Чтобы воспользоваться услугой Ingress-фильтрации от Qrator Labs, необходимо быть локальным интернет-регистратором (local Internet registry, LIR) и располагать собственной автономной системой (autonomous system, AS). Подключение услуги возможно для префиксов сетей не менее класса C (/24).
Для начала использования Ingress-фильтрации:
Добавление префиксов
Добавление префиксов происходит в два этапа.
Сначала опишите всё адресное пространство транзитной сети, которую вы хотите защитить, и подтвердите право на управление им. Для этого зайдите в раздел Префиксы
на вкладке Qrator
личного кабинета и укажите один или несколько префиксов сетей. Часто имеет смысл указывать непосредственно те сети, которыми вы управляете, и не делить их на более мелкие подсети. Для каждого префикса введите номер вашей AS, которая является источником (origin) этого префикса. Префикс должен принадлежать этой AS согласно базе данных интернет-регистратора. Для подтверждения операции добавления префикса Qrator Labs направит письмо со ссылкой на адрес, указанный как tech-c для соответствующей AS.
Затем добавьте подтверждённые сети или их подсети в раздел Префиксы
на вкладке Ingress
личного кабинета. На этом этапе вы можете использовать сколь угодно маленькие подсети ваших сетей, для которых вам впоследствии будет удобно настраивать политики фильтрации.
Настройка канала до Qrator Labs
Канал связи между вашей автономной системой и сетью Qrator Labs может быть установлен разными способами, включая туннели, физические стыки или кроссировки в центрах обработки данных. Доступность конкретных способов подключения зависит от конкретных провайдеров и центров обработки данных, с которыми соединена ваша транзитная сеть.
Рекомендуемым способом подключения является прямое подключение от вашей транзитной сети к сети Qrator Labs, используя для этого выделенный канал провайдера или кроссировку в центре обработки данных. Проконсультируйтесь со специалистами технической поддержки, чтобы выбрать наилучший способ подключения для защиты вашей сети.
Обратите внимание, что Ingress-фильтрация работает со входящим трафиком, и направлять через сеть Qrator Labs исходящий трафик не требуется, см. Отличия от защиты конечных сетей. В большинстве случаев рекомендуется направлять входящий трафик через сеть Qrator Labs, чтобы использовать преимущества Ingress-фильтрации, а исходящий трафик в обход сети Qrator Labs, чтобы обеспечить для него максимальную скорость.
Настройка политик фильтрации
Политики фильтрации представляют собой наборы лимитов, применяемых к входящему трафику. Политики фильтрации настраиваются на вкладке Ingress
личного кабинета и находятся в отношении многие ко многим
с указанными вами префиксами. Это позволяет гибко настроить фильтрацию для ваших нужд.
Примечание
Один из возможных подходов к настройке политик фильтрации состоит в том, чтобы разработать несколько политик фильтрации, подходящих для конечных сетей с разными объёмами трафика, и назначить нужные политики на префиксы каждой сети.
При настройке лимитов рекомендуется взять за основу те объёмы легитимного трафика, которые проходят через вашу сеть в обычное время. Оптимальный способ выразить эти объёмы в виде набора политик зависит от характера сервисов в конечных сетях, постоянности или сезонности их трафика, модели угроз. Вы можете проконсультироваться со специалистами технической поддержки Qrator Labs, чтобы подобрать оптимальные политики Ingress-фильтрации, подходящие для вашей транзитной сети.