GH GambleHub

Филтри Firewall ва трафик

(Қисм: Технология ва инфрасохтор)

Хулосаи мухтасар

Firewall як қуттӣ дар периметр нест, балки модели филтрии қабати аз L3-L4 то L7: Гурӯҳҳои Амнияти абрӣ/NACL, сиёсати шабака дар Кубернетес, назорати egress, идоракунии WAF ва идоракунии бот дар канор, ва m Барои IGaming, калид муҳофизати ҷараёни пардохт ва провайдерҳои бозӣ, гео-сиёсат, назорат ва мушоҳидаи DNS (кӣ, дар куҷо, кай ва чаро) мебошад.

1) Ҳадафҳо ва принсипҳо

Рад кардани пешфарз: бо нобаёнӣ, мо ҳадди аққали талаботро иҷозат медиҳем.
Мудофиаи амиқ - Сиёсати якхела дар периметр, абр, кластер ва татбиқ.
Egress-аввал: трафики баромад ҳамон хавфест, ки вуруд аст (PSP, провайдерҳои бозӣ, почта, таҳлил).
Шиноса> суроға: ба қадри имкон, ба ҷои IP-и луч аз рӯи шахсият иҷозат диҳед.
Мушоҳида ва аудит: сабтҳои қарор (иҷозат додан/рад кардан), нишонаҳо, робита бо ҳодисаҳо.

2) Харитаи қабатҳои филтратсия

1. Edge: Муҳофизати CDN/WAF/DD ./Bot, қоидаҳои L7, қатъи TLS.
2. Абр: Гурӯҳҳои амниятӣ/Қоидаҳои NACL/Firewall дар сатҳи VPC/subnet/VM.
3. Кластер: Шабакаи Kubernetes, фикрию хидматрасонӣ (Envoy/Istio) бо филтрҳои MTLS ва L7.
4. Мизбон: iptables/nftables/ufw, филтрҳои агенти eBPF.
5. Ариза: rate-limit/idempotency/WAF in-app, рӯйхати домейнҳо барои egress.
6. DNS: уфуқи уфуқӣ, ҳалкунандаҳои рӯйхат, блоки доменҳо/намудҳои хатар.

3) Периметр: Идоракунии WAF, DD mocos ва идоракунии бот

WAF: имзоҳои асосӣ + қоидаҳои фармоишӣ барои API (схемаҳои JSON, усулҳо/намуди мундариҷа).
Ботҳо: баҳодиҳии рафторӣ, изи ангуштони дастгоҳ, каптаи динамикӣ барои аномалияҳо.
DD ho/S: L3/4 (volum/synapse) ва L7 (HTTP обхезӣ) - партофтани худкор дар канор.
Geo/ASN: мо минтақаҳо/системаҳои автономиро барои минтақаҳои хатарнок маҳдуд мекунем (масалан, панели маъмурӣ).

Мисол (NGINX + Modsecurity, идеяи JSON-API): 
nginx
Разрешаем только JSON POST/GET на /api/
location /api/ {
limit_req zone=rl_api burst=50 nodelay;
if ($request_method!~ ^(GET    POST)$) { return 405; }
if ($http_content_type!~ "application/json") { return 415; }
proxy_pass http://api_upstream;
}
ModSecurity CRS + собственные правила modsecurity on;
modsecurity_rules_file /etc/nginx/modsec/crs.conf;

4) Абр: Гурӯҳҳои амниятӣ ва NACL

Гурӯҳи Амният (давлатӣ) - филтрҳо аз рӯи порт/протокол/сегмент.
NACL (бешаҳрвандӣ) - филтри торикии зершабақаҳо.

Намуна (шартан YAML) SG барои API: 
yaml security_group:
name: api-sg ingress:
- proto: tcp; port: 443; cidr: 0.0.0.0/0 # через CDN/WAF egress:
- proto: tcp; port: 443; cidr: 203.0.113.0/24  # PSP-X
- proto: tcp; port: 443; cidr: 198.51.100.0/24 # ProviderA
- proto: udp; port: 53; cidr: 10.10.0.10/32  # только наш DNS

Амал: барои пардохтҳо SG-ҳои алоҳида ва рӯйхати аллессҳо барои диапазонҳои мушаххаси PSP/провайдери бозӣ нигоҳ доред. Навсозиҳо - тавассути IAC ва бознигарӣ.

5) Кубернетҳо: Шабакаи сиёсат ва хидматрасонӣ

Шабака дар дохили кластер L3/4 маҳдуд мекунад; бо нобаёнӣ "ҳама бо ҳама сӯҳбат мекунанд" - наздик.

Инкор кардани ҳама + танҳо зарур аст: 
yaml apiVersion: networking.k8s.io/v1 kind: NetworkPolicy metadata: { name: deny-all, namespace: prod }
spec:
podSelector: {}
policyTypes: [Ingress, Egress]
ingress: []
egress: []
---
Разрешаем API разговаривать с платежным сервисом и DNS apiVersion: networking.k8s.io/v1 kind: NetworkPolicy metadata: { name: api-allow-specific, namespace: prod }
spec:
podSelector: { matchLabels: { app: api } }
policyTypes: [Ingress, Egress]
egress:
- to:
- namespaceSelector: { matchLabels: { name: prod } }
podSelector: { matchLabels: { app: payments } }
ports: [{ protocol: TCP, port: 8080 }]
- to:
- ipBlock: { cidr: 10.10.0.10/32 }
ports: [{ protocol: UDP, port: 53 }]
Tesh Service (Istio/Linkerd/Consul) илова мекунад:
  • MTLS дар ҳама ҷо мавҷуд аст (аутентификатсияи хидмат аз рӯи шахсият, на IP).
  • Филтри L7 (усулҳо/ҳостҳо/роҳҳо/сарлавҳаҳо), схемачӣ, берунӣ.
  • Сиёсати дастрасӣ аз рӯи ҳисоби хидмат/ID Spiffe.
Мисол (идеяи Авторизатсияи Истио): 
yaml apiVersion: security.istio.io/v1 kind: AuthorizationPolicy metadata: { name: api-to-payments, namespace: prod }
spec:
selector: { matchLabels: { app: payments } }
action: ALLOW rules:
- from:
- source:
principals: ["spiffe://prod/ns/prod/sa/api-sa"]
to:
- operation:
methods: ["POST"]
paths: ["/deposit","/withdraw"]

6) Деворҳои мизбон: iptables/nftables/eBPF

Намунаи nftables (statefull, инкор-ҳама): 
nft table inet filter {
sets {
psp { type ipv4_addr; elements = { 203.0.113.10, 203.0.113.11 } }
}
chains {
input { type filter hook input priority 0; policy drop;
ct state established,related accept iifname "lo" accept tcp dport {22,443} accept
}
output { type filter hook output priority 0; policy drop;
ct state established,related accept udp dport 53 ip daddr 10.10.0.10 accept  # только наш DNS tcp dport 443 ip daddr @psp accept    # egress к PSP
}
forward { type filter hook forward priority 0; policy drop; }
}
}

Агентҳои EBPF (Cilium ва ғайра) сиёсатҳои лоғар ва намоёнро (ҷараёнҳо, DNS, HTTP метамаълумот) таъмин мекунанд.

7) Феҳристҳои назорати egress ва таъинот

Доменҳои Allowlist/IP барои зангҳои беруна (PSP, почта, KYC, провайдерҳои бозӣ).
Сиёсати DNS pinning/SNI: танҳо тавассути ҳалли боэътимод ҳал кунед; манъ кардани IP-egress хом.
VPC/VN et egress алоҳида барои пардохт, бозӣ ва микросхемаҳои умумӣ.
Прокси бо санҷиши TLS барои трафики ғайри PII; ҷараёни пардохт - на MITM, на танҳо мустақиман MTLS/PII-бехатар.

8) сиёсати TLS/MTLS ва крипто

TLS 1. 2 +, рамзҳои муосир, stapling OCSP, HSTS.
MTLS дар дохили - ҳатмӣ ба ID Spiffe/сертификатсияи ҳисобҳои хидматӣ.
Ротатсияи мунтазами шаҳодатномаҳо ва санҷиши занҷирҳои эътимод.
CORS/CSP дар прокси L7 барои буридани манбаъҳои ҳамла дар пеш.

9) Меъёри маҳдудият ва L7-quotas

Маҳдудиятҳои канорӣ аз ҷониби IP/ASN/префиксҳо; маҳдудиятҳои барнома - аз рӯи шахсият (ҳисоб/иҷорагир/калид).
Калидҳои Idempotency барои амалиёти пардохти POST, то ки бозсозӣ нусхабардорӣ накунад.
Сатил Leaky/Token бо jitter; ҳангоми таназзул - "ҷавобҳои хокистарӣ "/каптча/сустшавӣ.

10) Амнияти DNS

TLD/категорияҳои зарароварро маҳкам кунед, Do

Танҳо ба қарорҳои корпоративӣ иҷозат дода мешавад (ҳалли VPC/Core-DNS).
Тақсимшавӣ: Номҳои дохилӣ аз берун ҳал намешаванд.
Дархостҳо ва ҳушёрӣ аз ҷониби аномалияҳо (доменҳои нав, зуд-зуд NXDOMAIN).

11) Гузоришҳо, мушоҳида ва озмоиш

Гузоришҳои Firewall (иҷозат додан/рад кардан, қоидаҳо, байтҳо), аудити WAF, гузоришҳои DNS → SIEM/SOAR.
Намунаҳо: ченакҳои қулфро бо 'trace _ id' → зуд ба пайгирии дархости мушкилот ворид кунед.
Синтетика: санҷишҳои мунтазам оид ба мавҷудияти PSP/провайдерҳои бозӣ аз минтақаҳои дуруст.
Санҷишҳои бесарусомонии шабака: талафоти пакет, хатогиҳои RTT, DNS - аксуламали қоидаҳо ва барқароркунии худкорро санҷед.

12) Автоматика ва Ia-C

Ҳама қоидаҳо ба рамз монанданд (Terraform/Ansible/Helm/Kyverno/Gatekeeper).
Баррасии дархост бо сиёсати амният (OPA).
Version and Annotation-Marks ҳама гуна тағир додани қоидаҳоро дар графикҳо нишон медиҳад.
Тағироти канарӣ: тадриҷан сиёсати шабакаро таҳия кунед (фазо/нишона, 5-10% чоҳҳо).

13) Хусусиятҳои IGaming

Хатсайрҳои пардохт (PSP): гурӯҳҳои инфиродӣ, рӯйхати қатъии аллюзия, мониторинги код/вақт.
Провайдерҳои бозӣ: доменҳои сафедкунии CDN, муҳофизат аз самти ногаҳонӣ.
Қоидаҳои гео-қоидаҳо: риояи маҳдудиятҳои маҳаллӣ, блокҳои минтақаҳо дар канор.
Backoffice/KYC: дастрасӣ танҳо аз шабакаҳои боэътимод/тавассути bastion + MFA.
Қаллобӣ: маҳдудияти суръат дар L7 ва дархостҳои "вазнин" ба API аз манбаъҳои ғайримуқаррарӣ.

14) Намунаҳои қоидаҳои зуд

UFW (мизбон)

bash ufw default deny incoming ufw default deny outgoing ufw allow 22/tcp ufw allow 443/tcp ufw allow out to 10.10.0.10 port 53 proto udp ufw allow out to 203.0.113.0/24 port 443 proto tcp

Истио Фиристодаи Филтр (манъи усулҳои ғайримуқаррарӣ, ғоя)

yaml typed_config:
"@type": type.googleapis.com/envoy.extensions.filters.http.router.v3.Router до роутера — Lua/Match для блокировки методов not in [GET,POST,OPTIONS]

Меъёри маҳдудияти NGINX

nginx limit_req_zone $binary_remote_addr zone=rl_api:10m rate=10r/s;
server {
location /api/ { limit_req zone=rl_api burst=50 nodelay; proxy_pass http://api; }
}

15) Рӯйхати назорати амалисозӣ

1. Рад кардани пешфарз дар сатҳи абр (SG/NACL), кластер (Network

2. Рӯйхати Egress-allowlist ба PSP/провайдерҳо, танҳо тавассути DNS боэътимод ҳал карда мешавад.
3. Идоракунии WAF/bot/DD JSON дар канор, қоидаҳои L7 барои REST/JSON ва зеркашӣ.
4. MTLS байни хидматҳо, тасдиқи шахсият (Spiffe/SA).
5. Меъёри лимит/квотаҳо дар канор ва дар барнома, калидҳои idempotency барои пардохтҳо.
6. Сиёсати DNS: Манъи Do-H/Do-T, уфуқи уфуқӣ, воридшавӣ.
7. Гузоришҳо ва SIEM: ҷамъоварии мутамарказ имкон медиҳад/рад/WAF/DNS, огоҳиҳо барои аномалия.
8. Равандҳои IAC: рамзи қоида, баррасии PR, ролҳои канарӣ, эзоҳҳо.
9. Санҷишҳо/бетартибӣ: нокомии RTT/талафот/DNS, санҷиши хатсайрҳои хатсайр ва скриптҳои худкор.
10. Аудитҳои мунтазам: аудити қоидаҳои истифоданашуда, гардиши суроғаҳои PSP/CDN.

16) Анти-намунаҳо

"Ҳама чизро кушоед ва ба WAF умедвор бошед" - периметр трафики дохилиро сарфа намекунад.
Не назорати egress - нақби қубур ба берун барои leaks/C2.
Иҷозат додан ба ҳама шабака дар Кубернетес - ҳаракати паҳлуӣ кафолат дода мешавад.
Филтри танҳо IP дар ҷаҳони динамикии CDN/PSP бидуни назорати домейн/DNS.
Ягона нуқтаи қатъкунии TLS бидуни m: TLS дар дохили он ивазкунии хидматҳо мебошад.
Тағироти қоидаҳои дастӣ дар фурӯш бидуни IA/аудит - репродуктивӣ ва қарзҳо.
Гузоришҳои Firewall "ба ҳеҷ куҷо" - бидуни мушоҳида ин танҳо "қуттии сиёҳ" аст.

Натиҷаҳо

Филтри самараноки трафик матои меъмории платформа аст: аз канори WAF ва абр SG то Network Чунин система хатари ихроҷ ва ҳамлаҳоро коҳиш медиҳад, пардохтҳо ва бозиҳоро дар дохили SLO нигоҳ медорад ва барои зуд тафтиш кардани ҳодисаҳо тавассути аудити пурра ва назорат кӯмак мекунад.

Contact

Тамос гиред

Барои саволҳо ё дастгирӣ ба мо муроҷиат кунед.Мо ҳамеша омодаем!

Оғози интегратсия

Email — муҳим аст. Telegram ё WhatsApp — ихтиёрӣ.

Номи шумо ихтиёрӣ
Email ихтиёрӣ
Мавзӯъ ихтиёрӣ
Паём ихтиёрӣ
Telegram ихтиёрӣ
@
Агар Telegram нависед — ҷавобро ҳамон ҷо низ мегиред.
WhatsApp ихтиёрӣ
Формат: рамзи кишвар + рақам (масалан, +992XXXXXXXXX).

Бо фиристодани форма шумо ба коркарди маълумот розӣ ҳастед.