Настройка Edge Gateway Firewall
Edge Gateway (программный маршрутизатор, виртуальный шлюз) управляет доступом между сетями организации и внешними сетями (North-South). В настройках по умолчанию все соединения из сети Интернет блокируются. Чтобы разрешить подключение, необходимо создать IP Set и правило Firewall.
Примечание
Описанные настройки доступны, если вы используете версию 10.5.
Создание IP Set
IP Set — это группа IP-адресов и портов, к которым применяются правила межсетевого экрана. Создание IP Sets позволяет сократить количество создаваемых правил Firewall.
- Перейдите в Data Centers и выберите виртуальный дата-центр.
- Перейдите в Edges и выберите Edge Gateway.
- Перейдите в Security > IP Sets > Нажмите NEW.
- Откроется окно New IP Set. Заполните поля.
- Name — введите название группы IP-адресов.
- Description — введите описание.
- IP Addresses — введите приватный IP-адрес VM. Например:
10.0.0.4/24. - Нажмите ADD и затем SAVE.
Создание правила Firewall
Firewall — межсетевой экран, который контролирует и фильтрует проходящий через Edge Gateway сетевой трафик.
- Перейдите в Data Centers и выберите виртуальный дата-центр.
- Перейдите в Edges и выберите Edge Gateway.
- Перейдите в Services > Firewall.
- Нажмите EDIT RULES и затем NEW ON TOP.
- Добавится строка с новым правилом. Заполните поля.
- Name — введите название правила.
- Чтобы включить правило, включите опцию State.
- Applications — укажите протокол и порт подключения:
- откройте редактирование;
- включите опцию Choose a specific application;
- выберите протокол и порт.
- Source — откройте редактирование и укажите источники трафика.
- Destination — откройте редактирование и выберите адреса назначения.
- Action — из раскрывающегося списка выберите Allow.
- IP Protocol — выберите трафик, к которому должно применяться правило.
- Если необходимо регистрировать фильтрацию, выполняемую этим правилом, включите опцию Logging.
- Нажмите SAVE.
Настройка Edge Gateway Firewall в версии 10.4
Создание IP Set
IP Set — это группа IP-адресов и портов, к которым применяются правила межсетевого экрана. Создание IP Sets позволяет сократить количество создаваемых правил Firewall.
- Перейдите в Data Centers и выберите виртуальный дата-центр.
- Перейдите в Edges и выберите Edge Gateway.
- Нажмите Services.
- Перейдите: Grouping objects > IP Sets > Нажмите +.
- Откроется окно New IP Set. Заполните поля.
- Name — введите название группы IP-адресов.
- Description — введите описание.
- IP Addresses — введите приватный IP-адрес VM. Например:
10.0.0.4/24. - Нажмите KEEP.
Создание правила Firewall
Firewall — межсетевой экран, который контролирует и фильтрует проходящий через Edge Gateway сетевой трафик.
- Перейдите в Data Centers и выберите виртуальный дата-центр.
- Перейдите в Edges и выберите Edge Gateway.
- Нажмите Services и перейдите в Firewall
- Включите опцию Enabled и нажмите +.
- Добавится строка с новым правилом. Заполните поля.
- Name — введите название правила.
- Source — нажмите + и укажите источники трафика.
- Destination — нажмите + и выберите адреса назначения.
- Service — из раскрывающегося списка выберите Any.
- Action — из раскрывающегося списка выберите Accept.
- Если необходимо регистрировать фильтрацию, выполняемую этим правилом, включите опцию Enable logging.
- Нажмите Save changes.
Примеры конфигурации правил
| Name | Source address | Destination address | Destination port | Protocol |
|---|---|---|---|---|
| https | any | internal | 443 | TCP |
| https | any | internal | 80 | TCP |
| SSH | any | internal | 22 | TCP |
| NTP1 | internal | 110.61.192.3-110.61.192.4 | 123 | UDP |
| proxy | internal | 110.61.192.2 | 8080 | TCP |
| DNS | internal | 110.61.192.2 | 53 | UDP |
| DNS-TCP | internal | 110.61.192.2 | 53 | TCP |
| from_externat_to_any | 176.109.67.69 | any | any | TCP |
| from_external_to_any | 176.109.67.67 | any | any | TCP |
| from_external_to_any | 176.109.67.71 | any | any | TCP |
| from_all_to_external | any | 176.109.67.71 | any | TCP |
| default for ingress traffic | any | any | any | TCP |