У нас есть следующие виды установки:защиты Nginx от дос атак
internet ---> Load balancer ---> 6 nginx instances ---> 15 Tomcat instances
Там есть очень огромный веб-трафика на этой установке. Мы хотели отфильтровать все обращения и атаки DoS. Я хочу сказать, что мы хотим защитить эту установку от всех уязвимостей.
Какая защита требуется здесь и в какой момент? Это начальная точка? Может быть, на каждом экземпляре nginx?
Существует несколько способов сделать это. Я буду разделять несколько распространенных из них:
- Вы можете попытаться задушить запросы (ограничение скорости) на вашей балансировке нагрузки.
- Используйте iptables для добавления дополнительной безопасности во все ваши экземпляры
- Если возможно, поместите некоторые из ваших экземпляров (например, базы данных) в приватную подсеть и поместите только те, которые должны взаимодействовать с Интернетом в вашей общей подсети (например, загрузить балансир)
- регистрации запросов, так блокирующих IP-адрес легко
- для более расширенных настроек, вы можете иметь ваши Iptables «реагировать» на запросы с обнаружением вторжений и анализ журналов (например, ППС)
Старни ng point - это ваш балансировщик нагрузки, но важно предположить, что ваш балансировщик нагрузки может быть использован (а не только DDoS), поэтому убедитесь, что вы затвердели все экземпляры, чтобы замедлить атакующего.
Вышеуказанные рекомендации зависят от вашей настройки. Например, стратегия отличается, если вы используете ELB (AWS Elastic Load Balancer).