इंटरनेट-फेसिंग RPF ट्रैफ़िक के लिए थर्ड-पार्टी DDoS सेवाओं को कैसे इंटीग्रेट करें

इस लेख में हम चर्चा करेंगे कि कैसे थर्ड-पार्टी DDoS सुरक्षा समाधानों को Cato साइट के पीछे स्थित एक इंटरनेट-फेसिंग सार्वजनिक संसाधन के साथ इंटीग्रेट किया जा सकता है।

अवलोकन

Cato का रिमोट पोर्ट फॉरवर्डिंग (RPF) मुख्य रूप से ज्ञात कॉर्पोरेट उपयोगकर्ताओं को अनुमति सूची दृष्टिकोण के साथ कॉर्पोरेट संसाधनों को प्रदर्शित करने के लिए डिज़ाइन किया गया है। इसका मतलब है कि आप उस कॉर्पोरेट संसाधन को विशेष IP पतों तक सीमित कर सकते हैं जिन्हें कनेक्ट करने की अनुमति है, अन्यथा ट्रैफ़िक अवरुद्ध हो जाता है।

कभी-कभी अज्ञात उपयोगकर्ताओं को एक्सेस देना आवश्यक होता है और RPF के माध्यम से आंतरिक सर्वर को इंटरनेट के माध्यम से सार्वजनिक रूप से प्रदर्शित करना पड़ता है। यह एक संभावित सुरक्षा जोखिम उत्पन्न करता है, क्योंकि आप आंतरिक संसाधनों को सार्वजनिक एक्सेस दे रहे हैं। इस स्थिति में, हम अनुशंसा करते हैं कि आप साइट के सामने एक थर्ड-पार्टी DDoS क्लाउड सेवा के साथ RPF ट्रैफ़िक को सुरक्षित करें। उदाहरण के लिए, इनबाउंड HTTP ट्रैफ़िक की सुरक्षा के लिए एक WAF को इंटीग्रेट करना।

RPF के साथ थर्ड-पार्टी सुरक्षा समाधान का दृश्य

नेटवर्क_आरेख_-_आरपीएफ.png

RPF ट्रैफ़िक की सुरक्षा के लिए थर्ड-पार्टी समाधान का इंटीग्रेशन

इस खंड में बताया गया है कि कैसे RPF संसाधन को केवल सुरक्षा सेवा (जैसे DDoS) तक पहुंचने की अनुमति देने के लिए कॉन्फ़िगर करें। यह सार्वजनिक इंटरनेट पर उपलब्ध संसाधन की सुरक्षा में एक महत्वपूर्ण परत जोड़ता है।

ये वे कॉन्फ़िगरेशन हैं जो आपको करने की आवश्यकता है:

  • थर्ड-पार्टी क्लाउड सेवा में, परिभाषित करें:

    • सेवा द्वारा उपयोग किए गए सार्वजनिक IPs

    • DNS नाम संसाधन के लिए जो सार्वजनिक IP पते से जुड़ा है जिसे Cato ने आपके खाते को आवंटित किया था (नेटवर्क > IP आवंटन)

  • Cato प्रबंधन एप्लिकेशन में एक RPF नियम को परिभाषित करें जो ट्रैफ़िक को क्लाउड सेवा की ओर अग्रेषित करता है

    • Cato क्लाउड में सुरक्षा स्टैक इनबाउंड RPF ट्रैफ़िक पर TLS निरीक्षण नहीं करता है

RPF ट्रैफ़िक के लिए थर्ड-पार्टी सुरक्षा सेवा को इंटीग्रेट करने के लिए:

  1. थर्ड-पार्टी सुरक्षा सेवा में, इन सेटिंग्स को परिभाषित करें:

    1. सर्वर के लिए सार्वजनिक IP पता आवंटित करें।

    2. बाहरी RPF नियम के IP पते के लिए IP/CNAME को कॉन्फ़िगर करें।

  2. DNS प्रदाता में, पिछले चरण के IP/CNAME पर ट्रैफ़िक अग्रेषित करने के लिए डोमेन को कॉन्फ़िगर करें।

  3. थर्ड-पार्टी सुरक्षा सेवा के लिए नीति (जैसे WAF, आगत TLS निरीक्षण, आदि) को कॉन्फ़िगर करें।

  4. Cato प्रबंधन एप्लिकेशन में इन सेटिंग्स के साथ एक RPF नियम को परिभाषित करें (सुरक्षा > रिमोट पोर्ट फॉरवर्डिंग):

    • Cato सार्वजनिक IPs के लिए बाहरी IP और बाहरी पोर्ट रेंज (हर IP के लिए अलग नियम)

    • आंतरिक संसाधन के लिए आंतरिक IP और आंतरिक पोर्ट रेंज

    • ट्रैफ़िक प्रकार है अनुमति सूची

    • ट्रैफ़िक स्रोत वे सार्वजनिक IP पते हैं जो क्लाउड सेवा के लिए हैं (सार्वजनिक रूप से थर्ड-पार्टी सुरक्षा सेवा द्वारा प्रचारित किए गए)

क्या यह लेख उपयोगी था?

1 में से 1 के लिए उपयोगी रहा

0 टिप्पणियां