Настройка схемы Proxy KDP-IP
Переключение трафика под защиту Kaspersky DDoS Protection осуществляется методом reverse proxy с подходом к фильтрации трафика типа Always on. Решение Kaspersky DDoS Protection может быть использовано только для защиты WEB-сервисов, работающих по протоколу HTTP или HTTPS.
Этапы подключения:
- Клиент заполняет checklist, уточняя параметры ресурсов, которые необходимо защитить.
- Служба технической поддержки Kaspersky DDoS Protection подготавливает Систему к работе с новыми Защищаемыми ресурсами и высылает Клиенту документ, где перечисляет основные настройки для площадки Клиента, а также хронологию подключения.
- (опционально) Если Защищаемый ресурс работает по протоколу HTTPS, Клиент валидирует выпуск дополнительной пары ключ-сертификат для домена.
- Клиент устанавливает время жизни DNS А-записи ресурса TTL=300 секунд.
- Клиент заменяет IP-адрес DNS А-записи Защищаемого ресурса на IP-адрес, выданный Kaspersky DDoS Protection.
- Клиент блокирует прямой доступ к Защищаемому ресурсу по оригинальному IP-адресу со всех IP-адресов, кроме IP-адресов прокси-серверов Kaspersky DDoS Protection (список предоставляется в рамках процесса подключения), чтобы исключить переполнение канала «последней мили».
Кэширование статического контента
По умолчанию Система Kaspersky DDoS Protection настроена на кэширование статического контента Защищаемого веб-приложения. Значение времени жизни копии статического контента установлено на уровне 5 минут.
Ограничения на размер заголовка
Значение по умолчанию для заголовка HTTP-запроса равно 8 kb, но оно может быть изменено по требованию Клиента.
(Опционально) работа с HTTPS
Для подключения Защищаемого ресурса, работающего по протоколу HTTPS, необходим выпуск дополнительной пары ключ-сертификат на домен. Валидация выпуска дополнительной пары ключ-сертификат может быть осуществлена тремя путями. Клиенту следует выбрать наиболее подходящий путь валидации.
- Если есть доступ к почте, указанной в whois, на данный ящик высылается письмо с индивидуальной ссылкой, переход по которой валидирует выпуск пары ключ-сертификат
- Письмо также может быть направлено на пять установленных по умолчанию доменных e-mail, например admin@example.com
- Валидация также может быть осуществлена путем создания специальной txt-записи в домене, содержащей ключ.
Максимально разрешенный размер файла для передачи
Размер файлов для загрузки пользователем на сервер (upload) по умолчанию ограничен до 16 MB. Данное значение может быть изменено по требованию Клиента.
Размер файлов для загрузки пользователями с сервера (download) не лимитирован.
Балансировка
Система Kaspersky DDoS Protection поддерживает балансировку для двух и более апстримов. Варианты балансировки:
Round-robin – циклический.
Least-connected – запрос от Системы Kaspersky DDoS Protection поступает на менее загруженный сервер.
Ip-hash – выбор сервера происходит по хеш-функции IP-адреса Клиента (применяется в тех случаях, когда необходимо «привязать» конкретного Клиента к конкретному серверу).
По умолчанию используется механизм IP-hash. Механизм балансировки может быть изменен в любой момент по запросу Клиента.
Значения по умолчанию
Значения данных параметров могут быть изменены по запросу Клиента:
Параметры и значения по умолчанию
Параметр |
Значение по умолчанию |
Описание |
proxy_connect_timeout |
30 сек |
Задает таймаут для установки соединения с сервером Клиента |
proxy_read_timeout |
60 сек |
Задает таймаут при чтении ответа от сервера Клиента, а именно время между двумя операциями чтения. Если по истечении указанного времени сервер Клиента не передаст никакие данные, соединение прерывается |
proxy_send_timeout |
60 сек |
Задает таймаут при передаче запроса серверу Клиента, а именно время между двумя операциями записи. Если по истечении указанного времени прокси-сервер Kaspersky DDoS Protection не примет новых данных, соединение закрывается |
send_timeout |
60 сек |
Задает таймаут при передаче ответа серверу Клиента, а именно время между двумя операциями записи. Если по истечении указанного времени сервер Клиента не примет новых данных, соединение прерывается |
client_max_body_size |
50 Мбайт |
Задает максимально допустимый размер тела запроса Клиента, который указывается в поле Content-Length заголовка запроса. Если размер больше заданного, то Клиенту возвращается ошибка 413 Request Entity Too Large. Следует иметь в виду, что браузеры не отображают эту ошибку корректно. Параметр ограничивает объем данных, которые загружаются на сервер |