Схемы подключения

Схема подключения определяется способами, которые будут использованы для перенаправления трафика на Систему Kaspersky DDoS Protection и для доставки трафика после фильтрации до площадки размещения Защищаемого ресурса.

Способы перенаправления трафика:

• Изменение DNS A-записи на IP-адрес, выданный Kaspersky DDoS Protection. Требует блокировки оригинального IP-адреса Защищаемого ресурса (во избежание атаки на оригинальный IP-адрес в обход Системы Kaspersky DDoS Protection) и уменьшения TTL для DNS A-записи.
• Переключение по BGP, предполагающее передачу анонсов IP-адресов автономной системы в Интернет через Систему Kaspersky DDoS Protection.

Способы доставки трафика:

• Обратное проксирование – подходит для HTTP(S)-ресурсов, предполагает установку HTTP-сессии от каждого посетителя Защищаемого ресурса с проксирующим узлом Системы Kaspersky DDoS Protection, а затем переустановка сессии с WEB-сервером Защищаемого ресурса. При этом все запросы к WEB-серверу будут приходить от IP-адресов Системы Kaspersky DDoS Protection, а оригинальные IP-адреса посетителей будут передаваться в HTTP-заголовках X-Real-IP или X-Forwarded-For.
• Маршрутизация – подходит для любых ресурсов, с не-HTTP(S) сервисами, предполагает организацию GRE-туннелей или физических стыков между Центрами очистки и площадкой размещения Защищаемого ресурса, и настройку BGP-пиринга. При наличии у Клиента собственной AS и PI-адресов, через Центры очистки маршрутизируется PI-сеть Клиента. При отсутствии собственной AS и PI-адресов, выдаются приватный номер AS и IP-адреса из пула Kaspersky DDoS Protection для переключения через изменение DNS A-записи. Трафик доставляется без модификаций.

Реальные схемы подключения можно представить в виде следующих комбинаций:

Схемы подключения Kaspersky DDoS Protection

Отдельным элементом схемы подключения является Сенсор, который потребуется (для обнаружения атак), если выбран режим On demand или если требуется защита без расшифровки HTTPS для режима Always on.