Файрвол
Файрвол (firewall, межсетевой экран, брандмауэр) позволяет отслеживать сетевые пакеты, блокируя или разрешая прохождение трафика. В фильтрации трафика файрвол опирается на заданные правила.
Warning
Cервис развернут в тестовом режиме для серверов, расположенных в регионе Москва. Для улучшения работы сервиса оставляйте обратную связь, создав обращение в техническую поддержку в Панели управления.
Управление файрволом
В нашем сервисе используется stateful firewall — межсетевой экран, который отслеживает состояние сетевых соединений и принимает решения о пропуске или блокировке пакетов, основываясь не только на статических правилах (например, IP-адреса и порты), но и на контексте исходящих соединений:
Клиент инициирует соединение (например, отправляет TCP SYN).
Файрвол проверяет правила и, если соединение разрешено, заносит его в таблицу состояний.
Когда сервер отвечает (SYN-ACK), файрвол понимает, что это ответ на существующий запрос, и пропускает пакет.
Если придет пакет, не относящийся к существующим соединениям, он будет заблокирован. Это позволяет защищаться от некоторых атак, например, spoofing.
Для включения файрвола в Панели управления перейдите в раздел Инфраструктура ЦОД на вкладку Firewalls, задайте правила пропуска трафика, после чего включите переключатель Enable Firewall. Если переключатель Enable Firewall останется выключенным, то весь трафик будет пропускаться без дополнительной обработки независимо от наличия правил.
По умолчанию, если не создано ни одного правила, то весь входящий трафик не пропускается. Мы рекомендуем разрешить работу протоколов ICMP/ICMPv6.
Правила фаервола
В каждом регионе должны быть настроены правила файрвола, разрешающие входящий трафик. Сетевой трафик, проходящий через файрвол, сопоставляется с заданными правилами, чтобы определить пропускать его или нет.
Note
Исходящий трафик не фильтруется!
Добавление правила
Для добавления правила:
В Панели управления перейдите в раздел Инфраструктура ЦОД на вкладку Firewalls.
Нажмите кнопку Добавить правило.
Заполните обязательное поле Семейство. Например, если указать семейство IPv6 без уточнения остальных полей (протоколы, CIDR и прочее), то прохождение всего IPv6 трафика будет разрешено.
Укажите протокол и нужные для него порты. Порты можно указывать в виде списка, разделяя запятой или диапазоном, например, 21-23 или 80,443. Если не указать конкретные порты, то тогда будут открыты все порты для выбранного протокола.
Заполните оставшиеся поля таблицы правил при необходимости. Обратите внимание, что поля ICMP code и ICMP type указываются только для ICMP/ICMPv6 протоколов.
Нажмите кнопку Добавить правило. Правило будет создано.
Изменить созданное правило нельзя, можно создать новое правило, после чего удалить предыдущее.
Поддерживаемые протоколы
Номер |
Протокол |
Описание |
|---|---|---|
1 |
ICMP |
Internet Control Message Protocol |
2 |
IGMP |
Internet Group Management Protocol |
4 |
IP-in-IP |
Инкапсуляция IP в IP |
6 |
TCP |
Transmission Control Protocol |
8 |
EGP |
Exterior Gateway Protocol |
17 |
UDP |
User Datagram Protocol |
33 |
DCCP |
Datagram Congestion Control Protocol |
41 |
IPv6 |
6in4, Teredo |
43 |
IPv6-Route |
Routing Header for IPv6 |
44 |
IPv6-Frag |
Fragment Header for IPv6 |
46 |
RSVP |
Resource Reservation Protocol |
50 |
ESP |
Encapsulating Security Payload (IPsec) |
51 |
AH |
Authentication Header (IPsec) |
57 |
SKIP |
Simple Key-Management for Internet Protocol |
58 |
ICMPv6 |
Internet Control Message Protocol for IPv6 |
59 |
IPv6-NoNxt |
No Next Header for IPv6 |
60 |
IPv6-Opts |
Destination Options for IPv6 |
89 |
OSPF |
Open Shortest Path First |
112 |
VRRP |
Virtual Router Redundancy Protocol |
113 |
PGM |
Pragmatic General Multicast |
132 |
SCTP |
Stream Control Transmission Protocol |
136 |
UDPLite |
Lightweight UDP |