Виртуальный Firewalls#

Виртуальный Firewall (файрвол, межсетевой экран, брандмауэр) представляет собой программно-аппаратный или программный комплекс, который отслеживает сетевые пакеты, блокирует или разрешает их прохождение. В фильтрации трафика виртуальный Firewall опирается на установленные параметры — чаще всего их называют правилами брандмауэра или группами безопасности.

Группа безопасности - это набор настраиваемых разрешающих правил прохождения трафика, которые возможно назначать на порты виртуальных серверов.

По умолчанию у каждого клиента созданы группы безопасности «default» в каждом регионе, разрешающие любой трафик в любом направлении. Сетевой трафик, проходящий через файрвол, сопоставляется с правилами, чтобы определить пропускать его или нет.

Создание группы безопасности#

  1. В Панели управления перейдите в раздел «Облако» / «Firewalls».

  2. Нажмите кнопку «Создать».

  3. Укажите название группы безопасности. Допустимо использование букв латинского алфавита, цифр и символов.

  4. Выберите регион для которого создается группа безопасности. Файрвол будет доступен во всех зонах выбранного региона. На выбор предоставляются следующие регионы:

  • Варшава, Польша;

  • Москва, Россия;

  • Майами, США.

  1. В разделе «Описание» можно оставить пометку для каких задач создается группа безопасности.

  2. Нажмите «Создать группу безопасности».

Изменение группы безопасности#

  1. Созданная группа безопасности появится в разделе «Облако» / «Firewalls».

  2. Для изменения группы необходимо нажмите «Подробнее» на нужной группе.

  3. Откроется информация о выбранной группе безопасности, где можно:

  • изменить наименование группы безопасности;

  • добавить правило в таблицу правил;

  • подключить группу к серверам.

  1. По умолчанию, при создании группы безопасности создаются два правила egress для ipv4 и ipv6, разрешающие все порты и протоколы на исходящем трафике. При необходимости, любое правило можно удалить, нажав на ярлык корзины справа.

  2. Для добавления новых правил нажмите «Добавить правило» и далее:

  • выберите направление трафика: ingress - входящий, egress - исходящий;

  • укажите для какого типа трафика данное правило создается: IPv4 или IPv6;

  • выберите для какого протокола применимо правило: ICMP, TCP, UDP или любой. При выборе протоколов TCP или UDP, будет предложено также указать: конкретный порт, диапазон портов, либо выбрать все порты. При выборе протокола ICMP, можно указать его тип (Type) и код (Code), либо оставить поля Type и Code не заполненными;

  • Далее нужно настроить адрес, для которого выбранный тип трафика будет разрешен. Поддерживается указание адреса сети в формате CIDR или выбор группы безопасности - во втором случае будет разрешен трафик от серверов, которые состоят в выбранной группе.

  1. Для добавления нового правила в таблицу нажмите «Сохранить правило».

  2. Далее следует подключить созданную группу безопасности к серверу, для этого в разделе Подключено к серверам нажмите «Подключить», из предложенного списка серверов данного региона выберите нужный сервер и нажмите «Подключить».