Aller au contenu
DDoS

Configuration Cloud

XC (UI)

Section intitulée « XC (UI) »

Utilisez l’interface web pour configurer le côté Cloud, en vous basant sur le guide Mitigation DDoS L3/L4 routée.

Activer l’espace de travail Protection DDoS

Section intitulée « Activer l’espace de travail Protection DDoS »

Avant de pouvoir configurer les tunnels et BGP :

  1. Contactez l’équipe Cloud (via sales@example.com ou votre équipe de compte) pour :

    • Activer l’espace de travail Mitigation DDoS routée pour votre tenant.
    • Fournir :
      • Vos blocs d’adresses IP publiques (/24 ou plus court pour l’IPv4, /48 ou plus court pour l’IPv6) ainsi qu’une preuve de propriété (ou LOA).
      • Votre ASN (doit être émis par l’ARIN ou un registre équivalent).
      • L’enregistrement IRR (RIPE, ARIN, APNIC, etc.) et le ROA dans le dépôt RPKI.
      • La méthode de retour du trafic épuré souhaitée (tunnels GRE, couche 2, peering privé via Equinix, etc.).
      • Les emplacements des centres de données et les routeurs à protéger.
      • Les AS-Path prepends requis pour les annonces de routes.
      • Toute communauté BGP, préférence de route ou AS-SET.

  2. Le SOC provisionnera :

    • Les tunnels
    • Les ASN
    • Les préfixes protégés
    • Les options d’annonce de routes
    • Les ACL rapides / politiques de pare-feu, selon les besoins

Tunnels

Section intitulée « Tunnels »
  1. Connectez-vous à la Console Cloud et sélectionnez Routed DDoS dans le sélecteur de services.
  2. Accédez à Manage > Tunnels > Add Tunnel et configurez :
    • Location Name et Availability Zone (Zone 1 par défaut).
    • Bandwidth Max in MB.
    • Tunnel Type :
      • GRE Over IPv4 pour un tunnel externe IPv4.
      • GRE Over IPv6 pour un tunnel externe IPv6.
      • IP Over IP pour l’encapsulation IPv4-dans-IPv4.
      • IPv6 Over IPv6 pour l’encapsulation IPv6-dans-IPv6.
    • Customer Endpoint IP : l’adresse externe du BIG-IP (self IP externe, doit être routable publiquement lorsque les tunnels traversent l’Internet public).
    • Optionnel : interconnexion IPv4/IPv6, fragmentation, keepalive (tous désactivés par défaut).
  3. Sous Tunnel BGP Information :
    • Sélectionnez un objet ASN (votre ASN).
    • Définissez Customer Peer Secret Override : Use Default Secret (par défaut), BGP Password Override (blindfolded ou texte clair), ou No Secret.
    • Définissez la valeur Holddown Timer en secondes si elle diffère de la valeur par défaut.

Le SOC peut précréer ces objets de tunnel pour vous ; vous n’avez qu’à faire correspondre les adresses IP de point de terminaison et les paramètres BGP sur le BIG-IP.

ASN et Routes

Section intitulée « ASN et Routes »

  • ASNs : -> Manage > ASNs > Add ASN.

    • Saisissez votre ASN et assurez-vous que BGP est activé.

  • Prefixes : -> Manage > Prefixes > Add Prefix.

    • Saisissez chaque préfixe IP et associez-le à votre ASN.

  • Route Advertisements -> Manage > Route Advertisement > Add Route Advertisement.

    • Saisissez le préfixe, choisissez Active ou Not Advertised, et définissez éventuellement une date d’expiration.

Ces objets contrôlent les préfixes annoncés via le réseau global lorsque le service est actif.

Restriction réseau

Section intitulée « Restriction réseau »

Les Firewall Rules, les Deny List Rules et les Fast ACLs for Internet VIPs vous permettent de :

  • Bloquer ou autoriser du trafic spécifique.
  • Limiter le débit des sources abusives.
  • Appliquer des protections DDoS supplémentaires au-delà du simple filtrage volumétrique.