Безопасность

Урок 375 из 741
Автор: Роберт Басыров
Сложность урока:
1 уровень - интуитивно все понятно из интерфейса, но почитать стоит.
1 из 5
Просмотров: 41361
Дата изменения: 23.08.2024
Недоступно в лицензиях:
Текущую редакцию Вашего 1С-Битрикс можно просмотреть на странице Обновление платформы (Marketplace > Обновление платформы).
Старт, Стандарт, Малый бизнес, Бизнес

Как защитить веб-кластер

Веб-кластер использует дополнительные сервисы (централизованное кэширование, синхронизация) и запускается, как правило, на группе машин. Рассмотрим особенности обеспечения информационной безопасности веб-кластера.

Балансирование нагрузки и защита от DDoS-атак

Рекомендуется открыть для публичного доступа 80 порт балансировщика нагрузки, ограничив внешний доступ к http портам машин (нод) веб-кластера. Это надежно защитит ноды, спрятанные за балансировщиком, от перегрузки (например, возникшей при проведении рекламной интернет-кампании), а также существенно снизит эффективность DDoS-атак.

Кластеризованный кэш

Необходимо закрыть от публичного доступа серверы memcached (tcp порт 11211), открыв доступ к ним с нод веб-кластера. Одно из решений – сконфигурировать файервол Простыми словами, файервол – это система, которая предотвращает несанкционированный доступ к сети, а именно, осуществляет контроль и фильтрацию проходящего через него сетевого трафика в соответствии с заданными правилами. По другому его ещё называют брандмауэр или межсетевой экран. .

Сервис синхронизации контента нод кластера

Если для синхронизации контента используется утилита csync2, необходимо закрыть ее сервисы от публичного доступа (tcp порт 30865), открыв доступ к ним с нод веб-кластера.

Пример настройки файервола

Для ноды веб-кластера:

  • 22 (tcp; ssh) – открыт для подсети администратора;
  • 80 (tcp; http) – открыт для подсети веб-кластера;
  • 443 (tcp; https) – открыт для подсети веб-кластера;
  • 3306 (tcp; mysql) – открыт для подсети веб-кластера;
  • 11211 (tcp; memcached) – открыт для подсети веб-кластера;
  • 30865 (tcp; csync2) – открыт для подсети веб-кластера.

Для балансировщика нагрузки:

  • 80 (tcp; http) – открыт для всех;
  • 443 (tcp; https) – открыт для всех.

Нам жаль это слышать… Но мы постараемся быть лучше!

Мы благодарны Вам за помощь в улучшении документации.

Спасибо, мы рады что смогли помочь Вам. Ниже Вы можете оставить свой отзыв или пожелание :)
Мы стараемся сделать документацию понятнее и доступнее,
и Ваше мнение важно для нас
Курсы разработаны в компании «1С-Битрикс»