Lorsque votre site web est protégé par Deflect, toutes les requêtes DNS dirigées vers votre nom de domaine seront résolues avec l’IP Edge de Deflect, plutôt qu’avec votre IP d’origine. Ce processus permet au trafic de passer par la périphérie de Deflect avant d’atteindre votre serveur d’origine, une configuration connue sous le nom de reverse-proxy.
Bien que votre IP d’origine reste cachée, il est fortement conseillé (mais pas obligatoire) de renforcer la sécurité de votre serveur d’origine en autorisant uniquement le trafic provenant de l’IP de bordure Deflect et en bloquant tout autre trafic HTTP(S). Cette mesure garantit que seul le trafic passant par le système de protection de Deflect peut atteindre votre périphérie, empêchant ainsi les visiteurs injustifiés ou les attaques DDoS directement contre votre serveur d’origine.
Obtenir Deflect Edge IP via Deflect API #
Deflect Edge IP se met à jour de temps en temps, vous pouvez toujours obtenir la dernière liste d’adresses IP en utilisant l’API ci-dessous.
curl --header 'Authorization: Bearer <key>' https://dashboard.deflect.network/api/integration/edge_ip_list*Veuillez contacter le support Deflect pour obtenir la clé API.
Allowlist Deflect Edge IP #
Pour garantir une configuration correcte du pare-feu et une protection suffisante, il doit être configuré au niveau du serveur, et non au niveau des applications telles que WordPress.
Hébergement partagé #
Si votre serveur est hébergé par un fournisseur d’hébergement partagé, contactez votre fournisseur ou connectez-vous au panneau de contrôle de votre fournisseur (par exemple : cPanel) et localisez les paramètres du pare-feu.
- Définir toutes les adresses IP de Deflect Edge comme liste d’autorisation
- Définissez toute autre IP de confiance (telle que l’IP fixe de l’administrateur web, ou une IP VPN fixe que vous utilisez souvent) comme liste d’autorisation.
- Bloquer tout le trafic HTTP (port 80) et HTTPS (port 443) à l’exception de l’IP figurant sur la liste d’autorisation.
VPS ou serveur autogéré #
Si vous exploitez un serveur VPS ou gérez votre propre serveur, veuillez accéder à votre serveur et ajuster les paramètres du pare-feu. Par exemple, dans un système de type Unix, vous devez modifier les configurations iptables ou ufw.
Attention! Vérifiez toujours votre configuration avant de l’activer. En particulier lorsque vous souhaitez bloquer tout le trafic, il est essentiel d’autoriser au moins SSH pour ne pas risquer d’être bloqué sur votre serveur.
Exemples de commandes ufw (ne pas copier-coller)
# Allow HTTP and HTTPS from allowlisted IP
sudo ufw allow from <Deflect Edge IP> to any port 80 proto tcp
sudo ufw allow from <Deflect Edge IP> to any port 443 proto tcp
# Deny all other HTTP and HTTPS traffic
sudo ufw deny 80/tcp
sudo ufw deny 443/tcp
# Check status before enable
sudo ufw status numbered
# Enable ufw
#sudo ufw enableMise à jour mensuelle de l’IP de Deflect Edge #
Nous recommandons la mise en place d’un processus automatisé pour extraire l’API Deflect et mettre à jour votre pare-feu en conséquence.
Cependant, nous savons que tous les fournisseurs d’hébergement n’offrent pas une telle automatisation. Nous vous recommandons donc d’effectuer une vérification mensuelle afin de mettre à jour votre pare-feu avec les adresses IP Deflect Edge manquantes.
