Ochrona serwera gier za pomocą firewalla aplikacyjnego

Wprowadzenie

Celem niniejszego przewodnika jest pomoc w lepszym zrozumieniu naszej ochrony anty-DDoS Game (zwanej również Game firewall) i udzieleniu wskazówek, jak skonfigurować skuteczną ochronę.

Nasze serwery dedykowane Bare Metal Gaming zapewniają dodatkową ochronę przed atakami sieciowymi specjalnie zaprojektowaną, aby zabezpieczyć aplikacje gier przed atakami ukierunkowanymi, zapewniając stabilność i dostępność graczy. Rozwiązanie to jest solidne i łatwe w użyciu, dzięki czemu możesz skoncentrować się na rozwoju firmy bez konieczności obrony przed cyberprzestępczością.

Schemat usług infrastruktury i ochrony gier Anty-DDoS w OVHcloud

Wymagania początkowe

• An OVHcloud Game dedicated server
• Dostęp do OVHcloud Control Panel

W praktyce

Wprowadzenie

Infrastruktura anty-DDoS, w połączeniu z zaporą sieciową Edge, chroni sieć przed typowymi zagrożeniami (głównie warstwami ISO OSI 3 i 4). Hosting aplikacji do hostingu gier może jednak stanowić wyzwanie pod względem bezpieczeństwa sieci. Game DDoS Protection* to firewall warstwy 7 (aplikacja), który koncentruje się na ochronie określonych protokołów gier. Jego główne zalety to:

• Bardzo krótki czas odpowiedzi: Wiemy, że czas odpowiedzi i stabilność są kluczowe dla gier online. Rozwiązania te są umieszczane jak najbliżej serwerów i współpracują z wydajnym sprzętem.
• Dwukierunkowy: Platforma analizuje ruch przychodzący i wychodzący, aby lepiej zrozumieć sytuację każdego gracza.
• Snapshot : Umożliwia odróżnienie realnych graczy od szkodliwych ataków na serwer już od pierwszych pakietów w sieci.
• Zawsze aktywne: możliwość wykrywania i zatrzymywania ataków zapewnia płynne działanie aplikacji gry, bez zakłóceń i opóźnień.

Aktywacja i konfiguracja ochrony anty-DDoS Game

Aby skonfigurować reguły ochrony gier dla serwera Bare Metal Game, zaloguj się do Panelu klienta OVHcloud i wykonaj następujące kroki:

• Kliknij na Network w menu po lewej stronie ekranu.
• Kliknij na Publiczne adresy IP.

Możesz filtrować adresy IP, korzystając z menu rozwijanego Wszystkie typy usług, lub bezpośrednio wpisać żądany adres IP w pasku wyszukiwania. Wpisz nazwę lub kategorię odpowiedniego serwera:

Lista adresów IP: znajdź adres IP dla danej usługi

Sprawdź konfigurację Firewall Game:

Kliknij przycisk⁝ obok adresu IP Twojego serwera Game.

Kliknij Skonfiguruj firewall GAME.

Możesz teraz skonfigurować reguły ochrony gier dla wybranego adresu IP.

Aby włączyć ochronę DDoS Game, wystarczy zdefiniować aplikacje gier oraz przypisany do nich zakres portów sieciowych (lub pojedynczy port):

W następnym oknie kliknij przycisk Dodaj regułę, aby dodać regułę do Firewall Game.

Ochrona Game DDoS pozwala skonfigurować do 100 reguł na adres IP, które odnoszą się do najnowszych serwerów gier GAME-1 i GAME-2 Bare Metal (2024 i nowsze) lub do 30 reguł na adres IP dla starszych serwerów gier Bare Metal (zwykle oznaczonych jako RISE-GAME lub SYS-GAME).

Obsługiwane protokoły gier (tytuły i wersje gier, które mogą być chronione) mogą ulec zmianie w czasie. Ponadto mogą się one różnić od poprzednich i najnowszych gam serwerów Bare Metal Game. Najnowsza lista obsługiwanych profilów gier jest dostępna tutaj.

Skonfiguruj zabezpieczenia gry, wybierając Protokół z listy i ustawiając zakres portów, na którym aplikacja gry odbiera połączenia (zapoznaj się z dokumentacją instalacji gry). Następnie kliknij przycisk Potwierdź, aby zarejestrować. Konfiguracja reguł dla firewall game została zakończona.

Reguły ochrony Firewall Game nie powinny nakładać się na siebie w zakresie zdefiniowanych portów.

Opcję Inne można wybrać dla aplikacji hostowanych na określonych portach (dla których nie ma dostępnej ochrony), aby przepuszczać ruch klienta. Należy pamiętać, że nie ma dodatkowego bezpieczeństwa dla ruchu zgodnego z regułą Inne i należy z niego korzystać ostrożnie.

Ponadto zalecamy zdefiniowanie reguły "Default policy = DROP" dla każdego adresu IP wskazującego na serwer Game. Opcja ta pozwoli ochronie DDoS Game na usunięcie ruchu, który nie odpowiada zdefiniowanym regułom, co oznacza, że wszystkie wymienione aplikacje gier będą chronione i żadne inne połączenia nie będą mogły dotrzeć do Twojego serwera.

Specyficzne wzmianki dotyczące niektórych gier

Ark Survival Evolved

• Ark Survival Evolved: Podstawowy silnik ochrony.
• Ark Survival Evolved v.311.78: Zaktualizowany silnik ochrony, dodany do najnowszych serwerów gier GAME-1 i GAME-2 Bare Metal (2024 i nowsze).

Counter Strike 2

• Counter Strike 2: Nowy silnik ochrony dodany do najnowszych serwerów gier GAME-1 i GAME-2 Bare Metal (2024 i nowsze).

FiveM

• FiveM to mod do trybu wieloosobowego gry Grand Theft Auto V autorstwa Cfx.re, który obecnie jest uznawany przez wydawcę gry, firmę Rockstar. Dodaliśmy obsługę FiveM do najnowszych serwerów gier GAME-1 i GAME-2 Bare Metal (2024 i nowsze).

Rust

• Rust jest obsługiwany dzięki dedykowanemu profilowi ochronnemu na wszystkich generacjach serwerów Bare Metal Game. Należy pamiętać, że zaktualizowaliśmy ten profil ochronny (tj. dodaliśmy obsługę plików cookie RakNet) dla serwerów Bare Metal Game trzeciej generacji (2024, oparte na EPYC).

Minecraft

Minecraft jest wspierany przez następujące profile:

• Java Minecraft: To powinno być najlepsze rozwiązanie dla wszystkich wersji Java Minecraft. Chroni on protokół Minecraft Query i jest ustawiony na ruch TCP. Została ona dodana w 2024 roku, ale jest również dostępna dla poprzednich generacji serwerów Bare Metal Game. Uwaga, jeśli inne gry UDP są zainstalowane na tym samym IP.
• Minecraft Query: Ogólna ochrona protokołu Minecraft Query.
• Minecraft Bedrock: ochrona Minecraft Bedrock (z obsługą plików cookie RakNet), dodana do najnowszych serwerów gier GAME-1 i GAME-2 Bare Metal (2024 i nowsze).
• Minecraft Pocket Edition: ochrona Minecraft PE/Bedrock, taka sama jak Bedrock, zachowana ze względu na kompatybilność.

Valheim

• Valheim: Nowy silnik ochrony, dodany do najnowszych serwerów gier GAME-1 i GAME-2 Bare Metal (2024 i nowsze).

Korzystanie z adresów Additional IP z serwerami dedykowanymi Game

Adresy Additional IP to elastyczny sposób zarządzania aplikacjami na wielu serwerach lub hostowanych usługach. Wnoszą one wartość dodaną do infrastruktury hostingu gier, umożliwiając zarządzanie skalowalnością lub akcjami failover bez wpływu na publiczne adresy IP. Adresy Additional IP pozwalają na zdefiniowanie różnych lokalizacji geograficznych adresów IP lub na korzystanie z własnego bloku IP (przy użyciu usługi BYOIP) dla serwerów Game OVHcloud.

Adresy Additional IP zapewniają elastyczność, jednak w niektórych sytuacjach należy zwrócić na to uwagę.

Konfiguracja na IP specyficzna dla generacji serwera Game

Aby zapewnić większą elastyczność konfiguracji, można zdefiniować różne reguły ochrony gry dla różnych adresów Additional IP wskazujących ten sam serwer Bare Metal Game.
Maksymalna liczba reguł i dostępne ustawienia ochrony są zdefiniowane dla jednego adresu IP, ale są specyficzne dla danej generacji serwera Bare Metal Game za zaporą.

Można zaobserwować różnice między nowszymi serwerami Game (serwery Game Bare Metal trzeciej generacji – 2024, oparte na procesorach EPYC) a starszymi serwerami Game (poprzednie generacje, zazwyczaj oznaczane jako RISE-GAME lub SYS-GAME).

Weryfikacja obsługiwanych zabezpieczeń gier

Wszystkie protokoły ochrony anty-DDoS Game obsługiwane dla danego serwera można znaleźć na stronie konfiguracyjnej GAME firewall dla każdego adresu IP wskazującego na ten serwer w rozwijanym menu Game protocol:

Lista obsługiwanych protokołów ochrony

Jeśli wybierzesz automatyzację, szczegóły protokołu można pobrać za pomocą APIv6 OVHcloud:

Przykład odpowiedzi API:

{
    ipOnGame: "1.2.3.4"
    maxRules: 30
    state: "ok"
    firewallModeEnabled: true
  - supportedProtocols: [
        "arkSurvivalEvolved"
        "arma"
        "gtaMultiTheftAutoSanAndreas"
        "gtaSanAndreasMultiplayerMod"
        "hl2Source"
        "minecraftPocketEdition"
        "minecraftQuery"
        "mumble"
        "other"
        "rust"
        "teamspeak2"
        "teamspeak3"
        "trackmaniaShootmania"
    ]
}

Przenoszenie Additional IP między serwerami

Statyczny zestaw reguł może być jawny, jednak działania związane z przenoszeniem adresów Additional IP mogą wymagać kilku komentarzy.

• Przeniesienie adresu IP poprzedniej generacji na serwery Bare Metal Game nowej generacji:

  • Proces jest przejrzysty, a wszystkie reguły ochrony i parametry IP zostaną zachowane.

• Przeniesienie adresu IP nowej generacji na serwery Bare Metal Game poprzedniej generacji:

  • Jeśli serwer docelowy obsługuje mniej reguł ochrony niż serwer źródłowy, zostanie wyświetlony błąd i akcja zostanie zatrzymana.
  • W przeciwnym razie:
    • Zachowano reguły zgodności z poprzednimi wersjami (nazwa profilu ochrony musi być taka sama).
    • Reguły nieobsługiwane na serwerze docelowym zostaną usunięte.

• Przenoszenie adresu IP z serwera Bare Metal Game na inne serwery lub usługi:

  • Wszystkie reguły ochrony anty-DDoS Game dla IP zostaną usunięte, ponieważ nie są wspierane poza serwerami Bare Metal Game.

FAQ

Sprawdź również

Jeśli potrzebujesz szkolenia lub pomocy technicznej w celu wdrożenia naszych rozwiązań, skontaktuj się z przedstawicielem handlowym lub kliknij ten link, aby uzyskać wycenę i poprosić o spersonalizowaną analizę projektu od naszych ekspertów z zespołu Professional Services.

Dołącz do grona naszych użytkowników.