Настройка защиты от DoS для трафика reverse-прокси

ID статьи: 759

Последнее обновление: 11 сен, 2023

Содержание:

Product: UserGate NGFW

Version: 6.1.8, 6.1.9, 7.0.1

Задача

Необходимо настроить защиту от DoS-атак для веб-сервера, опубликованного через reverse-прокси.

Решение

ПримечаниеВ версиях 6.1.8, 6.1.9, 7.0.1 присутствуют проблемы в работе правил защиты для трафика reverse-прокси.

ПримечаниеПравилами межсетевого экрана нельзя ограничить доступ к ресурсам, опубликованным через reverse-прокси.

Для версий NGFW, в которых есть проблемы с работой правил защиты от DoS, для защиты ресурсов, опубликованных через reverse-прокси, можно использовать следующий вариант: перенаправить нежелательный трафик на несуществующий адрес. Для этого необходимо произвести следующие настройки:

1. Создать два правила DNAT для нежелательного трафика (трафик от бот-сетей и адресов, не принадлежащих российскому пространству):

в первом правиле в качестве адреса источника выбрать GeoIP Russian Federation и отметить чекбокс Инвертировать, в условии Адрес назначения DNAT (вкладка DNAT) указать любой адрес, который у вас не используется, например, 1.2.3.4;
во втором правиле в качестве адреса источника выбрать список IP-адресов Список бот-сетей, в условии Адрес назначения DNAT (вкладка DNAT) указать любой адрес, который у вас не используется, например, 1.2.3.4.

ПримечаниеВажно создавать 2 правила, т.к. при указании в одном условии списков IP-адресов и GeoIP применяется логика "И" - для срабатывания правила адрес источника должен находится в обоих списках.

2. Создать статический маршрут типа blackhole, в качестве адреса назначения указать 1.2.3.4/32.

В соответствии с Packet Flow (подробнее читайте в UserGate NGFW 6 Packet Flow) правила DNAT сработают раньше правил reverse-прокси и перенаправят нежелательный трафик blackhole.