تناقش هذه المقالة كيفية دمج حلول حماية DDoS الخارجية مع مورد عام يواجه الإنترنت يقع خلف موقع Cato.
إن إعادة توجيه المنافذ عن بُعد (RPF) من Cato مصمم بشكل أساسي لتوفير الموارد المؤسسية للمستخدمين المؤسسيين المعروفين باستخدام نهج قائمة السماح. هذا يعني أنه يمكنك تقييد المورد المؤسسي لعناوين IP المحددة المسموح لها بالاتصال، وإلا يتم حظر حركة المرور.
في بعض الأحيان يكون من الضروري توفير الوصول للمستخدمين غير المعروفين، وكشف خادم داخلي عبر RPF علناً عبر الإنترنت. هذا يخلق خطرًا أمنيًا محتملاً، لأنك تسمح بالوصول العام إلى الموارد الداخلية. في هذه الحالة، نوصي بتأمين حركة مرور RPF باستخدام خدمة سحابية DDoS خارجية أمام الموقع. على سبيل المثال، دمج WAF لحماية حركة مرور HTTP الواردة.
يوضح هذا القسم كيفية تكوين مورد RPF للسماح فقط لخدمة الأمان (مثل DDoS) بالوصول إليه. هذا يضيف طبقة كبيرة من الأمان للمورد المتوفر عبر الإنترنت العام.
هذه هي التكوينات التي تحتاج إلى القيام بها:
-
في خدمة السحابة الخارجية، تعرف:
-
عناوين IP العامة التي تستخدمها الخدمة
-
اسم DNS للموارد المربوط بعنوان IP العام الذي خصصته Cato لحسابك (الشبكة > تخصيص IP)
-
-
في تطبيق إدارة Cato، عرّف قاعدة RPF لتوجيه الحركة إلى خدمة السحابة
-
المكدس الأمني في Cato Cloud لا يقوم بفحص TLS لحركة مرور RPF الواردة
-
لدمج خدمة الأمان الخارجية لحركة مرور RPF:
-
في خدمة الأمان الخارجية، قم بتعريف هذه الإعدادات:
-
تخصيص عنوان IP عام للخادم.
-
تكوين IP/CNAME لعنوان IP لقاعدة RPF الخارجية.
-
-
في موفر DNS، قم بتكوين النطاق لتوجيه الحركة إلى IP/CNAME في الخطوة السابقة.
-
تكوين السياسة لخدمة الأمان الخارجية (WAF، فحص TLS الوارد، وما إلى ذلك).
-
في تطبيق إدارة Cato عرف قاعدة RPF بهذه الإعدادات (الأمان > إعادة توجيه عن بُعد للمنافذ):
-
IP الخارجي ونطاق المنافذ الخارجية لعناوين IP العامة لـ Cato (قاعدة منفصلة لكل IP)
-
IP الداخلي ونطاق المنافذ الداخلية للمورد الداخلي
-
نوع الحركة هوقائمة السماح
-
مصادر الحركة هي عناوين IP العامة لخدمة السحابة (معلن عنها علناً من قبل خدمة الأمان الخارجية)
-
لا توجد تعليقات
الرجاء تسجيل الدخول لترك تعليق.