Pular para o conteúdo
DDoS

Configuração da Nuvem

XC (UI)

Seção intitulada “XC (UI)”

Use a interface web para configurar o lado da Nuvem, com base no guia L3/L4 Routed DDoS Mitigation.

Habilitar workspace de DDoS

Seção intitulada “Habilitar workspace de DDoS”

Antes de configurar túneis e BGP:

  1. Entre em contato com a equipe da Nuvem (via sales@example.com ou sua equipe de conta) para:

    • Habilitar o workspace de Mitigação de DDoS Roteada para o seu tenant.
    • Fornecer:
      • Seus blocos de IP públicos (/24 ou menor para IPv4, /48 ou menor para IPv6) e comprovante de propriedade (ou LOA).
      • Seu ASN (deve ser emitido pelo ARIN ou registro equivalente).
      • Registro IRR (RIPE, ARIN, APNIC, etc.) e ROA no repositório RPKI.
      • Método de retorno de tráfego limpo desejado (túneis GRE, Camada 2, peering privado via Equinix, etc.).
      • Localizações de data centers e roteadores a proteger.
      • Prepends de AS-Path necessários para anúncios de rotas.
      • Quaisquer comunidades BGP, preferências de rota ou AS-SET

  2. O SOC provisionará:

    • Túneis
    • ASNs
    • Prefixos protegidos
    • Opções de anúncio de rotas
    • Fast ACLs / políticas de firewall, conforme necessário

Túneis

Seção intitulada “Túneis”
  1. Faça login no Console da Nuvem e selecione Routed DDoS no seletor de serviços.
  2. Acesse Manage > Tunnels > Add Tunnel e configure:
    • Location Name e Availability Zone (Zona 1 por padrão).
    • Bandwidth Max in MB.
    • Tunnel Type:
      • GRE Over IPv4 para túnel externo IPv4.
      • GRE Over IPv6 para túnel externo IPv6.
      • IP Over IP para encapsulamento IPv4 em IPv4.
      • IPv6 Over IPv6 para encapsulamento IPv6 em IPv6.
    • Customer Endpoint IP: endereço externo do BIG-IP (IP self externo, deve ser publicamente roteável quando os túneis atravessam a Internet pública).
    • Opcional: interconexão IPv4/IPv6, fragmentação, keepalive (todos desabilitados por padrão).
  3. Em Tunnel BGP Information:
    • Selecione um objeto ASN (seu ASN).
    • Defina Customer Peer Secret Override: Use Default Secret (padrão), BGP Password Override (blindfolded ou texto simples), ou No Secret.
    • Defina o valor do Holddown Timer em segundos, se diferente do padrão.

O SOC pode pré-criar esses objetos de túnel para você; basta corresponder os IPs de endpoint e as configurações de BGP no BIG-IP.

ASNs e Rotas

Seção intitulada “ASNs e Rotas”

  • ASNs: -> Manage > ASNs > Add ASN.

    • Insira seu ASN e certifique-se de que o BGP está habilitado.

  • Prefixos: -> Manage > Prefixes > Add Prefix.

    • Insira cada prefixo IP e associe-o ao seu ASN.

  • Anúncios de Rotas -> Manage > Route Advertisement > Add Route Advertisement.

    • Insira o prefixo, escolha Active ou Not Advertised e defina uma expiração opcional.

Esses objetos controlam quais prefixos são anunciados pela rede global quando o serviço está ativo.

Restrição de Rede

Seção intitulada “Restrição de Rede”

Firewall Rules, Deny List Rules e Fast ACLs for Internet VIPs permitem:

  • Bloquear ou permitir tráfego específico.
  • Limitar a taxa de fontes abusivas.
  • Aplicar proteções adicionais contra DDoS além da limpeza volumétrica pura.