[Документация Yandex Cloud](../../index.md) > [Yandex Smart Web Security](../index.md) > [Практические руководства](index.md) > Управление источниками трафика

# Управление источниками трафика

Smart Web Security позволяет настраивать правила обработки запросов в зависимости от источника трафика. Например, можно отдельно обрабатывать запросы из сети Tor, VPN, анонимных сетей, от публичных прокси или из определенных стран.

Для этого используются предустановленные [списки IP-адресов](../concepts/lists.md) Yandex Cloud. Они содержат IP-адреса и сети, объединенные по определенному признаку, например по принадлежности к Tor или VPN. Списки поддерживает сервис и регулярно обновляет их.

В этом руководстве описана настройка распространенных правил фильтрации трафика по его источнику.

## Порядок настройки {#steps}

1. [Создайте профиль безопасности](#profile-create)
1. [Настройте правило для Tor, прокси и анонимных сетей](#configure-source-rules)
1. [Настройте правило для VPN-трафика](#configure-vpn-rules)
1. [Настройте правило по регионам](#configure-geo-rules)
1. [Проверьте порядок выполнения правил](#rules-order)
1. [Подключите профиль безопасности к ресурсам](#profile-connect)
1. [Проверьте правила в режиме логирования](#dry-run)
1. [Включите рабочий режим](#production)

## Необходимые платные ресурсы {#paid-resources}

* Плата за количество запросов в сервис Smart Web Security по тарифам из раздела [Правила тарификации для Yandex Smart Web Security](../pricing.md).
* Плата за инфраструктуру защищаемого ресурса в зависимости от его расположения.

Руководство предполагает, что у вас уже есть настроенный веб-ресурс в инфраструктуре Yandex Cloud. Если веб-ресурс находится в другой инфраструктуре, подключите его к прокси-серверу по руководству [Базовая настройка защиты в Smart Web Security](sws-basic-protection.md).

## Создайте профиль безопасности {#profile-create}

В этом руководстве используется готовый шаблон профиля безопасности.

{% list tabs group=instructions %}

- Консоль управления {#console}

  1. В [консоли управления](https://console.yandex.cloud) выберите каталог, в котором находятся защищаемые ресурсы.
  1. Перейдите в сервис **Smart Web Security**.
  1. На панели слева выберите ![image](../../_assets/smartwebsecurity/profiles.svg) **Профили безопасности**.
  1. Нажмите **Создать профиль** и выберите **По преднастроенному шаблону**.

      Преднастроенный профиль содержит:
      
      * [базовое правило](../concepts/rules.md#base-rules) по умолчанию, включенное для всего трафика с [типом действия](../concepts/rules.md#rule-action) `Разрешить`;
      * [правило Smart Protection](../concepts/rules.md#smart-protection-rules) `sp-rule-1`, включенное для всего трафика, с типом действия `Полная защита`.
   
  1. Введите имя профиля, например `sources-manage`.

  1. Включите тестовый режим для правила Smart Protection `sp-rule-1`:
     1. Для опции **Действие для базового правила по умолчанию** выберите `Разрешить`.
     1. Напротив правила `sp-rule-1` нажмите ![image](../../_assets/console-icons/ellipsis.svg) и выберите **Редактировать**.
     1. Включите опцию **Только логирование**.
     1. Нажмите **Сохранить изменения**.

  1. В разделе **Обучение ML-моделей** оставьте включенным согласие об использовании информации об HTTP-запросах для улучшения моделей машинного обучения. Иначе в сервис Smart Web Security не будут поступать данные для расследования инцидентов безопасности.
  1. Нажмите **Создать**.

{% endlist %}


## Настройте правило для Tor, прокси и анонимных сетей {#configure-source-rules}

Для определения такого трафика используются списки `is_tor`, `is_proxy` и `is_anonymous`.

{% list tabs group=instructions %}

- Консоль управления {#console}

  1. Откройте созданный ранее профиль безопасности.
  1. Нажмите кнопку ![image](../../_assets/console-icons/plus.svg) **Добавить правило**.
  1. Введите имя правила, например `traffic-sources-rule`.
  1. Включите опцию **Только логирование**.
  1. Задайте приоритет выше, чем у правил Smart Protection. Например, `9100`.
  1. Укажите параметры правила:
     * **Тип** — `Базовое`;
     * **Трафик** — `При условии`;
     * **Условия** — `IP`;
     * **Условия на IP** — `IP принадлежит списку`.
  1. Для списка `is_tor` выберите действие `Запретить`.
  1. Создайте отдельное правило или добавьте дополнительное условие для списков `is_proxy` и `is_anonymous` с действием `Показать капчу`.
  1. Нажмите **Добавить**.

{% endlist %}

Такой набор правил помогает сразу блокировать трафик из Tor и отдельно проверять запросы из публичных прокси и анонимных сетей через SmartCaptcha.

## Настройте правило для VPN-трафика {#configure-vpn-rules}

Для определения VPN-трафика используются списки `is_vpn` и `is_ml_vpn`.

Для такого трафика можно задать отдельные правила обработки в соответствии с политикой безопасности: разрешать, блокировать, принудительно отправлять на капчу или применять дополнительные ограничения в профиле ARL.

{% note warning %}

Определение VPN-трафика основано на базе IP-адресов Yandex Cloud и не гарантирует полной точности. Возможны ложноположительные и ложноотрицательные срабатывания. Принимайте решение о блокировке VPN-трафика с учетом бизнес-сценариев, поскольку часть реальных пользователей может использовать VPN.

{% endnote %}

{% list tabs group=instructions %}

- Консоль управления {#console}

  1. В профиле безопасности нажмите кнопку ![image](../../_assets/console-icons/plus.svg) **Добавить правило**.
  1. Введите имя правила, например `vpn-traffic-rule`.
  1. Включите опцию **Только логирование**.
  1. Задайте приоритет так, чтобы правило выполнялось в нужном порядке относительно других правил по спискам.
  1. Укажите параметры правила:
     * **Тип** — `Базовое`;
     * **Трафик** — `При условии`;
     * **Условия** — `IP`;
     * **Условия на IP** — `IP принадлежит списку`.
  1. Выберите список `is_vpn` или `is_ml_vpn`.
  1. Выберите действие для VPN-трафика:
     * `Разрешить` — если VPN-трафик допустим.
     * `Запретить` — если VPN-трафик нужно блокировать.
     * `Показать капчу` — если нужна дополнительная проверка.
  1. Нажмите **Добавить**.

{% endlist %}

Чтобы ограничивать частоту запросов для VPN-трафика, [создайте профиль ARL](../operations/arl-profile-create.md) и добавьте в него [правило](../operations/arl-rule-add.md) с условиями для списков `is_vpn` и `is_ml_vpn`.

## Настройте правило по регионам {#configure-geo-rules}

{% list tabs group=instructions %}

- Консоль управления {#console}

  1. В профиле безопасности нажмите кнопку ![image](../../_assets/console-icons/plus.svg) **Добавить правило**.
  1. Введите имя правила, например `geo-traffic-rule`.
  1. Включите опцию **Только логирование**.
  1. Задайте приоритет выше, чем у правил Smart Protection, но с учетом уже созданных правил по спискам.
  1. Укажите параметры правила:
     * **Тип** — `Базовое`;
     * **Трафик** — `При условии`;
     * **Условия** — `IP`;
     * **Условия на IP** — `IP принадлежит региону` или `IP не принадлежит региону`.
  1. Выберите нужные страны по двухбуквенному коду. Например, `RU`, `KZ`, `BY`.
  1. Выберите действие:
     * `Разрешить` — чтобы разрешить трафик;
     * `Запретить` — чтобы блокировать трафик;
     * `Показать капчу` — чтобы отправлять запросы в SmartCaptcha.
  1. Нажмите **Добавить**.

{% endlist %}

Если ваш сервис ориентирован только на несколько стран, удобнее использовать условие `IP не принадлежит региону`. Тогда вы сможете явно указать разрешенные регионы, а остальной трафик ограничить.

## Проверьте порядок выполнения правил {#rules-order}

Правила в профиле безопасности применяются по принципу первого сработавшего правила. Поэтому заранее определите порядок обработки:

* сначала разрешающие правила для доверенного трафика;
* затем правила для источников повышенного риска;
* затем правила по регионам;
* после этого правила Smart Protection и другие общие правила.

Подробнее о порядке выполнения правил — [Общие принципы работы правил](../concepts/rules.md#rules-order).

## Проверьте правила в режиме логирования {#dry-run}

Оставьте новые правила в режиме **Только логирование** на несколько дней. За это время:

* проверьте, какие запросы попадают под правила;
* оцените долю легитимного трафика;
* скорректируйте списки, регионы и действия.

Для анализа используйте логи и мониторинг сервиса. Подробнее в разделах [Настроить логирование через Smart Web Security](../operations/configure-logging.md) и [Мониторинг в Smart Web Security](../operations/monitoring.md).

## Включите рабочий режим {#production}

После тестирования отключите для правил опцию **Только логирование**. После этого продолжайте следить за работой правил и при необходимости корректировать их.

#### Полезные ссылки {#see-also}

* [Списки](../concepts/lists.md)
* [Условия](../concepts/conditions.md)
* [Управление роботизированным трафиком](../concepts/botes.md)
* [Базовая настройка защиты в Smart Web Security](sws-basic-protection.md)