Схема подключения определяется способами, которые будут использованы для перенаправления трафика на СистемуKaspersky DDoS Protection и для доставки трафика после фильтрации до площадки размещения Защищаемого ресурса.
Способы перенаправления трафика:
Изменение DNS A-записи на IP-адрес, выданный Kaspersky DDoS Protection. Требует блокировки оригинального IP-адреса Защищаемого ресурса (во избежание атаки на оригинальный IP-адрес в обход Системы Kaspersky DDoS Protection) и уменьшения TTL для DNS A-записи.
Переключение по BGP, предполагающее передачу анонсов IP-адресов автономной системы в Интернет через Систему Kaspersky DDoS Protection.
Способы доставки трафика:
Обратное проксирование – подходит для HTTP(S)-ресурсов, предполагает установку HTTP-сессии от каждого посетителя Защищаемого ресурса с проксирующим узлом Системы Kaspersky DDoS Protection, а затем переустановка сессии с WEB-сервером Защищаемого ресурса. При этом все запросы к WEB-серверу будут приходить от IP-адресов Системы Kaspersky DDoS Protection, а оригинальные IP-адреса посетителей будут передаваться в HTTP-заголовках X-Real-IP или X-Forwarded-For.
Маршрутизация – подходит для любых ресурсов, с не-HTTP(S) сервисами, предполагает организацию GRE-туннелей или выделенных каналов между Центрами очистки и площадкой размещения Защищаемого ресурса, и настройку BGP-пиринга. При наличии у Клиента собственной AS и PI-адресов, через Центры очистки маршрутизируется PI-сеть Клиента. При отсутствии собственной AS и PI-адресов, выдаются приватный номер AS и IP-адреса из пула Kaspersky DDoS Protection для переключения через изменение DNS A-записи. Трафик доставляется без изменений.
Реальные схемы подключения можно представить в виде следующих комбинаций:
Отдельным элементом схемы подключения является Сенсор, который потребуется (для обнаружения атак), если выбран режим On demand или если требуется защита без расшифровки HTTPS для режима Always on.