Виртуальный файрвол

Виртуальный файрвол (firewall, межсетевой экран, брандмауэр) представляет собой программно-аппаратный или программный комплекс, который отслеживает сетевые пакеты, блокирует или разрешает их прохождение. В фильтрации трафика виртуальный файрвол опирается на установленные параметры — чаще всего их называют правилами брандмауэра или группами безопасности.

Группа безопасности - это набор настраиваемых разрешающих правил прохождения трафика, которые возможно назначать на порты виртуальных серверов.

По умолчанию у каждого клиента созданы группы безопасности default в каждом регионе, разрешающие любой трафик в любом направлении. Сетевой трафик, проходящий через файрвол, сопоставляется с правилами, чтобы определить пропускать его или нет.

Создание

Для создания группы безопасности:

  1. В Панели управления перейдите в раздел ОблакоFirewalls.

  2. Нажмите кнопку Создать.

  3. Введите название группы безопасности. Допустимо использование букв латинского алфавита, цифр и символов.

  4. Выберите регион, для которого создается группа безопасности.

    Firewall будет доступен во всех зонах выбранного региона. Доступны следующие регионы:

    • Варшава, Польша

    • Москва, Россия

    • Майами, США

    • Даллас, США

    • Сан-Франциско, США

    • Манила, Филиппины

    • Алматы, Казахстан

  5. В разделе Описание можно оставить пометку для каких задач создается группа безопасности.

  6. Нажмите кнопку Создать группу безопасности.

Изменение

Для изменения группы безопасности:

  1. В Панели управления перейдите в раздел ОблакоFirewalls.

  2. Нажмите Подробнее на выбранной группе.

  3. Откроется карточка выбранной группы безопасности, где можно:

  • Изменить наименование группы безопасности.

  • Добавить правило в таблицу правил.

  • Подключить группу к серверам.

  1. При создании группы безопасности по умолчанию создаются два правила egress для ipv4 и ipv6, разрешающие все порты и протоколы на исходящем трафике. При необходимости любое правило можно удалить, нажав на конпку с изображением корзины.

  2. Для добавления новых правил нажмите Добавить правило:

    1. Выберите направление трафика: ingress - входящий, egress - исходящий.

    2. Укажите для какого типа трафика данное правило создается: IPv4 или IPv6.

    3. Выберите для какого протокола: ICMP, TCP, UDP или любой.

      При выборе протоколов TCP или UDP можно также указать: конкретный порт, диапазон портов, либо выбрать все порты.

      При выборе протокола ICMP, можно указать его тип (Type) и код (Code), либо оставить поля Type и Code не заполненными.

    4. Настройте адрес, для которого выбранный тип трафика будет разрешен.

      Поддерживается указание адреса сети в формате CIDR или выбор группы безопасности - во втором случае будет разрешен трафик от серверов, которые состоят в выбранной группе.

  3. Для добавления нового правила в таблицу нажмите Сохранить правило.

Подключите созданную группу безопасности к серверу, нажав Подключить в разделе Подключено к серверам, а затем из предложенного списка серверов данного региона выберите нужный сервер и нажмите Подключить.