ข้ามไปยังเนื้อหา
DDoS

การตั้งค่าระบบคลาวด์

XC (UI)

หัวข้อที่มีชื่อว่า “XC (UI)”

ใช้อินเทอร์เฟซเว็บเพื่อตั้งค่าฝั่ง คลาวด์ โดยอ้างอิงจาก คู่มือ L3/L4 Routed DDoS Mitigation

เปิดใช้งานพื้นที่ทำงาน DDoS

หัวข้อที่มีชื่อว่า “เปิดใช้งานพื้นที่ทำงาน DDoS”

ก่อนที่คุณจะสามารถตั้งค่าอุโมงค์และ BGP ได้:

  1. ติดต่อทีมคลาวด์ (ผ่าน sales@example.com หรือทีมดูแลบัญชีของคุณ) เพื่อ:

    • เปิดใช้งานพื้นที่ทำงาน Routed DDoS Mitigation สำหรับ tenant ของคุณ
    • ให้ข้อมูล:
      • บล็อก IP สาธารณะ ของคุณ (/24 หรือสั้นกว่าสำหรับ IPv4, /48 หรือ สั้นกว่าสำหรับ IPv6) และหลักฐานการเป็นเจ้าของ (หรือ LOA)
      • ASN ของคุณ (ต้องได้รับการออกโดย ARIN หรือหน่วยงานจดทะเบียนที่เทียบเท่า)
      • การจดทะเบียน IRR (RIPE, ARIN, APNIC เป็นต้น) และ ROA ใน RPKI repository
      • วิธีการส่งคืนทราฟฟิกที่สะอาด ที่ต้องการ (อุโมงค์ GRE, Layer 2, private peering ผ่าน Equinix เป็นต้น)
      • ตำแหน่งที่ตั้งศูนย์ข้อมูลและเราเตอร์ที่ต้องการปกป้อง
      • AS-Path prepends ที่จำเป็นสำหรับการประกาศเส้นทาง
      • BGP communities, ลำดับความสำคัญของเส้นทาง หรือ AS-SET ใดๆ

  2. SOC จะจัดเตรียม:

    • อุโมงค์
    • ASN
    • พรีฟิกซ์ที่ได้รับการปกป้อง
    • ตัวเลือกการโฆษณาเส้นทาง
    • Fast ACL / นโยบายไฟร์วอลล์ ตามที่จำเป็น

อุโมงค์

หัวข้อที่มีชื่อว่า “อุโมงค์”
  1. เข้าสู่ระบบ Cloud Console และ เลือก Routed DDoS จากตัวเลือกบริการ
  2. ไปที่ Manage > Tunnels > Add Tunnel แล้วตั้งค่า:
    • Location Name และ Availability Zone (Zone 1 เป็นค่าเริ่มต้น)
    • Bandwidth Max in MB
    • Tunnel Type:
      • GRE Over IPv4 สำหรับอุโมงค์ชั้นนอก IPv4
      • GRE Over IPv6 สำหรับอุโมงค์ชั้นนอก IPv6
      • IP Over IP สำหรับการห่อหุ้ม IPv4-in-IPv4
      • IPv6 Over IPv6 สำหรับการห่อหุ้ม IPv6-in-IPv6
    • Customer Endpoint IP: ที่อยู่ภายนอกของ BIG-IP (outer self IP ต้องสามารถกำหนดเส้นทางได้แบบสาธารณะเมื่ออุโมงค์ผ่าน อินเทอร์เน็ตสาธารณะ)
    • ทางเลือก: IPv4/IPv6 interconnect, fragmentation, keepalive (ปิดใช้งาน ทั้งหมดเป็นค่าเริ่มต้น)
  3. ภายใต้ Tunnel BGP Information:
    • เลือก ASN object (ASN ของคุณ)
    • ตั้งค่า Customer Peer Secret Override: Use Default Secret (ค่าเริ่มต้น), BGP Password Override (blindfolded หรือ clear text) หรือ No Secret
    • ตั้งค่า Holddown Timer เป็นค่าในหน่วยวินาทีหากแตกต่างจาก ค่าเริ่มต้น

SOC อาจสร้างออบเจ็กต์อุโมงค์เหล่านี้ให้คุณล่วงหน้า คุณเพียงแค่จับคู่ endpoint IPs และการตั้งค่า BGP บน BIG-IP

ASN และเส้นทาง

หัวข้อที่มีชื่อว่า “ASN และเส้นทาง”

  • ASN: -> Manage > ASNs > Add ASN

    • ป้อน ASN ของคุณและตรวจสอบให้แน่ใจว่า BGP ถูกเปิดใช้งาน

  • พรีฟิกซ์: -> Manage > Prefixes > Add Prefix

    • ป้อนพรีฟิกซ์ IP แต่ละรายการและเชื่อมโยงกับ ASN ของคุณ

  • การโฆษณาเส้นทาง -> Manage > Route Advertisement > Add Route Advertisement

    • ป้อนพรีฟิกซ์ เลือก Active หรือ Not Advertised และ วันหมดอายุที่เป็นทางเลือก

ออบเจ็กต์เหล่านี้ควบคุมว่าพรีฟิกซ์ใดจะถูกประกาศผ่านเครือข่ายทั่วโลก เมื่อบริการอยู่ในสถานะทำงาน

การจำกัดเครือข่าย

หัวข้อที่มีชื่อว่า “การจำกัดเครือข่าย”

กฎไฟร์วอลล์, กฎรายการปฏิเสธ และ Fast ACL สำหรับ Internet VIP ช่วยให้คุณสามารถ:

  • บล็อกหรืออนุญาตทราฟฟิกเฉพาะ
  • จำกัดอัตราจากแหล่งที่ละเมิด
  • ใช้การป้องกัน DDoS เพิ่มเติมนอกเหนือจากการกรองทราฟฟิกเชิงปริมาตรเพียงอย่างเดียว