Настройка Edge Gateway Firewall

Edge Gateway (программный маршрутизатор, виртуальный шлюз) управляет доступом между сетями организации и внешними сетями (North-South). В настройках по умолчанию все соединения из сети Интернет блокируются. Чтобы разрешить подключение, необходимо создать IP Set и правило Firewall.

IP Set — это группа IP-адресов и портов, к которым применяются правила межсетевого экрана. Создание IP Sets позволяет сократить количество создаваемых правил Firewall.

1. Перейдите в Data Centers и выберите виртуальный дата-центр.
2. Перейдите в Edges и выберите Edge Gateway.
3. Перейдите в Security > IP Sets > Нажмите NEW.
4. Откроется окно New IP Set. Заполните поля.
5. Name — введите название группы IP-адресов.
6. Description — введите описание.
7. IP Addresses — введите приватный IP-адрес VM. Например: 10.0.0.4/24.
8. Нажмите ADD и затем SAVE.

Firewall — межсетевой экран, который контролирует и фильтрует проходящий через Edge Gateway сетевой трафик.

1. Перейдите в Data Centers и выберите виртуальный дата-центр.
2. Перейдите в Edges и выберите Edge Gateway.
3. Перейдите в Services > Firewall.
4. Нажмите EDIT RULES и затем NEW ON TOP.
5. Добавится строка с новым правилом. Заполните поля.
6. Name — введите название правила.
7. Чтобы включить правило, включите опцию State.
8. Applications — укажите протокол и порт подключения:

   • откройте редактирование;
   • включите опцию Choose a specific application;
   • выберите протокол и порт.
9. Source — откройте редактирование и укажите источники трафика.
10. Destination — откройте редактирование и выберите адреса назначения.
11. Action — из раскрывающегося списка выберите Allow.
12. IP Protocol — выберите трафик, к которому должно применяться правило.
13. Если необходимо регистрировать фильтрацию, выполняемую этим правилом, включите опцию Logging.
14. Нажмите SAVE.

IP Set — это группа IP-адресов и портов, к которым применяются правила межсетевого экрана. Создание IP Sets позволяет сократить количество создаваемых правил Firewall.

1. Перейдите в Data Centers и выберите виртуальный дата-центр.
2. Перейдите в Edges и выберите Edge Gateway.
3. Нажмите Services.
4. Перейдите: Grouping objects > IP Sets > Нажмите +.
5. Откроется окно New IP Set. Заполните поля.
6. Name — введите название группы IP-адресов.
7. Description — введите описание.
8. IP Addresses — введите приватный IP-адрес VM. Например: 10.0.0.4/24.
9. Нажмите KEEP.

Firewall — межсетевой экран, который контролирует и фильтрует проходящий через Edge Gateway сетевой трафик.

1. Перейдите в Data Centers и выберите виртуальный дата-центр.
2. Перейдите в Edges и выберите Edge Gateway.
3. Нажмите Services и перейдите в Firewall
4. Включите опцию Enabled и нажмите +.
5. Добавится строка с новым правилом. Заполните поля.
6. Name — введите название правила.
7. Source — нажмите + и укажите источники трафика.
8. Destination — нажмите + и выберите адреса назначения.
9. Service — из раскрывающегося списка выберите Any.
10. Action — из раскрывающегося списка выберите Accept.
11. Если необходимо регистрировать фильтрацию, выполняемую этим правилом, включите опцию Enable logging.
12. Нажмите Save changes.

Name	Source address	Destination address	Destination port	Protocol
https	any	internal	443	TCP
https	any	internal	80	TCP
SSH	any	internal	22	TCP
NTP1	internal	110.61.192.3-110.61.192.4	123	UDP
proxy	internal	110.61.192.2	8080	TCP
DNS	internal	110.61.192.2	53	UDP
DNS-TCP	internal	110.61.192.2	53	TCP
from_externat_to_any	176.109.67.69	any	any	TCP
from_external_to_any	176.109.67.67	any	any	TCP
from_external_to_any	176.109.67.71	any	any	TCP
from_all_to_external	any	176.109.67.71	any	TCP
default for ingress traffic	any	any	any	TCP