Рекомендуемые настройки веб-сервера
Рекомендуемые настройки веб-сервера
Для корректной работы и обеспечения максимальной защиты от вредоносных запросов мы рекомендуем произвести настройку веб-сервера.
Если вам не подходит бесплатный сертификат, Вы можете приобрести сертификат Comodo PositiveSSL на нашем сайте, или любой другой сертификат у верифицированного вендора и добавить его в личном кабинете защиты, в разделе управления доменом.
Для проверок записей Вы можете использовать как утилиты, встроенные в операционную систему (nslookup для Windows, whois, dig, host для Linux) или онлайн-сервисы, такие как check-host.net
Следует убедиться, что все используемые защищаемым ресурсом домены и поддомены в качестве А-записи DNS имеют IP-адрес предоставляемого сервиса. Помимо этого, желательно избегать использования реального IP-адреса сервера в любых записях DNS вашего доменного имени.
Для всех сайтов, использующих защиту, по умолчанию подключается бесплатный сертификат Let’s Encrypt.
IP-адрес, использованный сайтом до подключения защиты, вероятнее всего уже скомпрометирован (сохранен в различных сервисах истории DNS и др.), и может быть использован для целевых атак по IP-адресу (объемных атак или атак, использующих уязвимости транспортных протоколов). На услугах, на которых не предоставляется защита на уровнях L3-4, рекомендуется также произвести смену IP-адреса хостинга и изменить его в настройках услуги. Обращаем внимание, что IP-адрес по-прежнему может передаваться в сторонних протоколах, например в заголовках почтовых сообщений, что, в случае использования Вами почтового сервера, расположенного на выделенном виртуальном или физическом сервере вместе с вашим сайтом может привести к компрометации реального IP-адреса.
После смены IP-адреса рекомендуется ограничить возможность подключения к вашему серверу по используемым веб-сервером портам для всех хостов, за исключением устройств сети DDoS-Guard.
После подключения защиты, в логах Вашего сервера, а также в любых плагинах, использующих для своей работы IP-адреса пользователей, будут отображаться только адреса, принадлежащие DDoS-Guard. Фильтрация трафика осуществляется методом проксирования: прямого, в случае удаленной защиты сайта или прозрачного, при использовании сервисов VDS, Dedicated Server или L7-фильтрации на услуге IP-транзит. По этой причине, IP-адрес отправителя пакета подменяется IP-адресом устройства сети DDoS-Guard, осуществляющего доставку трафика к Вашему серверу. При этом IP-адрес оригинального отправителя запроса дописывается в HTTP(s) заголовки X-Real-IP и X-Forwarded-For. Для отображения IP-адресов реальных посетителей Вашего сайта, требуется добавить директиву, позволяющую чтение данных заголовков с IP-адресов сети DDoS-Guard в конфигурацию веб-сервера. Универсальная инструкции для настройки популярных веб серверов размещены ниже. (Версию Apache вы можете посмотреть при помощи команды apache2 -version (Debian/ubuntu) или httpd -v (CentOs/RedHat))
Универсальная инструкция по настройке WEB сервера
Для корректной работы веб ресурса вам потребуется добавить несколько строчек в конфигурацию вашего веб сервера.
Вам потребуется настроить mod_rpaf, если используется веб-сервер Apache. Файл /etc/apache2/mods-enabled/rpaf.conf
Или включить http_real_ip если используется Nginx. Файл /etc/nginx/nginx.conf секция http:
Чтобы трафик не проливался по IP адресу и 80/443 порту нужно добавить следующие правила, разрешающие доступ только от центра фильтрации. Если не выполнить настройки Firewall, защита будет не эффективна.
ВАЖНО! Правила Firewall предоставлены справочно! Перед добавлением данных правил просим вас изучить разрешенные и запрещенные порты в вашей системе, и только после этого производить все настройки.
Last updated