Статьи компании

9.7
DDoS-Guard.net

19.07.2018

Легкий START с DDoS-GUARD

Новый хостинг всего за 50 рублей в месяц
Читать далее
18.04.2018

Заблокировали хостинг-провайдера? Переходи на DDoS-GUARD

Блокировки Роскомнадзора поставили в трудное положение всех, кто пользовался услугами зарубежных провайдеров Amazon и OVH. 
Читать далее
13.03.2018

Яндекс и Google стали еще ближе для клиентов DDoS-GUARD

Провайдер организовал прямые подключения к сетям ключевых контент-генераторов - Яндекса и Google.
Читать далее
13.02.2018

Геораспределенный DNS-хостинг с защитой DDoS-GUARD бесплатно

Вы знаете, на чьих серверах хранятся доменные имена ваших веб-ресурсов?А сколько времени им требуется для  резолвинга вашего сайта? Защищены ли они от DDoS-атак?
Читать далее
23.01.2018

Запущен новый узел фильтрации сети DDoS-GUARD в Азии

Провайдер услуг защиты от DDoS-атак успешно запустил в эксплуатацию новый узел фильтрации трафика в Азии, который улучшит связанность сети в регионе
Читать далее

Скидка 50% к 23 февраля!

Период действия акции *: до 25.02.2018
DDoS-GUARD поздравляет с наступающим Днем защитника Отечества. Каждому из нас есть, что оберегать. И чтобы помочь вам уберечь свои проекты от DDoS-атак, мы дарим скидку 50% на первый платеж!
Читать далее

SSL-сертификат бесплатно!

Период действия акции *: бессрочно
Теперь фильтрация HTTPS-трафика ВКЛЮЧЕНА в стоимость тарифного плана Normal. Клиент может использовать как бесплатный Let's Encrypt, так и установить любой свой сертификат. 
Читать далее

Скидка 50% на первую оплату

Период действия акции *: до 28 февраля 
Чтобы получить скидку, укажите при оплате промокод CHINESENEWYEAR2018 и сумма уменьшится автоматически.
Читать далее

Новогодняя акция - хостинг, VDS, аренда серверов и защита от DDoS-атак со скидкой 50%!

Период действия акции *: до 31.01.2018
Профессиональный сервис за полцены - только до конца января
Читать далее

Подарок от DDoS-GUARD на День холостяков!

Период действия акции *: до 11 декабря 2017
Скидка новым клиентам!
Читать далее

Есть ли альтернатива BGP Flowspec?

Рубрика: Разное
Опубликовано: 15.01.2018.
Одним из самых распространенных видов prefirewall фильтров является BGP Flowspec, широко применяемый как в рамках одного домена, так и на междоменном уровне и позволяющий с помощью сигнализации протокола BGP (AFI flow) передавать описанные правила на удаленные узлы в сети, где они выполняются Firewall.

Более подробно это описано в RFC5575, с дополнениями в RFC7674, и сопутствующим количеством документов со статусом  Internet-Draft. Невзирая на заголовок статьи, изложенный в ней материал — не попытка преподнести  полноценную замену многолетнему стандарту, давно нашедшему реализацию во многих вендорских и операторских решениях. У каждой технологии есть свои особенности, преимущества и недостатки. Речь пойдет о совместном применении всем хорошо известного транзитивного атрибута community протокола BGP, вендорских решениях от Juniper  Destination Class Usage и Prefix-Specific Action (у Cisco — microflow policing).

Рассмотрим более подробно совместную реализацию данных решений на приведенных схеме, примерах конфигурации, скриншотах тестирования.

 

Тестовая схема состоит из AS65001, представляющую автономную систему клиента, и анонсирующую защищаемый префикс 192.168.200/24 с community 65000:1111; из AS65000, представляющей IP/MPLS домен ISP; из сегмента Internet с хостом генерирующим тестовый трафик.

Основная конфигурация выполняется на пограничных маршрутизаторах ISP, в который включены аплинки (в нашем примере это PE-маршрутизатор vMX-VCP). Рассмотрим подробнее на примере конфигурации.

1) Опишем community по которому policy будет осуществлять match определенных префиксов:

 set policy-options community dst-prefixes members 65000:1111

 

2) Опишем саму policy, в котором в котором в качестве match указан протокол bgp и ранее описанное community, а в качестве action назначаться destination-class:

 set policy-options policy-statement dcu-psa term 1 from protocol bgp
set policy-options policy-statement dcu-psa term 1 from community dst-prefixes
set policy-options policy-statement dcu-psa term 1 then destination-class psa

 

3) Применим policy к routing-options forwarding-table:

set routing-options forwarding-table export dcu-psa

 

4) Создадим policer, который будет применяться в prefix-action для ограничения определенного трафика (ограничение в 2 Mbps указано в качестве примера):


set firewall policer lim2m-PSA if-exceeding bandwidth-limit 2m
set firewall policer lim2m-PSA if-exceeding burst-size-limit 15k
set firewall policer lim2m-PSA then discard
 

           

5) Создаем firewall prefix-action в котором указываем длину префикса (в нашем случае это /24), его градацию по destination (в примере указано /32), а также policer, ограничивающий определенный трафик на каждый destination (т. е. на каждый IP-адрес):

set firewall family inet prefix-action psa-2m-dest-24-32 policer lim2m-PSA
set firewall family inet prefix-action psa-2m-dest-24-32 count
set firewall family inet prefix-action psa-2m-dest-24-32 filter-specific
set firewall family inet prefix-action psa-2m-dest-24-32 subnet-prefix-length 24
set firewall family inet prefix-action psa-2m-dest-24-32 destination-prefix-length 32
 

 

6) В firewall filter PSA ссылаемся на ранее описанный destination-class, описываем критерии по которым необходимо матчить трафик (в примере TCP-пакеты с флагами syn, ack, syn+ack, rst, но в реальности может быть все что угодно, например, тот же UDP) и в качестве action указываем ранее созданный prefix-action:

set firewall filter PSA term psa from destination-class psa
set firewall filter PSA term psa from source-address 0.0.0.0/0
set firewall filter PSA term psa from protocol tcp
set firewall filter PSA term psa from tcp-flags "(((syn & ack) | rst) | syn) | ack"
set firewall filter PSA term psa then next term
set firewall filter PSA term psa then prefix-action psa-2m-dest-24-32
set firewall filter PSA term accept then accept


7
) Применяем созданный фильтр к forwarding-options:

  set forwarding-options family inet filter output PSA

 

Полную версию материала читайте здесь. Материал подготовлен сотрудниками DDoS-GUARD.

Все статьи компании
Читальный зал

Добавить комментарий

Комментарии могут оставлять только авторизованные пользователи.
Авторизоваться   Зарегистрироваться

Системный администратор DevOps

Вид: В офисе
Страна: Россия
Город: Ростов-на-Дону
Зарплата *: по договоренности
Описание *:
Должностные обязанности:

Запуск и мониторинг новых сервисов, масштабирование уже существующих.
Участие в backend-разработке со стороны системного администрирования.
Проектирование высоконагруженных систем.
Работа с сетевой инфраструктурой.
Эффективное взаимодействие с командой разработчиков.

Требования:

Опыт работы с Linux.
Знание систем виртуализаций (VMware или KVM).
Опыт администрирования и автоматизирования Linux сред.
Глубокие технические знания общих принципов работы операционных систем.
Владение скриптовыми языками Bash, Perl.
Знание аппаратных сред, аппаратных вычислительных ресурсов, систем хранения данных.
Понимание взаимодействия между HW, операционной системой и приложениями в Linux.
Понимание работы сетевых протоколов TCP/IP и HTTP/HTTPS.
Опыт администрирования PostgreSQL, MySQL, Apache, Postfix, Dovecot, Proftpd, PHP, Nginx, DNS, Squid/Varnish, MongoDB, Redis.

Большим плюсом будет:

Навыки программирования на Python и LuaОпыт работы с сетями, оборудованием Juniper или других производителей.
Владение навыками настройки JIRA.


Условия работы:

Комфортный офис в центре города.
Оформление по ТК РФ, белая заработная плата со стабильными выплатами и полным социальным пакетом.
Возможность заграничных командировок.
ДМС (оплачиваемая компанией медицинская страховка).
Регулярные чемпионаты в Mortal Kombat, FIFA и т.д., проходящие в нашей оборудованной игровой комнате.

Режим работы с 10:00 до 19:00 в офисе, где на кухне всегда лежит много вкусняшек. Мы работаем много и упорно, но не загоняем себя в рамки традиционного рабочего расписания. Мы позволяем себе отдыхать не только в офисе, но и на выезде всей компанией в красивое место.Вознаграждение в большей степени зависит от Ваших амбиций и трудоспособности.

Наверх
Сообщить об ошибке
Описание ошибки: