应用范围
范围应用允许您将 DDoS 保护、TLS 加密和自定义规则策略扩展到传统 HTTP / HTTPS 流量之外的 TCP 和 UDP 服务。 这不仅能保护网络流量,还能保护基于 TCP 的服务,并在 IBM Cloud CIS 内提供全面的安全和性能优势。
与受 CIS 保护的标准 Web 应用程序不同,Range 应用程序使您的非 Web 服务(如 VPN 端点、NAT 网关、数据库端口和自定义 TCP 服务)能够利用 CIS 全球网络和威胁情报。 前往这些服务的流量会通过 CIS 基础设施,在这里,流量会受益于多层次的安全性和性能提升,包括
- DDoS 保护:减轻针对 TCP/UDP 协议的第 3/4 层攻击,包括体积泛洪和协议滥用,以保护非网络服务免受干扰。
- TLS 加密:为缺乏本地支持或后台设置复杂的服务添加 TLS 加密。 这有助于确保数据在传输过程中的安全,防止数据被截取或窃取。
- 自定义规则集成:通过允许、阻止或质疑特定 IP 地址、IP 范围或其他标准,实施细粒度的访问控制。 这就减少了未经授权的访问,并将攻击面降至最低。
- 保护 HTTP (S) Range 应用程序的安全:应用第 7 层自定义规则保护基于 HTTP (S) 的 Range 应用程序,实现微调过滤和策略执行。 更多信息,请参阅 关于 WAF 自定义规则。
- 配置负载平衡器:支持 TCP 健康检查、自动故障切换和流量引导,以优化性能并在启用范围的服务间保持高可用性。
- 支持代理协议:在代理和负载平衡器设置中保留客户端 IP 可见性,这对准确记录、执行安全策略和审计至关重要。
范围应用仅适用于企业客户,需支付额外费用,并按带宽使用量计费。
范围应用案例
范围应用的用例包括
- VPN 和远程访问服务
- 保护实现安全远程员工连接的 VPN 集中器和网关,帮助确保它们在攻击期间保持可用性和安全性。
- 网络地址转换(NAT)设备
- 安全的 NAT 端点可管理入站和出站流量,防止滥用并保持可靠的连接。
- 数据库和应用服务器
- 将保护范围扩展至关键数据库端口(例如 MySQL, PostgreSQL )和基于 TCP 的自定义应用程序,而无需将后端基础设施直接暴露在互联网上。
- 协作工具和第三方服务
- 保护与 Zoom 或 Microsoft Teams 等服务的集成(这些服务的流量通常来自有限的 IP 范围),以避免被误认为是 DDoS 活动。
支持的协议和用例
应用类型决定流量如何从 CIS 边缘路由到您的原点:
- TCP 或 UDP:如果希望 CIS 直接将流量代理到源头,请使用 TCP 或 UDP 协议。
- HTTP 或:使用边缘功能或机器人管理等功能时需要。HTTPS 在这种情况下,流量会通过 CIS 管道路由,而不是直接连接到您的原点。
- RDP:使用远程桌面协议(RDP)进行安全连接,内置 DDoS 保护和访问控制。
- SSH:通过 SSH 安全访问远程服务器,不会暴露你的源 IP。
- 我的世界通过 DDoS 缓解和改进网络性能,保护并加速 Minecraft 服务器。
有关特定协议的限制,请参阅 已知问题和限制。
安全和端口配置
默认情况下,“范围”应用程序监听所有端口,这可能会在安全审计时引起关注。 不过,Range 应用程序只代理来自 CIS 中明确配置的边缘端口的连接。
当范围应用 IP 的任何端口启动 TCP 握手时,握手结束。 如果端口配置为 Range 应用程序,则连接会被代理到源端。 如果该端口上未配置任何应用程序,“范围”应用程序就会立即结束连接,而不会与源端联系。
只有当请求的端口配置了 Range 应用程序时,Range 应用程序才会将流量代理到源端口。