Объект защиты

Как настроить объект защиты: IP-адреса, балансировка, SSL и кэширование

После подключения услуги она отобразится на главной странице учетной записи  и в списке Мои услуги. Нажмите на название услуги, чтобы открыть область настройки.

На открывшейся странице выберите интересующий вас объект и нажмите его строку с миниатюрой графика рядом.

Обратите внимание — иконка в виде навесного замка в строке таблицы означает, что для домена установлен запрет на изменение защиты.

Выберите левом меню выберите пункт Объект защиты.

На открывшейся странице приведены настраиваемые параметры.

Доступные IP

Чтобы назначить IP-адрес из списка предоставленных вам вариантов, выберите его, установив галочку в начале строки, а затем нажмите на кнопку Назначить. Мы предоставим вам несколько IP-адресов и вы сможете самостоятельно назначать их своим доменам.

Назначенные IP

Вы можете удалить IP-адреса из списка назначенных. Для этого выберите ненужный адрес, установив галочку в начале его строки, а затем нажмите на кнопку Удалить.

Бэкенд-серверы

Сервис предоставляет возможность балансировки нагрузки между несколькими внутренними (бэкенд) серверами.
Бэкенд — это ваш сервер, расположенный за системой защиты. Он обрабатывает очищенные от атак запросы пользователей и формирует ответ.

Как это работает?

  1. Пользователи отправляют запросы в интернет.
  2. Система защиты перехватывает и фильтрует трафик.
  3. Очищенные запросы направляются на ваши бэкенд-серверы.
  4. Сервер обрабатывает запрос и возвращает ответ пользователю.

Также можно указать протокол, используемый для доступа к бэкенд-серверам: HTTP (порт 80) или HTTPS (порт 443).

Чтобы добавить бэкенд-сервер, нажмите на кнопку Добавить бэкенд. Заполните форму:

  • IP-адрес — адрес бэкенд-сервера, на который будет направляться очищенный трафик;
  • Порт домена — порт, на который изначально направляется трафик от пользователей;
  • Порт бэкенда — порт, на который перенаправляется очищенный трафик (может совпадать с портом домена или отличаться от него);
  • Тип — выберите Баланс, если используется схема с балансировкой нагрузки, или Бэкап для резервного сервера (который будет использоваться при недоступности основного);
  • Вес — определяет распределение трафика (чем выше вес, тем больше запросов получает сервер).
Пример

Если у вас три сервера с весами 5, 1 и 1, то из 7 запросов:

  • 5 будут направлены на первый сервер;
  • по 1 – на второй и третий.

    • Установите тумблер HTTPS в положение ВКЛ, если выбран порт 443.

    После заполнения формы нажмите на кнопку Добавить. Вы можете изменять созданный бэкенд-сервер, используя кнопку Настройки.

    Добавленные объекты появятся в таблице. С помощью кнопок в правой части каждой строки можно изменить или удалить бекенд-сервер.

    В столбце Мониторинг отображается состояние бэкенда:

    • красный восклицательный знак указывает на наличие проблемы с бэкендом (наведите указатель мыши на иконку, чтобы увидеть описание проблемы);
    • зелёная галочка — бэкенд стоит на мониторинге, проблем не зафиксировано;
    • отсутствие иконки — бэкенд не установлен на мониторинг.
    Примечание

  • Бэкенд не будет поставлен на мониторинг, если вы настроили для него редирект.

  • Если у вас только один бэкенд, он никогда не будет исключен из балансировки.

    • Форма редактирования совпадает с формой добавления бекенда.

    При удалении включенного (активного) бэкенда появится предупреждение.

    Нажмите на кнопку Отключить бэкенд-сервер, а затем подтвердите его удаление.

    Нажмите на кнопку Настройка, чтобы указать перейти к параметрам мониторинга.

    В открывшемся окне вы можете с помощью переключателя включить или отключить мониторинг для бэкендов, а также настроить параметры:

    • Интервал — периодичность опроса бэкендов (в секундах);
    • URL путь — адрес для мониторинга, по которому отправляются HTTP-запросы;
    • Коды ошибок — список HTTP-статусов, которые считаются признаком недоступности;
    • Количество неудачных попыток — сколько будет выполнено попыток подряд, прежде чем бэкенд будет определён как недоступный;
    • Количество успешных попыток — сколько будет выполнено попыток подряд, прежде чем бэкенд будет определён как доступный;
    • Процент неудач — процент неудачных проверок от общего числа для признания бэкенда недоступным (с помощью этого параметра можно избежать исключения из балансировки бэкенда, который недоступен только с одной из нескольких локаций);
    • Таймаут сокет соединения — таймаут на установление TCP-соединения;
    • Таймаут сокет чтения — таймаут на чтение данных из сокета;
    • Таймаут HTTP — общий таймаут на выполнение HTTP-запроса.

    Порты WebSocket

    Задайте настройки для защиты сайта от DDoS-атак через уязвимости протокола WebSocket. 

    • При стандартной настройке сайта для протокола WebSocket используются порты «80» и «443». В этом случае специальные настройки для обеспечения защиты не требуется.
    • В случае использования нестандартных портов, для работы по этому протоколу необходимо выполнить настройку, указав эти порты. При необходимости, можно настроить также балансировку между бэкенд-серверами.

    Нажмите на кнопку Добавить порт WebSocket. Заполните форму и нажмите на кнопку Добавить. Если кнопка Добавить порт WebSocket не активна, значит достигнуто максимальное количество портов.

    SSL-сертификат

    Вы можете получить бесплатный SSL-сертификат (с сервиса Let’s Encrypt) либо установить собственный. Также можно включить или отключить перенаправление с HTTP на HTTPS (или наоборот), что уменьшит нагрузку на конечный сервер.

    • Собственный сертификат

    Для проверки SSL-трафика вам необходимо указать сертификат открытого ключа и секретный ключ. На экране они будут показаны в усечённом виде (для исключения копирования). Также необходимо внести сертификаты корневого центра и промежуточных центров сертификации (при их наличии).

    Примечание

    Перед отправкой данных убедитесь, что вы скомпоновали единый текстовый документ из всех составляющих цепочки сертификатов: в одном файле должны размещены последовательно сертификат домена, затем промежуточные, и корневой сертификаты (если он требуется).
    Всё это должно быть вставлено в одно текстовое поле в соответствующей форме.

    В случае использования собственного сертификата, вам потребуется самостоятельно обновлять его при истечении срока действия.

    Обратите внимание: все сертификаты SSL должны начинаться с «BEGIN CERTIFICATE» и оканчиваться на «END CERTIFICATE». Обычно валидатор сертификатов рассылает данный набор файлов с пометкой «Для Apache/Nginx». Приватный ключ домена начинается заголовком «BEGIN RSA PRIVATE KEY».

    Перед копированием сертификата в поле формы убедитесь, что переключатель Сертификат Let’s Encrypt установлен в положение «ОТКЛ».

    В случае получения сообщения об ошибки корректности сертификата, необходимо проверить:

    • проверить поля сертификата (Common Name, SANs, Valid)
    • сверить через openssl совпадение хешей сертификата и ключа
    • проверить всю цепочку сертификатов, удостоверяющих конечный.
    • Бесплатный новый сертификат

    Если у вас нет сертификата или вы не желаете вносить его данные в личный кабинет, предоставляется возможность активировать опцию «Сертификат Let’s Encrypt». В этом случае для защищаемого сервера формируются ключи клиента и выпускается сертификат открытого ключа. Сертификат и ключ по истечении каждого срока использования будут заново формироваться и заменяться автоматически за три дня до истечения срока их действия. 

    Для использования такого сертификата необходимо, чтобы основная запись «А» запись домена, а также его www.* запись указывала на полученный защищённый IP адрес.

    Примечание

    Для успешной генерации и установки сертификата домен должен соответствовать следующим требованиям:

  • основная A-запись домена должна указывать только на защищённый IP-адрес, выданный для услуги;
  • у домена не должно быть других A-записей — наличие дополнительных записей может привести к ошибке выпуска сертификата.

    • Сертификат будет установлен в течение нескольких минут автоматически. В случае если Вы получаете ошибку несоответствия DNS записей, стоит немного подождать — обновление доменной зоны может занимать от 5 минут до 72 часов, в зависимости от ранее указанного значения TTL в ресурсной А-записи домена, и настроек интернет-провайдеров.

    Кэш

    Благодаря кэшированию ваш сайт будет работать не только надежнее, но и быстрее.

    Кэширование статического контента будет выполняться в оперативной памяти кэширующих серверов в точках очистки StormWall, что позволяет существенно снизить нагрузку на конечный сервер.

    Вы можете самостоятельно назначить время жизни кэша и типы файлов, которые будут подвергаться кэшированию. Если вам нужны другие параметры (географические ограничения или что-либо еще), пожалуйста, обратитесь в техподдержку.

    Чтобы включить кэширование, выберите время жизни кэша и расширения файлов, а затем установите ползунок Кэш в положение ВКЛ.

    При нажатии на кнопку Очистить кэш все данные будут подгружаться с ресурсов заново.

    Редиректы

    Настройте правила перенаправления между адресами.

    Например, здесь можно настроить редирект с «http» на «https».