फ़ायरवॉल और ट्रैफ़िक फ़िल्टरिंग

(धारा: प्रौद्योगिकी और बुनियादी ढांचा)

संक्षिप्त सारांश

फ़ायरवॉल परिधि पर एक बॉक्स नहीं है, लेकिन L3-L4 से L7 तक एक स्तरित फ़िल्टरिंग मॉडल: क्लाउड सिक्योरिटी ग्रुप्स/NACL, कुबर्नेट्स में नेटवर्क नीतियां, egress नियंत्रण, WAAAAAf और बॉट प्स सेवा के लिए। IGaming के लिए, कुंजी भुगतान प्रवाह और खेल प्रदाताओं, भू-राजनीति, डीएनएस नियंत्रण और अवलोकन (जो, कहां, कब और क्यों) की रक्षा करना है।

1) लक्ष्य और सिद्धांत

डिफ़ॉल्ट इनकार: डिफ़ॉल्ट रूप से, हम न्यूनतम आवश्यक की अनुमति देते हैं।

रक्षा-गहराई - परिधि, बादल, क्लस्टर और आवेदन पर समान नीतियां।

एग्रेस-फर्स्ट: आउटपुट ट्रैफिक इनपुट (पीएसपी, गेम प्रदाता, मेल, एनालिटिक्स) के समान जोखिम है।

पहचान> पता: जहां संभव हो, नंगे आईपी के बजाय पहचान (एमटीएलएस/स्पिफ) द्वारा प्राधिकृत करें।

अवलोकन और लेखा परीक्षा: निर्णय लॉग (अनुमति/इनकार), निशान, घटनाओं के साथ सहसंबंध।

2) निस्पंदन परतों का नक्शा

1. एज: सीडीएन/डब्ल्यूएएफ/डीडीओएस/बॉट सुरक्षा, एल 7 नियम, टीएलएस समाप्ति।

2. क्लाउड: वीपीसी/सबनेट/वीएम स्तर पर सुरक्षा समूह/एनएसीएल/फ़ायरवॉल नियम।

3. क्लस्टर: Kubernetes NetworkPolice, mTLS और L7 फ़िल्टर के साथ सेवा जाल (दूत/इस्तियो)।

4. होस्ट: iptables/nftable/ufw, एजेंट eBPF फ़िल्टर।

5. आवेदन: दर-सीमा/पहचान/WAF इन-ऐप, डोमेन सूची के लिए।

6. DNS: स्प्लिट-क्षितिज, ऑलोलिस्ट रिज़ॉल्वर, जोखिम डोमेन/प्रकारों का ब्लॉक।

3) परिधि: WAF, DDoS और बॉट प्रबंधन

WAF: API (JSON योजनाओं, विधियों/सामग्री-प्रकार) के लिए मूल हस्ताक्षर + कस्टम नियम।

बॉट्स: व्यवहार स्कोरिंग, डिवाइस फिंगरप्रिंट, विसंगतियों के लिए गतिशील कैप्चा।

DDoS: L3/4 (volum/synapse) और L7 (HTTP बाढ़) - किनारे पर स्वचालित त्याग।

जियो/एएसएन: हम जोखिम भरे क्षेत्रों के लिए क्षेत्रों/स्वायत्त प्रणालियों को सीमित करते हैं (उदाहरण के लिए, एक व्यवस्थापक पै

उदाहरण (NGINX + ModSecurity, JSON-API के लिए विचार):

nginx
Разрешаем только JSON POST/GET на /api/
location /api/ {
limit_req zone=rl_api burst=50 nodelay;
if ($request_method!~ ^(GET    POST)$) { return 405; }
if ($http_content_type!~ "application/json") { return 415; }
proxy_pass http://api_upstream;
}
ModSecurity CRS + собственные правила modsecurity on;
modsecurity_rules_file /etc/nginx/modsec/crs.conf;

4) बादल: सुरक्षा समूह और एनएसीएल

सुरक्षा समूह (स्थिति) - पोर्ट/प्रोटोकॉल/खंड द्वारा फिल्टर।

एनएसीएल (स्टेटलेस) - सबनेट्स का मोटा जाल फ़िल्टरिंग।

एपीआई के लिए उदाहरण (सशर्त YAML) एसजी:

yaml security_group:
name: api-sg ingress:
- proto: tcp; port: 443; cidr: 0.0.0.0/0 # через CDN/WAF egress:
- proto: tcp; port: 443; cidr: 203.0.113.0/24  # PSP-X
- proto: tcp; port: 443; cidr: 198.51.100.0/24 # ProviderA
- proto: udp; port: 53; cidr: 10.10.0.10/32  # только наш DNS

अभ्यास: भुगतान के लिए विशिष्ट PSP/गेम प्रदाता रेंज के लिए अलग SGs और egress-allowists रखें। अपडेट - IaC और समीक्षा के माध्यम से।

5) कुबेरनेट्स: नेटवर्किंग पॉलिसी एंड सर्विस मेष

नेटवर्किंग पॉलिसी क्लस्टर के भीतर L3/4 प्रतिबंधित करती है; डिफ़ॉल्ट रूप से "हर कोई सभी से बात करता है" - करीब।

इनकार-सभी + रिज़ॉल्यूशन केवल आवश्यक:

yaml apiVersion: networking.k8s.io/v1 kind: NetworkPolicy metadata: { name: deny-all, namespace: prod }
spec:
podSelector: {}
policyTypes: [Ingress, Egress]
ingress: []
egress: []
---
Разрешаем API разговаривать с платежным сервисом и DNS apiVersion: networking.k8s.io/v1 kind: NetworkPolicy metadata: { name: api-allow-specific, namespace: prod }
spec:
podSelector: { matchLabels: { app: api } }
policyTypes: [Ingress, Egress]
egress:
- to:
- namespaceSelector: { matchLabels: { name: prod } }
podSelector: { matchLabels: { app: payments } }
ports: [{ protocol: TCP, port: 8080 }]
- to:
- ipBlock: { cidr: 10.10.0.10/32 }
ports: [{ protocol: UDP, port: 53 }]

सेवा जाल (Istio/Linkerd/Consul) जोड़ ता है:

mTLS हर जगह है (पहचान द्वारा सेवा प्रमाणीकरण, आईपी नहीं)।
L7 फ़िल्टरिंग (विधियाँ/मेजबान/पथ/हेडर), सर्किट-ब्रेकर, बाहरी-इजेक्शन।
सेवा खाते/Spiffe ID द्वारा अभिगम नीतियां।

उदाहरण (इस्तियो आधिकारिक नीति विचार):

yaml apiVersion: security.istio.io/v1 kind: AuthorizationPolicy metadata: { name: api-to-payments, namespace: prod }
spec:
selector: { matchLabels: { app: payments } }
action: ALLOW rules:
- from:
- source:
principals: ["spiffe://prod/ns/prod/sa/api-sa"]
to:
- operation:
methods: ["POST"]
paths: ["/deposit","/withdraw"]

6) मेजबान फायरवॉल: iptables/nftable/eBPF

Nftables का उदाहरण (स्टेटफुल, इनकार-सभी):

nft table inet filter {
sets {
psp { type ipv4_addr; elements = { 203.0.113.10, 203.0.113.11 } }
}
chains {
input { type filter hook input priority 0; policy drop;
ct state established,related accept iifname "lo" accept tcp dport {22,443} accept
}
output { type filter hook output priority 0; policy drop;
ct state established,related accept udp dport 53 ip daddr 10.10.0.10 accept  # только наш DNS tcp dport 443 ip daddr @psp accept    # egress к PSP
}
forward { type filter hook forward priority 0; policy drop; }
}
}

ईबीपीएफ एजेंट (सिलियम, आदि) पतली L3-L7 नीतियां और दृश्यता (प्रवाह, डीएनएस, एचटीटीपी मेटाडेटा) प्रदान करते हैं।

7) एग्रेस नियंत्रण और गंतव्य निर्देशिका

बाहरी कॉल के लिए एलोविस्ट डोमेन/आईपी (पीएसपी, मेल, केवाईसी, गेम प्रदाता)।

DNS पिनिंग/SNI नीतियां: केवल एक विश्वसनीय समाधान के माध्यम से हल करें; कच्चे आईपी-एग्रेस को प्रतिबंधित करें।

भुगतान, गेमिंग और सामान्य सर्किट के लिए अलग VPC/VNet egress।

गैर-पीआईआई यातायात के लिए टीएलएस निरीक्षण के साथ प्रॉक्सी; भुगतान प्रवाह - कोई MITM, प्रत्यक्ष mTLS/PII-सुरक्षित।

8) टीएलएस/एमटीएलएस और क्रिप्टो नीति

टीएलएस 1। 2 +, आधुनिक सिफर, OCSP स्टेपलिंग, HSTS।

mTLS अंदर - Spiffe ID/सेवा खातों के प्रमाणन के लिए बाध्यकारी।

नियमित प्रमाणपत्र रोटेशन और न्यास श्रृंखलाओं का सत्यापन।

मोर्चे पर हमला करने वाले स्रोतों को काटने के लिए L7 प्रॉक्सी पर CORS/CSP।

9) दर-सीमा और L7-quotas

आईपी/एएसएन/उपसर्गों द्वारा किनारे की सीमा; अनुप्रयोग सीमा - पहचान के अनुसार (खाता/किरायेदार/कुंजी)।

POST भुगतान संचालन के लिए idempotency-keys ताकि रिट्रेज़डुप्लिकेट न बनाए।

झटके के साथ लीकी/टोकन बाल्टी; गिरावट के दौरान - "ग्रे जवाब "/कैप्चा/मंदी।

10) डीएनएस सुरक्षा

केवल कॉर्पोरेट रिज़ॉल्वर (VPC रिज़ॉल्वर/उठाया CoreDNS) की अनुमति है।

स्प्लिट-क्षितिज: आंतरिक नाम बाहर से हल नहीं होते हैं।

हानिकारक TLD/श्रेणियों को अवरुद्ध करें, चूल्हों से DoH/DoT पर प्रतिबंध लगाएं।

विसंगतियों (नए डोमेन, अक्सर NXDOMAIN) द्वारा लॉगिंग अनुरोध और सतर्क।

11) लॉग, अवलोकन और परीक्षण

फ़ायरवॉल लॉग (अनुमति/इनकार, नियम, बाइट्स), WAF ऑडिट, DNS लॉग → SIEM/SOAR।

उदाहरण: 'ट्रेस _ आईडी' के साथ मेट्रिक्स लॉक करें - समस्या क्वेरी ट्रेस में एक त्वरित कूदें।

सिंथेटिक्स: सही क्षेत्रों से पीएसपी/गेम प्रदाताओं की उपलब्धता पर नियमित जांच।

नेटवर्क अराजकता परीक्षण: पैकेट हानि, आरटीटी, डीएनएस त्रुटियां - नियमों और ऑटो-उपचार की प्रतिक्रिया की जांच करें।

12) स्वचालन और IaC

सभी नियम कोड (Terraform/Ansible/Helm/Kyverno/Gatekeeper) की तरह हैं।

सुरक्षा नीतियों (ओपीए) के साथ पुल-अनुरोध-समीक्षा।

वर्शनिंग और एनोटेशन-मार्क्स रेखांकन पर कोई भी नियम बदलते हैं।

कैनरी परिवर्तन: नेटवर्क नीतियों को धीरे-धीरे रोल आउट करें (नेमस्पेस/लेबल, पिचों का 5-10%)।

13) iGaming की बारीकियाँ

भुगतान मार्ग (PSP): व्यक्तिगत अहंकार समूह, सख्त मिश्रधातु, कोड/टाइमआउट निगरानी।

खेल प्रदाता: सीडीएन डोमेन को सफेद करना, अचानक पुनर्निर्देशन के खिलाफ सुरक्षा।

भू-नियम: स्थानीय प्रतिबंधों का अनुपालन, किनारे पर क्षेत्रों के ब्लॉक।

Backoffice/KYC: केवल विश्वसनीय नेटवर्क/गढ़ + MFA के माध्यम से पहुंच।

धोखाधड़ी: एल 7 पर वेग सीमा और असामान्य स्रोतों के एपीआई के लिए "भारी" अनुरोध।

14) त्वरित नियमों के उदाहरण

यूएफडब्ल्यू (होस्ट)

bash ufw default deny incoming ufw default deny outgoing ufw allow 22/tcp ufw allow 443/tcp ufw allow out to 10.10.0.10 port 53 proto udp ufw allow out to 203.0.113.0/24 port 443 proto tcp

Istio EnvoyFilter (गैर-मानक तरीकों का निषेध, विचार)

yaml typed_config:
"@type": type.googleapis.com/envoy.extensions.filters.http.router.v3.Router до роутера — Lua/Match для блокировки методов not in [GET,POST,OPTIONS]

NGINX दर-सीमा

nginx limit_req_zone $binary_remote_addr zone=rl_api:10m rate=10r/s;
server {
location /api/ { limit_req zone=rl_api burst=50 nodelay; proxy_pass http://api; }
}

15) कार्यान्वयन चेकलिस्ट

1. क्लाउड (SG/NACL), क्लस्टर (NetworkPolice) और होस्ट के स्तर पर डिफ़ॉल्ट इनकार करें.

2. PSP/प्रदाताओं को Egress-allowlist, केवल विश्वसनीय DNS के माध्यम से हल किया गया।

3. WAF/बॉट प्रबंधन/DDoS किनारे पर, REST/JSON के लिए L7 नियम और डाउनलोड।

4. सेवाओं, पहचान प्राधिकरण (Spiffe/SA) के बीच mTLS।

5. किनारे पर और ऐप में दर-सीमा/कोटा, भुगतान के लिए पहचान-कुंजी।

6. DNS नीतियां: DoH/DoT निषेध, विभाजन-क्षितिज, लॉगिंग।

7. लॉग और SIEM: केंद्रीकृत संग्रह अनुमति/इनकार/WAF/DNS, विसंगतियों के लिए अलर्ट।

8. IaC प्रक्रियाएं: नियम कोड, PR समीक्षा, कैनरी रोल, एनोटेशन।

9. परीक्षण/अराजकता: आरटीटी/हानि/डीएनएस विफलताएं, फॉलबैक मार्गों और ऑटो-स्क्रिप्ट की जाँच।

10. नियमित ऑडिट: अप्रयुक्त नियमों का ऑडिट, पीएसपी/सीडीएन पतों का रोटेशन।

16) एंटी-पैटर्न

"सब कुछ खोलें और WAF के लिए उम्मीद करें" - परिधि आंतरिक यातायात को नहीं बचाएगी।

कोई नियंत्रण नहीं - tuble के लिए बाहर की ओर ट्यूब सुरंग।

Kubernetes में सभी नेटवर्कपॉलिसी की अनुमति दें - पार्श्व आंदोलन की गारंटी है।

डोमेन/डीएनएस नियंत्रण के बिना गतिशील सीडीएन/पीएसपी दुनिया में आईपी-केवल फ़िल्टरिंग।

एमटीएलएस के अंदर बिना एकमात्र टीएलएस समाप्ति बिंदु सेवा प्रतिस्थापन है।

आईएसी/लेखा परीक्षा के बिना बिक्री में मैनुअल नियम परिवर्तन - गैर-प्रजनन और ऋण।

फ़ायरवॉल लॉग "कहीं नहीं" - अवलोकन के बिना यह सिर्फ एक "ब्लैक बॉक्स" है।

परिणाम

कुशल ट्रैफिक फ़िल्टरिंग प्लेटफ़ॉर्म का वास्तुशिल्प कपड़ा है: एज-डब्ल्यूएएफ और क्लाउड एसजी से लेकर नेटवर्किंग पॉलिसी और एमटीएलएस तक, पीएसपी/प्रदाताओं और आईएसी के माध्यम से प्रबंधन के साथ। इस तरह की प्रणाली लीक और हमलों के जोखिम को कम करती है, एसएलओ के भीतर भुगतान और खेल रखती है और पूर्ण ऑडिट और निगरानी के माध्यम से घटनाओं की जल्दी से जांच करने में मदद करती है।