Как интегрировать сторонние DDoS-сервисы для RPF-трафика, обращенного к Интернету

Эта статья обсуждает интеграцию сторонних решений для защиты от DDoS с публичным ресурсом Интернета, расположенным за сайтом Cato.

Обзор

Удаленная переадресация портов (RPF) Cato предназначена в первую очередь для предоставления корпоративных ресурсов известным корпоративным пользователям с подходом разрешенного списка. Это означает, что вы можете ограничить корпоративный ресурс определенными IP-адресами, которые разрешены для подключения, иначе трафик будет заблокирован.

Иногда необходимо предоставить доступ неизвестным пользователям и публично выставить внутренний сервер через RPF в Интернет. Это создает потенциальный риск безопасности, так как вы разрешаете общий доступ к внутренним ресурсам. В этой ситуации мы рекомендуем защитить RPF-трафик с помощью облачного сервиса DDoS от стороннего поставщика перед сайтом. Например, интеграция WAF для защиты входящего HTTP-трафика.

Диаграмма примера стороннего решения для безопасности с RPF

Network_Diagram_-_RPF.png

Интеграция стороннего решения для защиты трафика RPF

В этом разделе объясняется, как настроить ресурс RPF, чтобы только служба безопасности (например, DDoS) могла получить к нему доступ. Это добавляет значительный уровень безопасности для ресурса, предоставленного через общедоступный Интернет.

Вот конфигурации, которые вам нужно сделать:

  • В стороннем облачном сервисе определите:

    • Публичные IP-адреса, используемые сервисом

    • DNS-имя ресурса, сопоставленное с публичным IP-адресом, который Cato распределил вашему аккаунту (Сеть > Распределение IP-адресов)

  • В приложении управления Cato определите правило RPF для переадресации трафика в облачный сервис

    • Стек безопасности в облаке Cato не выполняет инспекцию TLS на входящем RPF трафике

Для интеграции стороннего сервиса безопасности для RPF-трафика:

  1. В стороннем сервисе безопасности определите следующие настройки:

    1. Выделите публичный IP-адрес для сервера.

    2. Настройте IP/CNAME для IP-адреса для внешнего правила RPF.

  2. У поставщика DNS настройте домен на переадресацию трафика на IP/CNAME на предыдущем шаге.

  3. Настройте политику для стороннего сервиса безопасности (WAF, инспекция входящего TLS и так далее).

  4. В приложении управления Cato определите правило RPF с этими настройками (Безопасность > Удаленная переадресация портов):

    • Внешний IP-адрес и Диапазон внешних портов для публичных IP-адресов Cato (отдельное правило для каждого IP-адреса)

    • Внутренний IP-адрес и Диапазон внутренних портов для внутреннего ресурса

    • Тип трафикаРазрешенный список

    • Источники трафика — это публичные IP-адреса для облачного сервиса (объявленные публично сторонней службой безопасности)

Была ли эта статья полезной?

Пользователи, считающие этот материал полезным: 1 из 1

0 комментариев