให้เซสชันของคุณถูกเตะไปครึ่งหนึ่ง หากแอปพลิเคชันของคุณได้รับการออกแบบในลักษณะที่พยายามสร้างการเชื่อมต่อใหม่ทันที (หรือหลังจากช่วงเวลาหนึ่งซึ่งเหมือนกันสำหรับทุกเซสชัน) ทันที จากนั้นคุณจะได้รับแพ็กเก็ต SYN อย่างน้อย 50 โดยประมาณ พร้อมกัน
ตัวอย่างเช่น หากคุณต้องรันแฮนด์เชค ssl/tls ที่ด้านบนของเซสชันเหล่านี้ ซึ่งเกี่ยวข้องกับการแลกเปลี่ยนใบรับรอง ดังนั้น จากมุมมองของทรัพยากรที่หมดลงสำหรับโหลดบาลานเซอร์ของคุณ นี่จะเป็น “DDOS” ที่แข็งแกร่งกว่ามาก SYN น้ำท่วม ดูเหมือนว่าบาลานเซอร์ควรจะจัดการกับเหตุการณ์ดังกล่าว แต่... น่าเสียดายที่เรากำลังเผชิญกับปัญหาดังกล่าว
และแน่นอนว่าเจ้าหน้าที่ตำรวจบนเราเตอร์เอดจ์จะบันทึกอุปกรณ์ของคุณในกรณีนี้ด้วย
ระดับที่สามของการป้องกัน DDOS/DOS คือการตั้งค่าไฟร์วอลล์ของคุณ
ที่นี่คุณสามารถหยุดการโจมตีทั้งประเภทที่สองและสามได้ โดยทั่วไป ทุกสิ่งที่เข้าถึงไฟร์วอลล์สามารถกรองได้ที่นี่
สภา
พยายามให้ไฟร์วอลล์ทำงานน้อยที่สุดเท่าที่จะเป็นไปได้ โดยกรองการป้องกันสองบรรทัดแรกให้ได้มากที่สุด และนั่นคือเหตุผล
เคยเกิดขึ้นกับคุณโดยบังเอิญหรือไม่ว่าในขณะที่สร้างการรับส่งข้อมูลเพื่อตรวจสอบ เช่น ระบบปฏิบัติการของเซิร์ฟเวอร์ของคุณมีความทนทานต่อการโจมตี DDOS เพียงใด คุณ "ทำลาย" ไฟร์วอลล์ของคุณ โดยโหลดไปที่ 100 เปอร์เซ็นต์ โดยมีการรับส่งข้อมูลในระดับปกติ ? ถ้าไม่อาจเป็นเพียงเพราะคุณยังไม่ได้ลอง?
โดยทั่วไปไฟร์วอลล์อย่างที่ฉันพูดไปนั้นเป็นสิ่งที่ซับซ้อนและทำงานได้ดีกับช่องโหว่ที่รู้จักและวิธีแก้ไขปัญหาที่ผ่านการทดสอบแล้ว แต่ถ้าคุณส่งสิ่งผิดปกติเพียงแค่ขยะหรือแพ็กเก็ตที่มีส่วนหัวไม่ถูกต้องแสดงว่าคุณทำได้บางส่วนไม่ใช่กับ ความน่าจะเป็นเพียงเล็กน้อย (จากประสบการณ์ของฉัน) คุณสามารถสร้างความสับสนให้กับอุปกรณ์ระดับบนได้ ดังนั้น ในขั้นตอนที่ 2 ให้ใช้ ACL ปกติ (ที่ระดับ L3/L4) อนุญาตเฉพาะการรับส่งข้อมูลเข้าสู่เครือข่ายของคุณที่ควรเข้าไปที่นั่นเท่านั้น
การกรองการรับส่งข้อมูลบนไฟร์วอลล์
เรามาสนทนาเกี่ยวกับไฟร์วอลล์ต่อ คุณต้องเข้าใจว่าการโจมตี DOS/DDOS เป็นเพียงการโจมตีทางไซเบอร์ประเภทหนึ่ง
นอกเหนือจากการป้องกัน DOS/DDOS แล้ว เรายังมีรายการคุณสมบัติดังต่อไปนี้:
- ไฟร์วอลล์แอปพลิเคชัน
- การป้องกันภัยคุกคาม (แอนตี้ไวรัส แอนตี้สปายแวร์ และช่องโหว่)
- การกรอง URL
- การกรองข้อมูล (การกรองเนื้อหา)
- การบล็อกไฟล์ (การบล็อกประเภทไฟล์)
ขึ้นอยู่กับคุณที่จะตัดสินใจว่าคุณต้องการอะไรจากรายการนี้
จะยังคง
ที่มา: will.com