Виртуальные Firewalls

Виртуальный Firewall (файрвол, межсетевой экран, брандмауэр) представляет собой программно-аппаратный или программный комплекс, который отслеживает сетевые пакеты, блокирует или разрешает их прохождение. В фильтрации трафика виртуальный Firewall опирается на установленные параметры — чаще всего их называют правилами брандмауэра или группами безопасности.

Группа безопасности - это набор настраиваемых разрешающих правил прохождения трафика, которые возможно назначать на порты виртуальных серверов.

По умолчанию у каждого клиента созданы группы безопасности “default” в каждом регионе, разрешающие любой трафик в любом направлении. Сетевой трафик, проходящий через файрвол, сопоставляется с правилами, чтобы определить пропускать его или нет.

Создание группы безопасности

  1. В Панели управления перейдите в раздел “Облако” / “Firewalls”.

  2. Нажмите кнопку “Создать”.

  3. Укажите название группы безопасности. Допустимо использование букв латинского алфавита, цифр и символов.

  4. Выберите регион для которого создается группа безопасности. Файрвол будет доступен во всех зонах выбранного региона. На выбор предоставляются следующие регионы:

  • Варшава, Польша;

  • Москва, Россия;

  • Майами, США;

  • Даллас, США;

  • Алматы, Казахстан.

  1. В разделе “Описание” можно оставить пометку для каких задач создается группа безопасности.

  2. Нажмите “Создать группу безопасности”.

Изменение группы безопасности

  1. Созданная группа безопасности появится в разделе “Облако” / “Firewalls”.

  2. Для изменения группы нажмите “Подробнее” на нужной группе.

  3. Откроется информация о выбранной группе безопасности, где можно:

  • изменить наименование группы безопасности;

  • добавить правило в таблицу правил;

  • подключить группу к серверам.

  1. По умолчанию, при создании группы безопасности создаются два правила egress для ipv4 и ipv6, разрешающие все порты и протоколы на исходящем трафике. При необходимости, любое правило можно удалить, нажав на ярлык корзины справа.

  2. Для добавления новых правил нажмите “Добавить правило” и далее:

  • выберите направление трафика: ingress - входящий, egress - исходящий;

  • укажите для какого типа трафика данное правило создается: IPv4 или IPv6;

  • выберите для какого протокола применимо правило: ICMP, TCP, UDP или любой. При выборе протоколов TCP или UDP, будет предложено также указать: конкретный порт, диапазон портов, либо выбрать все порты. При выборе протокола ICMP, можно указать его тип (Type) и код (Code), либо оставить поля Type и Code не заполненными;

  • Далее нужно настроить адрес, для которого выбранный тип трафика будет разрешен. Поддерживается указание адреса сети в формате CIDR или выбор группы безопасности - во втором случае будет разрешен трафик от серверов, которые состоят в выбранной группе.

  1. Для добавления нового правила в таблицу нажмите “Сохранить правило”.

  2. Далее следует подключить созданную группу безопасности к серверу, для этого в разделе Подключено к серверам нажмите “Подключить”, из предложенного списка серверов данного региона выберите нужный сервер и нажмите “Подключить”.