Объект защиты

Как настроить объект защиты: IP-адреса, балансировка, SSL и кэширование

После подключения услуги она отобразится на главной странице учетной записи  и в списке Мои услуги. Нажмите на название услуги, чтобы открыть область настройки.

На открывшейся странице выберите интересующий вас объект и нажмите его строку с миниатюрой графика рядом.

Обратите внимание — иконка в виде навесного замка в строке таблицы означает, что для домена установлен запрет на изменение защиты.

Выберите левом меню выберите пункт Объект защиты.

На открывшейся странице приведены настраиваемые параметры:

  • Доступные IP

Чтобы назначить IP-адрес из списка предоставленных вам вариантов, выберите его, установив галочку в начале строки, а затем нажмите на кнопку Назначить. Мы предоставим вам несколько IP-адресов и вы сможете самостоятельно назначать их своим доменам.

  • Назначенные IP

Вы можете удалить IP-адреса из списка назначенных. Для этого выберите ненужный адрес, установив галочку в начале его строки, а затем нажмите на кнопку Удалить.

  • Бэкенд-серверы

Сервис предоставляет возможность балансировки нагрузки между несколькими внутренними (бэкенд) серверами.
Бэкенд — это ваш сервер, расположенный за системой защиты. Он обрабатывает очищенные от атак запросы пользователей и формирует ответ.

Как это работает?

  1. Пользователи отправляют запросы в интернет.
  2. Система защиты перехватывает и фильтрует трафик.
  3. Очищенные запросы направляются на ваши бэкенд-серверы.
  4. Сервер обрабатывает запрос и возвращает ответ пользователю.

Также можно указать протокол, используемый для доступа к бэкенд-серверам: HTTP (порт 80) или HTTPS (порт 443).

Чтобы добавить бэкенд-сервер, нажмите на кнопку Добавить бэкенд. Заполните форму:

  • IP-адрес — адрес бэкенд-сервера, на который будет направляться очищенный трафик;
  • Порт домена — порт, на который изначально направляется трафик от пользователей;
  • Порт бэкенда — порт, на который перенаправляется очищенный трафик (может совпадать с портом домена или отличаться от него);
  • Тип — выберите Баланс, если используется схема с балансировкой нагрузки, или Бэкап для резервного сервера (который будет использоваться при недоступности основного);
  • Вес — определяет распределение трафика (чем выше вес, тем больше запросов получает сервер).
Пример

Если у вас три сервера с весами 5, 1 и 1, то из 7 запросов:

  • 5 будут направлены на первый сервер;
  • по 1 – на второй и третий.

    • Установите тумблер HTTPS в положение ВКЛ, если выбран порт 443.

    После заполнения формы нажмите на кнопку Добавить. Вы можете изменять созданный бэкенд-сервер, используя кнопку Настройки.

    Добавленные объекты появятся в таблице. С помощью кнопок в правой части каждой строки можно изменить или удалить бекенд-сервер.

    Форма редактирования совпадает с формой добавления бекенда.

    При удалении включенного (активного) бэкенда появится предупреждение.

    Нажмите на кнопку «Отключить бэкенд-сервер», а затем подтвердите его удаление.

    • Порты WebSocket

    Задайте настройки для защиты сайта от DDoS-атак через уязвимости протокола WebSocket. 

    • При стандартной настройке сайта для протокола WebSocket используются порты «80» и «443». В этом случае специальные настройки для обеспечения защиты не требуется.
    • В случае использования нестандартных портов, для работы по этому протоколу необходимо выполнить настройку, указав эти порты. При необходимости, можно настроить также балансировку между бэкенд-серверами.

    Нажмите на кнопку Добавить порт WebSocket. Заполните форму и нажмите на кнопку Добавить. Если кнопка Добавить порт WebSocket не активна, значит достигнуто максимальное количество портов.

    • SSL-сертификат

    Вы можете получить бесплатный SSL-сертификат (с сервиса Let’s Encrypt) либо установить собственный. Также можно включить или отключить перенаправление с HTTP на HTTPS (или наоборот), что уменьшит нагрузку на конечный сервер.

    • Собственный сертификат

    Для проверки SSL-трафика вам необходимо указать сертификат открытого ключа и секретный ключ. На экране они будут показаны в усечённом виде (для исключения копирования). Также необходимо внести сертификаты корневого центра и промежуточных центров сертификации (при их наличии).

    Примечание

    Перед отправкой данных убедитесь, что вы скомпоновали единый текстовый документ из всех составляющих цепочки сертификатов: в одном файле должны размещены последовательно сертификат домена, затем промежуточные, и корневой сертификаты (если он требуется).
    Всё это должно быть вставлено в одно текстовое поле в соответствующей форме.

    В случае использования собственного сертификата, вам потребуется самостоятельно обновлять его при истечении срока действия.

    Обратите внимание: все сертификаты SSL должны начинаться с «BEGIN CERTIFICATE» и оканчиваться на «END CERTIFICATE». Обычно валидатор сертификатов рассылает данный набор файлов с пометкой «Для Apache/Nginx». Приватный ключ домена начинается заголовком «BEGIN RSA PRIVATE KEY».

    Перед копированием сертификата в поле формы убедитесь, что переключатель Сертификат Let’s Encrypt установлен в положение «ОТКЛ».

    В случае получения сообщения об ошибки корректности сертификата, необходимо проверить:

    • проверить поля сертификата (Common Name, SANs, Valid)
    • сверить через openssl совпадение хешей сертификата и ключа
    • проверить всю цепочку сертификатов, удостоверяющих конечный.
    • Бесплатный новый сертификат

    Если у вас нет сертификата или вы не желаете вносить его данные в личный кабинет, предоставляется возможность активировать опцию «Сертификат Let’s Encrypt». В этом случае для защищаемого сервера формируются ключи клиента и выпускается сертификат открытого ключа. Сертификат и ключ по истечении каждого срока использования будут заново формироваться и заменяться автоматически за три дня до истечения срока их действия. 

    Для использования такого сертификата необходимо, чтобы основная запись «А» запись домена, а также его www.* запись указывала на полученный защищённый IP адрес.

    Примечание

    Для успешной генерации и установки сертификата домен должен соответствовать следующим требованиям:

  • основная A-запись домена должна указывать только на защищённый IP-адрес, выданный для услуги;
  • у домена не должно быть других A-записей — наличие дополнительных записей может привести к ошибке выпуска сертификата.

    • Сертификат будет установлен в течение нескольких минут автоматически. В случае если Вы получаете ошибку несоответствия DNS записей, стоит немного подождать — обновление доменной зоны может занимать от 5 минут до 72 часов, в зависимости от ранее указанного значения TTL в ресурсной А-записи домена, и настроек интернет-провайдеров.

    • Кэш

    Благодаря кэшированию ваш сайт будет работать не только надежнее, но и быстрее.

    Кэширование статического контента будет выполняться в оперативной памяти кэширующих серверов в точках очистки StormWall, что позволяет существенно снизить нагрузку на конечный сервер.

    Вы можете самостоятельно назначить время жизни кэша и типы файлов, которые будут подвергаться кэшированию. Если вам нужны другие параметры (географические ограничения или что-либо еще), пожалуйста, обратитесь в техподдержку.

    Чтобы включить кэширование, выберите время жизни кэша и расширения файлов, а затем установите ползунок Кэш в положение ВКЛ.

    При нажатии на кнопку Очистить кэш все данные будут подгружаться с ресурсов заново.

    • Редиректы

    Настройте правила перенаправления между адресами.

    Например, здесь можно настроить редирект с «http» на «https».