...
Vi vill ha fristående fysiska interface för internet-exponerade portar som vi serverar tjänsten på, både managementtrafik (SSH) och förmodligen även routeannonsering (BGP) bör ske på separat interface för att inte störas av överbelastningsattacker. Vi bör även se till att ha så mycket filter som möjligt i framförvarande router så bara sådant som behövs för tjänsten kan ta sig fram till l4lb-maskinerna. Allt som kan filtreras innan det når oss är en vinst. Vi vill göra silent drop så tidigt som möjligt på alla annan trafik.
Offernod
Det finns en tanke om att adresser förutom att annonseras på olika platser i sverige också ska annonseras på något enskilt ställe utanför landet. Tanken med detta är att omfattande DDOS-attacker som kommer från utlandet ska attraheras till den nod som finns utanför landet, och därför inte störa ut inhemska frågor.
Kundlayout
Vi vill förmodligen köra på modellen att varje kund passerar gemensam l4lb men har egen IP-address, egen caddy, egen varnish. Det gör det lättare att hålla nere konfigurationsstorleken och en enskild kund med problem bör vara lättare att lokalisera och hantera när man har direkt påverkan på övriga kunder.
...