Что это
Многоуровневая защита онлайн-сервисов от объёмных и прикладных DDoS-атак. Не одно универсальное решение, а согласованная комбинация облачного фильтра, сетевых правил у провайдера и точной настройки на стороне приложения.
Что входит
- Облачная защита веб-сервисов: Cloudflare для сайтов и API. Под нестандартные нагрузки — Magic Transit для целых подсетей.
- BGP-фильтрация: работа с провайдерами по anycast-прокси и blackhole’ингу атакующих сетей.
- On-prem правила: rate-limiting на nginx/HAProxy, fail2ban, тонкие правила по характерным паттернам (Slowloris, HTTP-flood).
- WAF и bot management: защита приложения от атак на уровне L7, отделение ботов от реальных пользователей.
- Реакция на инцидент: оперативный анализ трафика, корректировка правил, восстановление работы. SLA на реакцию фиксируется отдельно.
- Стресс-тесты: контролируемое тестирование защиты до того, как нас «потрогает» реальный атакующий.
Когда нужно
- Появились конкуренты, которым выгодно положить ваш сервис.
- Сайт или сервис критичен для бизнеса — простой стоит реальных денег.
- Был инцидент с DDoS, и стало ясно, что текущая защита не справляется.
- Запускаете публичный сервис с прицелом на нагрузку — лучше выстроить защиту сразу.
Подход
Защита подбирается под профиль сервиса. Простому корпоративному сайту достаточно Cloudflare Free + правильно настроенного nginx. Для high-traffic e-commerce или платёжной инфраструктуры — комбинация Cloudflare Business / Enterprise + BGP + дублирующие площадки.