سلام دوست خوبم
1- این پست در واقع یک پست خبری بود که در بخش متفرقه گذاشته شد و دوست عزیز جناب elementary اون رو عینن اینجا کپی کردن (متاسفانه اکانت ما هم بدلیل اینکه مدیران فکر کردن یوزر elementary با ما در ارتباط هست بسته شد)
2- در حال حاضر زیرساخت ما تحمل 1 تا 10 گیگابیت رو داره ولی به سرعت درحال گسترش هست (به لطف دوستان Webhostingtalk در روزی که پستی در این انجمن گذاشتیم حمله ای به حجم 4-5 گیگ سعی در از کار انداختن سرویس ما داشت که ما به خوبی آن را مدیریت کرده و سرویس دهی به کاربران دچار هیچگونه اختلال نشد)
3- ما برای جلوگیری از دریافت حملات در سرورهای داخل کشور از دیتاسنتر هایی که سرویس میگیریم خواستیم تا IP های ما رو Iran Access کنن و این اتفاق در مخابرات انجام میشود و ترافیک حتی به سمت دیتاسنتر هم ارسال نمیشود. کاربران ایران به سمت سرورهای ایران ما (با اولویت ISP هر کاریر) فرستاده می شوند و در صورتی که حتی تمامی سرورهای داخل ایران ما هم از دسترس خارج شوند (که البته با معماری ابر آروان این احتمال نزدیک به صفر است) باز هم سرویس از کار نیفتاده و کاربران به سمت سرورهای اروپا و سپس آمریکا و آسیای شرقی هدایت می شوند.
4- در مورد سرعت FPGA، به هیچ وجه با سرعت نرم افزار قابل مقایسه نیست. ولی تا جایی که بنده اطلاع دارم همه فایروال ها و Device های امنیتی از یک سیستم عامل (در اکثر موارد یونیکسی و در سیسکو IOS) استفاده کرده و در نهایت در لایه نرم افزاری عملیات خود را انجام می دهند (در همان مثال هم به Arbor DDoS Protection اشاره شد که از سیستم عامل Openbsd استفاده میکند). اگر شما یک Device امنیتی می شناسید که با FPGA کار محدودیت سازی را انجام میدهد لطفا به ما معرفی کنید.
5- موردی که فرمودید false-positive نبود و WAF ما بدرستی جلوی استفاده از کاراکترهای غیر مجاز را گرفته بود (این تنظیم WAF ما برای سایت Arvancloud.com بود). البته در خصوص false-positive باید کمی در مورد ساختار WAF توضیحاتی رو خدمتتون بدم:
همانطور که در پست اول اشاره شد WAF ما از نوع Next Generation هاست
در این دسته، دید طراحی WAF به طور پایه ای عوض شده است. یعنی بجای استفاده از signature ها با تعداد محدودی Rule، کلیه رفتارهای غیر مجاز محدود می شود(برای مثال به طور کلی qoutation یا -- بسته می شود). البته ما در طراحی WAF خود به هرکدام از این رفتارها امتیازی میدهیم و اگر مجموع امتیازات بیشتر از حدی شد جلوی دسترسی را میگیریم.
اما این روش false-positive بسیاری دارد. برای جلوگیری از false-positive ها هر کاربر در پنل کاربری خود می تواند (و باید) حالت WAF خود را در حالت learning گذاشته، IP خود را به عنوان IP مجاز به سیستم معرفی کند و شروع به پیمایش وبسایت خود کند. در این حالت سیستم پیشرفته learning ما شروع به یادگیری رفتار قانونی میکند و بر اساس آن یک whitelist ایجاد کرده و به WAF ارسال میکند. در این حالت WAF در بررسی درخواست ها ابتدا به این Whitelist رجوع می کند و اگر درخواست شامل آن نشد با Rule های خود آن را بررسی می کند.
حال اگر مالک وبسایت صفحه ای را پیمایش نکرد و عملکردی را در مدت learning مورد استفاده قرار نداد چه ؟
در این حالت (در صورتی که درخواست شامل عملیات غیر مجاز باشد) WAF ما از دسترسی جلوگیری کرده و آن درخواست به عنوان حمله شناسایی می کند. در پنل کاربری، کاربر می تواند تمامی حملات را با جزئیات مشاهده کند و اگر دید، رفتار درستی به اشتباه حمله تشخیص داده شده است به راحتی میتواند آن درخواست را whitelist کند.
6- ما در در فاز Research و Modeling این محصول تمامی محصولات معروف خارجی را به دقت بررسی کرده و سعی کردیم تمامی امکانات و مزایای آنها را در این پروژه تجمیع کنیم. برای مثال امکان توزیع بار بین سرورهای Backend در Cloudflare وجود نداشته و در Incapsula موجود است و ما هم چون در بررسی های خود این امکان را مفید و ضرروی دانستیم آن را به ابر خود افزودیم.
در مورد شرکت Akamai هم باید عرض کنم که اگرچه مهم ترین وبسایت های دنیا بر روی آن سرویس دهی می شوند ولی Akamai در دسته Traditional CDN ها دسته بندی شده و از تکنولوژی قدیمی و منسوخ شده ای استفاده می کند. در عوض شرکت هایی مانند Cloudflare و Incapsula در این زمینه پیشتاز هستند که به دقت در طراحی ابر آروان مورد بررسی قرار گرفته اند.
- - - Updated - - -
سلام
شما می تونید خیلی راحت توی وبسایت ما ثبت نام کنید و در یک ویزارد ساده وبسایت خودتونو پیکربندی کنید.
اگر نگرانی در مورد سرویس دارید میتونید یکی از ساب دامنه هاتونو به ابر اضافه کنید.
همچنین میتونید از دموی آنلاین سامانه بازدید کنید و گزارشات و جزئیات پنل کاربری رو ببینید.
در هر مرحله از این روند هم دچار مشکل شدید یا سوالی داشتید میتونید اینجا بپرسید، در بخش ارسال پیام به ما بفرستید و یا اینکه با تلفن ما که در فوتر سایت وجود داره تماس بگیرید.