Виртуальный файрвол
Виртуальный файрвол (firewall, межсетевой экран, брандмауэр) представляет собой программно-аппаратный или программный комплекс, который отслеживает сетевые пакеты, блокирует или разрешает их прохождение. В фильтрации трафика виртуальный файрвол опирается на установленные параметры — чаще всего их называют правилами брандмауэра или группами безопасности.
Группа безопасности - это набор настраиваемых разрешающих правил прохождения трафика, которые возможно назначать на порты виртуальных серверов.
По умолчанию у каждого клиента созданы группы безопасности default в каждом регионе, разрешающие любой трафик в любом направлении. Сетевой трафик, проходящий через файрвол, сопоставляется с правилами, чтобы определить пропускать его или нет.
Создание
Для создания группы безопасности:
В Панели управления перейдите в раздел Облако → Firewalls.
Нажмите кнопку Создать.
Введите название группы безопасности. Допустимо использование букв латинского алфавита, цифр и символов.
Выберите регион, для которого создается группа безопасности.
Firewall будет доступен во всех зонах выбранного региона. Доступны следующие регионы:
Варшава, Польша
Москва, Россия
Майами, США
Даллас, США
Сан-Франциско, США
Манила, Филиппины
Алматы, Казахстан
В разделе Описание можно оставить пометку для каких задач создается группа безопасности.
Нажмите кнопку Создать группу безопасности.
Изменение
Для изменения группы безопасности:
В Панели управления перейдите в раздел Облако → Firewalls.
Нажмите Подробнее на выбранной группе.
Откроется карточка выбранной группы безопасности, где можно:
Изменить наименование группы безопасности.
Добавить правило в таблицу правил.
Подключить группу к серверам.
При создании группы безопасности по умолчанию создаются два правила egress для ipv4 и ipv6, разрешающие все порты и протоколы на исходящем трафике. При необходимости любое правило можно удалить, нажав на конпку с изображением корзины.
Для добавления новых правил нажмите Добавить правило:
Выберите направление трафика: ingress - входящий, egress - исходящий.
Укажите для какого типа трафика данное правило создается: IPv4 или IPv6.
Выберите для какого протокола: ICMP, TCP, UDP или любой.
При выборе протоколов TCP или UDP можно также указать: конкретный порт, диапазон портов, либо выбрать все порты.
При выборе протокола ICMP, можно указать его тип (Type) и код (Code), либо оставить поля Type и Code не заполненными.
Настройте адрес, для которого выбранный тип трафика будет разрешен.
Поддерживается указание адреса сети в формате CIDR или выбор группы безопасности - во втором случае будет разрешен трафик от серверов, которые состоят в выбранной группе.
Для добавления нового правила в таблицу нажмите Сохранить правило.
Подключите созданную группу безопасности к серверу, нажав Подключить в разделе Подключено к серверам, а затем из предложенного списка серверов данного региона выберите нужный сервер и нажмите Подключить.