Схемы подключения
17 апреля 2024
ID 204310
Схема подключения определяется способами, которые будут использованы для перенаправления трафика на Систему Kaspersky DDoS Protection и для доставки трафика после фильтрации до площадки размещения Защищаемого ресурса.
Способы перенаправления трафика:
- Изменение DNS A-записи на IP-адрес, выданный Kaspersky DDoS Protection. Требует блокировки оригинального IP-адреса Защищаемого ресурса (во избежание атаки на оригинальный IP-адрес в обход Системы Kaspersky DDoS Protection) и уменьшения TTL для DNS A-записи.
- Переключение по BGP, предполагающее передачу анонсов IP-адресов автономной системы в Интернет через Систему Kaspersky DDoS Protection.
Способы доставки трафика:
- Обратное проксирование – подходит для HTTP(S)-ресурсов, предполагает установку HTTP-сессии от каждого посетителя Защищаемого ресурса с проксирующим узлом Системы Kaspersky DDoS Protection, а затем переустановка сессии с WEB-сервером Защищаемого ресурса. При этом все запросы к WEB-серверу будут приходить от IP-адресов Системы Kaspersky DDoS Protection, а оригинальные IP-адреса посетителей будут передаваться в HTTP-заголовках X-Real-IP или X-Forwarded-For.
- Маршрутизация – подходит для любых ресурсов, с не-HTTP(S) сервисами, предполагает организацию GRE-туннелей или физических стыков между Центрами очистки и площадкой размещения Защищаемого ресурса, и настройку BGP-пиринга. При наличии у Клиента собственной AS и PI-адресов, через Центры очистки маршрутизируется PI-сеть Клиента. При отсутствии собственной AS и PI-адресов, выдаются приватный номер AS и IP-адреса из пула Kaspersky DDoS Protection для переключения через изменение DNS A-записи. Трафик доставляется без модификаций.
Реальные схемы подключения можно представить в виде следующих комбинаций:
Схемы подключения Kaspersky DDoS Protection
| DNS | BGP |
Обратное проксирование | Нет | |
Маршрутизация |
Отдельным элементом схемы подключения является Сенсор, который потребуется (для обнаружения атак), если выбран режим On demand или если требуется защита без расшифровки HTTPS для режима Always on.