如何为面向互联网的RPF流量集成第三方DDoS服务

这篇文章讨论了如何将第三方DDoS保护解决方案与位于Cato站点后面的面向互联网的公共资源集成。

概述

Cato的远程端口转发(RPF)主要设计用于通过允许列表的方法将企业资源暴露给已知的企业用户。 这意味着您可以将企业资源限制为允许连接的特定IP地址,否则流量将被阻止。

有时需要为未知用户提供访问权限,并通过RPF在互联网公开暴露内部服务器。 这会造成潜在的安全风险,因为您允许公众访问内部资源。 在这种情况下,我们建议使用第三方DDoS云服务来保护站点前的RPF流量。 例如,集成WAF以保护入站HTTP流量。

带有RPF的第三方安全解决方案示例图

Network_Diagram_-_RPF.png

集成第三方解决方案以保护RPF流量

本部分说明如何配置RPF资源以仅允许安全服务(如DDoS)访问。 这为通过公共互联网提供的资源添加了重要的安全层。

这些是您需要进行的配置:

  • 在第三方云服务中定义:

    • 服务使用的公共IP

    • 资源的DNS名称映射到Cato分配给您账户的公共IP地址(网络 > IP 分配)

  • 在Cato管理应用程序中定义RPF规则,将流量转发到云服务

    • Cato云中的安全堆栈不对入站RPF流量执行TLS检查

要为RPF流量集成第三方安全服务:

  1. 在第三方安全服务中,定义这些设置:

    1. 为服务器分配一个公共IP地址。

    2. 为外部RPF规则配置IP/CNAME地址。

  2. 在DNS提供商中,配置域名以将流量转发到前一步中的IP/CNAME。

  3. 配置第三方安全服务的访问权限策略(如WAF、入站TLS检查等)。

  4. 在Cato管理应用程序中定义具有这些设置的RPF规则(安全性 > 远程端口转发):

    • 外部IP外部端口范围用于Cato的公共IP(为每个IP单独设定规则)

    • 内部IP内部端口范围用于内部资源

    • 流量类型允许列表

    • 流量来源是云服务的公共IP地址(由第三方安全服务公开提供)

这篇文章有帮助吗?

0 人中有 0 人觉得有帮助

0 条评论