Как настроить объект защиты: IP-адреса, балансировка, SSL и кэширование
После подключения услуги она отобразится на главной странице учетной записи и в списке Мои услуги. Нажмите на название услуги, чтобы открыть область настройки.
На открывшейся странице выберите интересующий вас объект и нажмите его строку с миниатюрой графика рядом.
Обратите внимание — иконка в виде навесного замка в строке таблицы означает, что для домена установлен запрет на изменение защиты.
Выберите левом меню выберите пункт Объект защиты.
На открывшейся странице приведены настраиваемые параметры:
- Доступные IP
Чтобы назначить IP-адрес из списка предоставленных вам вариантов, выберите его, установив галочку в начале строки, а затем нажмите на кнопку Назначить. Мы предоставим вам несколько IP-адресов и вы сможете самостоятельно назначать их своим доменам.
- Назначенные IP
Вы можете удалить IP-адреса из списка назначенных. Для этого выберите ненужный адрес, установив галочку в начале его строки, а затем нажмите на кнопку Удалить.
- Бэкенд-серверы
По умолчанию сервис предоставляет услугу балансировки трафика. Для её настройки можно указать несколько внутренних (бэкенд) серверов. Каждому из них нужно присвоить весовой коэффициент и назначить статус — «активный» или «резервный».
В обычном режиме работы балансировка будет выполняться активными бэкенд-серверами. В случае выхода из строя активного сервера его место займёт резервный.
Также можно указать протокол, используемый для доступа к бэкенд-серверам: HTTP (порт 80) или HTTPS (порт 443).
Чтобы добавить бэкенд-сервер, нажмите на кнопку Добавить бэкенд. Заполните форму и нажмите на кнопку Добавить. Вы можете изменять созданный бэкенд-сервер, используя кнопку Настройки.
Добавленные объекты появятся в таблице. С помощью кнопок в правой части каждой строки можно изменить или удалить бекенд-сервер.
Форма редактирования совпадает с формой добавления бекенда.
При удалении включенного (активного) бэкенда появится предупреждение.
Нажмите на кнопку “Отключить бэкенд-сервер”, а затем подтвердите его удаление.
- Порты WebSocket
Задайте настройки для защиты сайта от DDoS-атак через уязвимости протокола WebSocket.
- При стандартной настройке сайта для протокола WebSocket используются порты «80» и «443». В этом случае специальные настройки для обеспечения защиты не требуется.
- В случае использования нестандартных портов, для работы по этому протоколу необходимо выполнить настройку, указав эти порты. При необходимости, можно настроить также балансировку между бэкенд-серверами.
Нажмите на кнопку Добавить порт WebSocket. Заполните форму и нажмите на кнопку Добавить. Если кнопка Добавить порт WebSocket не активна, значит достигнуто максимальное количество портов.
- SSL-сертификат
Вы можете получить бесплатный SSL-сертификат (с сервиса Let’s Encrypt) либо установить собственный. Также можно включить или отключить перенаправление с HTTP на HTTPS (или наоборот), что уменьшит нагрузку на конечный сервер.
- Собственный сертификат
Для проверки SSL-трафика вам необходимо указать сертификат открытого ключа и секретный ключ. На экране они будут показаны в усеченном виде (для исключения копирования). Также необходимо внести сертификаты корневого центра и промежуточных центров сертификации (при их наличии).
В случае использования собственного сертификата, вам потребуется самостоятельно обновлять его при истечении срока действия.
Обратите внимание: все сертификаты SSL должны начинаться с «BEGIN CERTIFICATE» и оканчиваться на «END CERTIFICATE». Обычно валидатор сертификатов рассылает данный набор файлов с пометкой «Для Apache/Nginx». Приватный ключ домена начинается заголовком «BEGIN RSA PRIVATE KEY».
Перед копированием сертификата в поле формы убедитесь, что переключатель Сертификат Let’s Encrypt установлен в положение «ОТКЛ».
В случае получения сообщения об ошибки корректности сертификата, необходимо проверить:
- проверить поля сертификата (Common Name, SANs, Valid)
- сверить через openssl совпадение хешей сертификата и ключа
- проверить всю цепочку сертификатов, удостоверяющих конечный.
- Бесплатный новый сертификат
Если у вас нет сертификата или вы не желаете вносить его данные в личный кабинет, предоставляется возможность активировать опцию «Сертификат Let’s Encrypt». В этом случае для защищаемого сервера формируются ключи клиента и выпускается сертификат открытого ключа. Сертификат и ключ по истечении каждого срока использования будут заново формироваться и заменяться автоматически за три дня до истечения срока их действия.
Для использования такого сертификата необходимо, чтобы основная запись «А» запись домена, а также его www.* запись указывала на полученный защищённый IP адрес.
Сертификат будет установлен в течение нескольких минут автоматически. В случае если Вы получаете ошибку несоответствия DNS записей, стоит немного подождать — обновление доменной зоны может занимать от 15 минут до нескольких часов, в зависимости от ранее указанного значения TTL в ресурсной А-записи домена, и настроек интернет-провайдеров.
- Кэш
Благодаря кэшированию ваш сайт будет работать не только надежнее, но и быстрее.
Кэширование статического контента будет выполняться в оперативной памяти кэширующих серверов в точках очистки StormWall, что позволяет существенно снизить нагрузку на конечный сервер.
Вы можете самостоятельно назначить время жизни кэша и типы файлов, которые будут подвергаться кэшированию. Если вам нужны другие параметры (географические ограничения или что-либо еще), пожалуйста, обратитесь в техподдержку.
Чтобы включить кэширование, выберите время жизни кэша и расширения файлов, а затем установите ползунок Кэш в положение ВКЛ.
При нажатии на кнопку Очистить кэш все данные будут подгружаться с ресурсов заново.
- Редиректы
Настройте правила перенаправления между адресами.
Например, здесь можно настроить редирект с «http» на «https».