Объект защиты

Как настроить объект защиты: IP-адреса, балансировка, SSL и кэширование

После подключения услуги она отобразится на главной странице учетной записи  и в списке Мои услуги. Нажмите на название услуги, чтобы открыть область настройки.

На открывшейся странице выберите интересующий вас объект и нажмите его строку с миниатюрой графика рядом.

Обратите внимание — иконка в виде навесного замка в строке таблицы означает, что для домена установлен запрет на изменение защиты.

Выберите левом меню выберите пункт Объект защиты.

На открывшейся странице приведены настраиваемые параметры:

  • Доступные IP

Чтобы назначить IP-адрес из списка предоставленных вам вариантов, выберите его, установив галочку в начале строки, а затем нажмите на кнопку Назначить. Мы предоставим вам несколько IP-адресов и вы сможете самостоятельно назначать их своим доменам.

  • Назначенные IP

Вы можете удалить IP-адреса из списка назначенных. Для этого выберите ненужный адрес, установив галочку в начале его строки, а затем нажмите на кнопку Удалить.

  • Бэкенд-серверы

По умолчанию сервис предоставляет услугу балансировки трафика. Для её настройки можно указать несколько внутренних (бэкенд) серверов. Каждому из них  нужно присвоить весовой коэффициент и назначить статус — «активный» или «резервный».

В обычном режиме работы балансировка будет выполняться активными бэкенд-серверами. В случае выхода из строя активного сервера его место займёт резервный.

Также можно указать протокол, используемый для доступа к бэкенд-серверам: HTTP (порт 80) или HTTPS (порт 443).

Чтобы добавить бэкенд-сервер, нажмите на кнопку Добавить бэкенд. Заполните форму и нажмите на кнопку Добавить. Вы можете изменять созданный бэкенд-сервер, используя кнопку Настройки.

Добавленные объекты появятся в таблице. С помощью кнопок в правой части каждой строки можно изменить или удалить бекенд-сервер.

Форма редактирования совпадает с формой добавления бекенда.

При удалении включенного (активного) бэкенда появится предупреждение.

Нажмите на кнопку “Отключить бэкенд-сервер”, а затем подтвердите его удаление.

  • Порты WebSocket

Задайте настройки для защиты сайта от DDoS-атак через уязвимости протокола WebSocket. 

  • При стандартной настройке сайта для протокола WebSocket используются порты «80» и «443». В этом случае специальные настройки для обеспечения защиты не требуется.
  • В случае использования нестандартных портов, для работы по этому протоколу необходимо выполнить настройку, указав эти порты. При необходимости, можно настроить также балансировку между бэкенд-серверами.

Нажмите на кнопку Добавить порт WebSocket. Заполните форму и нажмите на кнопку Добавить. Если кнопка Добавить порт WebSocket не активна, значит достигнуто максимальное количество портов.

  • SSL-сертификат

Вы можете получить бесплатный SSL-сертификат (с сервиса Let’s Encrypt) либо установить собственный. Также можно включить или отключить перенаправление с HTTP на HTTPS (или наоборот), что уменьшит нагрузку на конечный сервер.

  • Собственный сертификат

Для проверки SSL-трафика вам необходимо указать сертификат открытого ключа и секретный ключ. На экране они будут показаны в усеченном виде (для исключения копирования). Также необходимо внести сертификаты корневого центра и промежуточных центров сертификации (при их наличии).

В случае использования собственного сертификата, вам потребуется самостоятельно обновлять его при истечении срока действия.

Обратите внимание: все сертификаты SSL должны начинаться с «BEGIN CERTIFICATE» и оканчиваться на «END CERTIFICATE». Обычно валидатор сертификатов рассылает данный набор файлов с пометкой «Для Apache/Nginx». Приватный ключ домена начинается заголовком «BEGIN RSA PRIVATE KEY».

Перед копированием сертификата в поле формы убедитесь, что переключатель Сертификат Let’s Encrypt установлен в положение «ОТКЛ».

В случае получения сообщения об ошибки корректности сертификата, необходимо проверить:

  • проверить поля сертификата (Common Name, SANs, Valid)
  • сверить через openssl совпадение хешей сертификата и ключа
  • проверить всю цепочку сертификатов, удостоверяющих конечный.
  • Бесплатный новый сертификат

Если у вас нет сертификата или вы не желаете вносить его данные в личный кабинет, предоставляется возможность активировать опцию «Сертификат Let’s Encrypt». В этом случае для защищаемого сервера формируются ключи клиента и выпускается сертификат открытого ключа. Сертификат и ключ по истечении каждого срока использования будут заново формироваться и заменяться автоматически за три дня до истечения срока их действия. 

Для использования такого сертификата необходимо, чтобы основная запись «А» запись домена, а также его www.* запись указывала на полученный защищённый IP адрес.

Сертификат будет установлен в течение нескольких минут автоматически. В случае если Вы получаете ошибку несоответствия DNS записей, стоит немного подождать — обновление доменной зоны может занимать от 15 минут до нескольких часов, в зависимости от ранее указанного значения TTL в ресурсной А-записи домена, и настроек интернет-провайдеров.

  • Кэш

Благодаря кэшированию ваш сайт будет работать не только надежнее, но и быстрее.

Кэширование статического контента будет выполняться в оперативной памяти кэширующих серверов в точках очистки StormWall, что позволяет существенно снизить нагрузку на конечный сервер.

Вы можете самостоятельно назначить время жизни кэша и типы файлов, которые будут подвергаться кэшированию. Если вам нужны другие параметры (географические ограничения или что-либо еще), пожалуйста, обратитесь в техподдержку.

Чтобы включить кэширование, выберите время жизни кэша и расширения файлов, а затем установите ползунок Кэш в положение ВКЛ.

При нажатии на кнопку Очистить кэш все данные будут подгружаться с ресурсов заново.

  • Редиректы

Настройте правила перенаправления между адресами.

Например, здесь можно настроить редирект с «http» на «https».