Новый функционал: настройка правил L7-защиты

DDoS-Guard представляет расширение функционала услуги по защите сайта от DDoS-атак. Теперь клиенты смогут более тонко настраивать случаи, в которых для их сайта срабатывает защита. Данный модуль доступен на тарифах Premium и Enterprise.

Как работают правила защиты
Подключив правила защиты, вы сможете контролировать входящий трафик через фильтрацию запросов. Правила начинают работать только в том случае, когда сайт уже находится под DDoS-атакой, в «мирное время» они неактивны.

Каждое правило защиты состоит из условий его применения и действия, которое производятся при совпадении с условием.

Условие определяет критерии, по которым значения входящего HTTP-запроса сопоставляются со значениями, заданными в условии. Каждое условие состоит из параметра, оператора и значений параметра.

Параметр — то, на чем основывается правило, с ним соотносятся набор операторов и значений. На один параметр можно создать только одно условие.

Оператор позволяет сопоставить параметр и его значение. После чего, если условие выполнено, совершается заданное действие.

• equal — оператор сравнения, который проверяет равенство параметра и одного значения. Если они не соответствуют друг другу, то правило не сработает.
• ​regex — регулярное выражение, которое используется для поиска подстроки или подстрок в тексте.
• in — оператор, который используется для проверки соответствия выражения любому значению в списке значений

Значение параметра. Для каждого параметра доступен свой набор значений, для некоторых параметров их можно установить несколько.

После того, как произведено сравнение параметров входящих запросов с установленными значениями в условиях правила, наступает заранее настроенное для результата действие.

Действие определяет, что нужно делать с входящими запросами, которые подпадают/не подпадают под установленное правило. Есть три варианта:

• Блокировать (drop) HTTP-запросы, соответствующие условию правила
• ​Пропускать (pass) HTTP-запросы, соответствующие условию правила
• js-challenge — обязательная дополнительная проверка запросов. Если проверка провалена, то запросы блокируются.

Пример работы правил
Допустим, клиент хочет всегда пропускать GET и POST запросы к API. Он уверен, что все валидные URI начинаются с /v1/, поэтому нужно создать одно правило с несколькими условиями.

В этом случае для него настройка правил защиты будет выглядеть так:


Настройка правил производится во вкладке «Домены» в дашборде, подробную инструкцию по настройке вы найдете в нашей базе знаний.
ddos-guard.net/ru/manual/category/udalennaya-zashita-sajtov#143