Связаться с экспертомПопробовать бесплатно
Создавайте контент и получайте гранты!Готовы написать своё руководство? Участвуйте в контент-программе и получайте гранты на работу с облачными сервисами!
Подробнее о программе
Проект Яндекса
© 2026 ООО «Яндекс.Облако»

Управление источниками трафика

Статья создана
Обновлена 12 мая 2026 г.

Smart Web Security позволяет настраивать правила обработки запросов в зависимости от источника трафика. Например, можно отдельно обрабатывать запросы из сети Tor, VPN, анонимных сетей, от публичных прокси или из определенных стран.

Для этого используются предустановленные списки IP-адресов Yandex Cloud. Они содержат IP-адреса и сети, объединенные по определенному признаку, например по принадлежности к Tor или VPN. Списки поддерживает сервис и регулярно обновляет их.

В этом руководстве описана настройка распространенных правил фильтрации трафика по его источнику.

Порядок настройки

  1. Создайте профиль безопасности
  2. Настройте правило для Tor, прокси и анонимных сетей
  3. Настройте правило для VPN-трафика
  4. Настройте правило по регионам
  5. Проверьте порядок выполнения правил
  6. Подключите профиль безопасности к ресурсам
  7. Проверьте правила в режиме логирования
  8. Включите рабочий режим

Руководство предполагает, что у вас уже есть настроенный веб-ресурс в инфраструктуре Yandex Cloud. Если веб-ресурс находится в другой инфраструктуре, подключите его к прокси-серверу по руководству Базовая настройка защиты в Smart Web Security.

Создайте профиль безопасности

В этом руководстве используется готовый шаблон профиля безопасности.

  1. В консоли управления выберите каталог, в котором находятся защищаемые ресурсы.

  2. Перейдите в сервис Smart Web Security.

  3. На панели слева выберите Профили безопасности.

  4. Нажмите Создать профиль и выберите По преднастроенному шаблону.

    Преднастроенный профиль содержит:

  5. Введите имя профиля, например sources-manage.

  6. Включите тестовый режим для правила Smart Protection sp-rule-1:

    1. Для опции Действие для базового правила по умолчанию выберите Разрешить.
    2. Напротив правила sp-rule-1 нажмите и выберите Редактировать.
    3. Включите опцию Только логирование.
    4. Нажмите Сохранить изменения.

  7. В разделе Обучение ML-моделей оставьте включенным согласие об использовании информации об HTTP-запросах для улучшения моделей машинного обучения. Иначе в сервис Smart Web Security не будут поступать данные для расследования инцидентов безопасности.

  8. Нажмите Создать.

Настройте правило для Tor, прокси и анонимных сетей

Для определения такого трафика используются списки is_tor, is_proxy и is_anonymous.

  1. Откройте созданный ранее профиль безопасности.
  2. Нажмите кнопку Добавить правило.
  3. Введите имя правила, например traffic-sources-rule.
  4. Включите опцию Только логирование.
  5. Задайте приоритет выше, чем у правил Smart Protection. Например, 9100.
  6. Укажите параметры правила:
    • ТипБазовое;
    • ТрафикПри условии;
    • УсловияIP;
    • Условия на IPIP принадлежит списку.
  7. Для списка is_tor выберите действие Запретить.
  8. Создайте отдельное правило или добавьте дополнительное условие для списков is_proxy и is_anonymous с действием Показать капчу.
  9. Нажмите Добавить.

Такой набор правил помогает сразу блокировать трафик из Tor и отдельно проверять запросы из публичных прокси и анонимных сетей через SmartCaptcha.

Настройте правило для VPN-трафика

Для определения VPN-трафика используются списки is_vpn и is_ml_vpn.

Для такого трафика можно задать отдельные правила обработки в соответствии с политикой безопасности: разрешать, блокировать, принудительно отправлять на капчу или применять дополнительные ограничения в профиле ARL.

Важно

Определение VPN-трафика основано на базе IP-адресов Yandex Cloud и не гарантирует полной точности. Возможны ложноположительные и ложноотрицательные срабатывания. Принимайте решение о блокировке VPN-трафика с учетом бизнес-сценариев, поскольку часть реальных пользователей может использовать VPN.

  1. В профиле безопасности нажмите кнопку Добавить правило.
  2. Введите имя правила, например vpn-traffic-rule.
  3. Включите опцию Только логирование.
  4. Задайте приоритет так, чтобы правило выполнялось в нужном порядке относительно других правил по спискам.
  5. Укажите параметры правила:
    • ТипБазовое;
    • ТрафикПри условии;
    • УсловияIP;
    • Условия на IPIP принадлежит списку.
  6. Выберите список is_vpn или is_ml_vpn.
  7. Выберите действие для VPN-трафика:
    • Разрешить — если VPN-трафик допустим.
    • Запретить — если VPN-трафик нужно блокировать.
    • Показать капчу — если нужна дополнительная проверка.
  8. Нажмите Добавить.

Чтобы ограничивать частоту запросов для VPN-трафика, создайте профиль ARL и добавьте в него правило с условиями для списков is_vpn и is_ml_vpn.

Настройте правило по регионам

  1. В профиле безопасности нажмите кнопку Добавить правило.
  2. Введите имя правила, например geo-traffic-rule.
  3. Включите опцию Только логирование.
  4. Задайте приоритет выше, чем у правил Smart Protection, но с учетом уже созданных правил по спискам.
  5. Укажите параметры правила:
    • ТипБазовое;
    • ТрафикПри условии;
    • УсловияIP;
    • Условия на IPIP принадлежит региону или IP не принадлежит региону.
  6. Выберите нужные страны по двухбуквенному коду. Например, RU, KZ, BY.
  7. Выберите действие:
    • Разрешить — чтобы разрешить трафик;
    • Запретить — чтобы блокировать трафик;
    • Показать капчу — чтобы отправлять запросы в SmartCaptcha.
  8. Нажмите Добавить.

Если ваш сервис ориентирован только на несколько стран, удобнее использовать условие IP не принадлежит региону. Тогда вы сможете явно указать разрешенные регионы, а остальной трафик ограничить.

Проверьте порядок выполнения правил

Правила в профиле безопасности применяются по принципу первого сработавшего правила. Поэтому заранее определите порядок обработки:

  • сначала разрешающие правила для доверенного трафика;
  • затем правила для источников повышенного риска;
  • затем правила по регионам;
  • после этого правила Smart Protection и другие общие правила.

Подробнее о порядке выполнения правил — Общие принципы работы правил.

Проверьте правила в режиме логирования

Оставьте новые правила в режиме Только логирование на несколько дней. За это время:

  • проверьте, какие запросы попадают под правила;
  • оцените долю легитимного трафика;
  • скорректируйте списки, регионы и действия.

Для анализа используйте логи и мониторинг сервиса. Подробнее в разделах Настроить логирование через Smart Web Security и Мониторинг в Smart Web Security.

Включите рабочий режим

После тестирования отключите для правил опцию Только логирование. После этого продолжайте следить за работой правил и при необходимости корректировать их.

См. также

Предыдущая
Создание L7-балансировщика с профилем безопасности через Ingress-контроллер Application Load Balancer
Следующая
Обзор