Cuando su sitio web está protegido por Deflect, cualquier consulta DNS dirigida a su nombre de dominio se resolverá con la IP de borde de Deflect, en lugar de su IP original. Este proceso permite que el tráfico pase por el borde de Deflect antes de llegar a su servidor de origen, una configuración conocida como proxy inverso.
Mientras su IP de origen permanezca oculta, se recomienda encarecidamente (aunque no es obligatorio) mejorar la seguridad de su servidor de origen permitiendo únicamente el tráfico procedente de la IP de borde de Deflect y bloqueando el resto del tráfico HTTP(S). Esta medida garantiza que sólo el tráfico que pasa a través del sistema de protección de Deflect puede llegar a su borde, evitando visitantes injustificados o ataques DDoS directamente contra su servidor de origen.
Obtener la IP de Deflect Edge a través de la API de Deflect #
Deflect Edge IP se actualiza de vez en cuando, siempre puedes obtener la última lista de IPs utilizando la API de abajo.
curl --header 'Authorization: Bearer <key>' https://dashboard.deflect.network/api/integration/edge_ip_list*Póngase en contacto con el servicio de asistencia de Deflect para obtener la clave API.
Allowlist Deflect Edge IP #
Para garantizar una configuración correcta del cortafuegos y una protección suficiente, debe configurarse a nivel de servidor, no a nivel de aplicaciones como WordPress.
Alojamiento compartido #
Si su servidor está alojado con un proveedor de alojamiento compartido, póngase en contacto con su proveedor o acceda al panel de control de su proveedor (por ejemplo: cPanel) y localice la configuración del cortafuegos.
- Establecer todas las IP de Deflect Edge como allowlist
- Establece cualquier otra IP de confianza (como una IP fija del administrador web, o una IP VPN fija que utilices a menudo) como allowlist
- Bloquear todo el tráfico HTTP (puerto 80) y HTTPS (puerto 443) excepto la IP de la lista permitida.
VPS o servidor autogestionado #
Si opera un servidor VPS o gestiona su propio servidor, acceda a su servidor y ajuste la configuración del cortafuegos. Por ejemplo, en un sistema tipo Unix, necesita modificar las configuraciones iptables o ufw.
Atención. Revise siempre su configuración antes de habilitarlo. Especialmente cuando se trata de bloquear todo el tráfico, es crucial al menos permitir SSH para evitar el riesgo de ser bloqueado fuera de su servidor.
Ejemplo de comandos ufw (no copiar y pegar)
# Allow HTTP and HTTPS from allowlisted IP
sudo ufw allow from <Deflect Edge IP> to any port 80 proto tcp
sudo ufw allow from <Deflect Edge IP> to any port 443 proto tcp
# Deny all other HTTP and HTTPS traffic
sudo ufw deny 80/tcp
sudo ufw deny 443/tcp
# Check status before enable
sudo ufw status numbered
# Enable ufw
#sudo ufw enableActualización mensual de la IP de Deflect Edge #
Recomendamos configurar un proceso automatizado para extraer información de la API de Deflect y actualizar el cortafuegos en consecuencia.
Sin embargo, sabemos que no todos los proveedores de alojamiento ofrecen este tipo de automatización. Así que le recomendamos que realice una revisión mensual para actualizar su cortafuegos con las direcciones IP de Deflect Edge que falten.
