Salta ai contenuti
DDoS

Configurazione Cloud

XC (UI)

Sezione intitolata “XC (UI)”

Utilizza l’interfaccia web per configurare il lato Cloud, seguendo la guida L3/L4 Routed DDoS Mitigation.

Abilitare il workspace DDoS

Sezione intitolata “Abilitare il workspace DDoS”

Prima di poter configurare tunnel e BGP:

  1. Contatta il team Cloud (tramite sales@example.com o il tuo account team) per:

    • Abilitare il workspace Routed DDoS Mitigation per il tuo tenant.
    • Fornire:
      • I tuoi blocchi IP pubblici (/24 o più corti per IPv4, /48 o più corti per IPv6) e la prova di proprietà (o LOA).
      • Il tuo ASN (deve essere rilasciato da ARIN o da un registro equivalente).
      • Registrazione IRR (RIPE, ARIN, APNIC, ecc.) e ROA nel repository RPKI.
      • Il metodo di restituzione del traffico pulito desiderato (tunnel GRE, Layer 2, peering privato tramite Equinix, ecc.).
      • Sedi dei data center e router da proteggere.
      • Prepend AS-Path richiesti per gli annunci di route.
      • Eventuali community BGP, preferenze di route o AS-SET

  2. Il SOC eseguirà il provisioning di:

    • Tunnel
    • ASN
    • Prefissi protetti
    • Opzioni di advertisement delle route
    • Fast ACL / policy firewall, se necessario

Tunnel

Sezione intitolata “Tunnel”
  1. Accedi alla Console Cloud e seleziona Routed DDoS dal selettore di servizi.
  2. Vai a Manage > Tunnels > Add Tunnel e configura:
    • Location Name e Availability Zone (Zona 1 per impostazione predefinita).
    • Bandwidth Max in MB.
    • Tunnel Type:
      • GRE Over IPv4 per tunnel outer IPv4.
      • GRE Over IPv6 per tunnel outer IPv6.
      • IP Over IP per incapsulamento IPv4-in-IPv4.
      • IPv6 Over IPv6 per incapsulamento IPv6-in-IPv6.
    • Customer Endpoint IP: indirizzo esterno del BIG-IP (self IP outer, deve essere pubblicamente instradabile quando i tunnel attraversano Internet pubblica).
    • Opzionale: interconnect IPv4/IPv6, frammentazione, keepalive (tutti disabilitati per impostazione predefinita).
  3. Nella sezione Tunnel BGP Information:
    • Seleziona un oggetto ASN (il tuo ASN).
    • Imposta Customer Peer Secret Override: Use Default Secret (predefinito), BGP Password Override (blindfolded o testo in chiaro), oppure No Secret.
    • Imposta il valore Holddown Timer in secondi se diverso dal valore predefinito.

Il SOC potrebbe pre-creare questi oggetti tunnel per te; sarà sufficiente abbinare gli IP endpoint e le impostazioni BGP sul BIG-IP.

ASN e Route

Sezione intitolata “ASN e Route”

  • ASN: -> Manage > ASNs > Add ASN.

    • Inserisci il tuo ASN e assicurati che BGP sia abilitato.

  • Prefissi: -> Manage > Prefixes > Add Prefix.

    • Inserisci ogni prefisso IP e associalo al tuo ASN.

  • Route Advertisement -> Manage > Route Advertisement > Add Route Advertisement.

    • Inserisci il prefisso, scegli Active o Not Advertised e imposta una scadenza opzionale.

Questi oggetti controllano quali prefissi vengono annunciati tramite la rete globale quando il servizio è attivo.

Restrizione di rete

Sezione intitolata “Restrizione di rete”

Firewall Rules, Deny List Rules e Fast ACLs for Internet VIPs consentono di:

  • Bloccare o consentire traffico specifico.
  • Limitare la velocità di sorgenti abusive.
  • Applicare protezioni DDoS aggiuntive oltre al semplice scrubbing volumetrico.