Quando seu site é protegido pelo Deflect, todas as consultas de DNS direcionadas ao seu nome de domínio serão resolvidas com o IP de borda do Deflect, em vez de seu IP original. Esse processo permite que o tráfego passe pela borda do Deflect antes de chegar ao seu servidor de origem, uma configuração conhecida como proxy reverso.
Embora seu IP de origem permaneça oculto, é altamente recomendável (mas não obrigatório) aumentar a segurança de seu servidor de origem, permitindo apenas o tráfego do IP de borda do Deflect e bloqueando todos os outros tráfegos HTTP(S). Essa medida garante que somente o tráfego que passa pelo sistema de proteção do Deflect possa chegar à sua borda, evitando visitantes injustificados ou ataques DDoS diretamente contra seu servidor de origem.
Obter o Deflect Edge IP por meio da API do Deflect #
O Deflect Edge IP é atualizado periodicamente. Você sempre pode obter a lista de IPs mais recente usando a API abaixo.
curl --header 'Authorization: Bearer <key>' https://dashboard.deflect.network/api/integration/edge_ip_list*Entre em contato com o suporte do Deflect para obter a chave da API
IP do Allowlist Deflect Edge #
Para garantir a configuração correta do firewall e a proteção suficiente, ele deve ser configurado no nível do servidor, não no nível do aplicativo, como o WordPress.
Hospedagem compartilhada #
Se o seu servidor estiver hospedado em um provedor de hospedagem compartilhada, entre em contato com o provedor ou faça login no painel de controle do provedor (por exemplo, cPanel) e localize as configurações do firewall.
- Definir todos os IPs do Deflect Edge como lista de permissões
- Defina qualquer outro IP confiável (como um IP fixo do administrador da Web ou um IP fixo da VPN que você usa com frequência) como allowlist
- Bloqueie todo o tráfego HTTP (porta 80) e HTTPS (porta 443), exceto o IP listado como permitido
VPS ou servidor autogerenciado #
Se você estiver operando um servidor VPS ou gerenciando seu próprio servidor, acesse seu servidor e ajuste as configurações do firewall. Por exemplo, em um sistema do tipo Unix, você precisa modificar as configurações do iptables ou do ufw.
Cuidado! Sempre revise sua configuração antes de ativá-la. Especialmente quando você pretende bloquear todo o tráfego, é fundamental permitir pelo menos o SSH para não correr o risco de ficar bloqueado fora do servidor.
Exemplo de comandos ufw (não copie e cole)
# Allow HTTP and HTTPS from allowlisted IP
sudo ufw allow from <Deflect Edge IP> to any port 80 proto tcp
sudo ufw allow from <Deflect Edge IP> to any port 443 proto tcp
# Deny all other HTTP and HTTPS traffic
sudo ufw deny 80/tcp
sudo ufw deny 443/tcp
# Check status before enable
sudo ufw status numbered
# Enable ufw
#sudo ufw enableAtualização mensal do Deflect Edge IP #
Recomendamos a configuração de um processo automatizado para extrair da API do Deflect e atualizar seu firewall de acordo.
No entanto, sabemos que nem todo provedor de hospedagem oferece essa automação. Portanto, recomendamos que você faça uma revisão mensal para atualizar seu firewall com todos os endereços IP do Deflect Edge que estiverem faltando.
