Бизнес полностью зависит от сайта, но атак пока не было. Стоит ли подключать защиту превентивно?
Да, подключать облачную защиту от DDoS заранее имеет смысл, если сайт — критичная точка выручки. В момент атаки «успеть включить» часто не получается: потребуется переключение DNS/маршрутизации, прогрев настроек и фильтров, а бизнес в это время уже будет недоступен. Превентивное подключение обычно дешевле, чем простой, и даёт предсказуемый SLA.
Технологическая логика: почему “включить по факту” — плохой план
DDoS — это не только «забить канал» (L3/L4), но и «положить приложение» (L7): частые запросы к тяжёлым страницам, поиску, корзине, API. Облачная защита работает эффективно, когда:
- Трафик уже идёт через защитный контур (reverse proxy/CDN) или заранее подготовлена схема BGP/traffic diversion у провайдера.
- Настроены базовые политики: лимиты запросов, защита API, правила на ботов, ограничения по гео/ASN (где это оправдано), капча/челленджи для аномалий.
- Понимается “нормальный” профиль трафика (baseline): без него фильтрация либо не спасает, либо начинает блокировать реальных клиентов.
Если подключаться во время атаки, возникают типовые проблемы: задержки из‑за DNS TTL, неправильная прокладка заголовков и IP клиента, конфликт кеширования, сломанные редиректы/HTTPS, неготовность origin к изменению источника трафика (новые подсети, проверка реального IP), отсутствие отлаженного процесса эскалации.
Практическая рекомендация: как принять решение и что именно подключать
Я обычно предлагаю принимать решение по простой логике: если час простоя сайта ощутимо бьёт по деньгам или репутации — подключайте превентивно.
Сценарий 1. Сайт — основной канал продаж/лидов (e-commerce, услуги, SaaS)
- Подключить защиту заранее в режиме “always-on” (через reverse proxy/CDN) с базовым набором: L3/L4 + L7 DDoS, WAF/бот-фильтрация, rate limiting, защита API.
- Сделать origin “непубличным”: закрыть прямой доступ к серверу, принимать запросы только от сети провайдера защиты; иначе атакующий обойдёт защиту, ударив напрямую.
- Подготовить операционный контур: мониторинг доступности, алерты по росту 4xx/5xx/latency, контакты провайдера 24/7, регламент эскалации внутри команды.
Сценарий 2. Бизнес зависит от сайта, но бюджет ограничен
- Минимум: CDN с базовой L7-защитой + простые лимиты запросов и защита страниц/эндпоинтов, которые “дорогие” для бэкенда.
- Заранее заключить договор/аккаунт и подготовить схему переключения (DNS, сертификаты, тестовый прогон), чтобы при атаке не заниматься бюрократией и интеграцией.
Сценарий 3. Сайт некритичен (витрина, контент) и простой не стоит дорого
- Можно ограничиться базовыми мерами на хостинге и готовностью “быстрого включения”, но всё равно стоит заранее протестировать переключение и хранить настройки/сертификаты.
Типичные ошибки, из-за которых защита не спасает
- Не закрывают прямой доступ к origin (IP сервера светится в DNS/почте/статике) — атаку просто переводят мимо защиты.
- Подключают только L3/L4 и игнорируют L7: сайт падает не от канала, а от нагрузки на приложение/БД.
- Нет rate limiting и защиты API: бьют по /login, /search, /cart, /api/* и “убивают” ресурсы.
- Не учитывают реальные интеграции (платёжки, внешние виджеты, CRM-формы): после включения фильтрации ломается часть бизнес-процессов.
- Не проверяют SSL/заголовки/Real IP: ломается аналитика, антифрод, ограничения по IP, корректность логов.
Если вы пришлёте стек (CMS/фреймворк, где хоститесь, есть ли мобильное приложение/API, текущий CDN/балансировщик), я предложу минимальную целевую схему: что вести через защиту, что ограничивать и как спрятать origin без болезненной миграции.