Настройка безопасности VDC на Firewall
При развертывании систем в VDC могут использоваться порты по умолчанию, которые чаще всего подвержены кибератакам и являются самыми уязвимыми. Чтобы обезопасить VDC, необходимо настроить запрет входящего трафика на все известные порты по умолчанию с помощью запрещающих политик.
По умолчанию на Firewall есть правило, блокирующее весь входящий трафик. Чтобы разрешить прохождение необходимого трафика, необходимо создать разрешающие политики.
Рекомендуем оставить дефолтное запрещающее правило в режиме блокировки Drop. Такой режим означает блокировку трафика от или к указанным источникам, адресатам и службам без уведомления заблокированного клиента.
Примечание
Описанные настройки доступны, если вы используете версию 10.5.
Чтобы создать запрещающую или разрешающую политику:
- Создайте IP Set с указанием IP-адреса или диапазон IP-адресов.
- Создайте запрещающее / разрешающее правило Firewall.
Рекомендуем давать информативные имена группам IP Set и правилам Firewall.
Настройка безопасности на Firewall в версии 10.4
- Создайте IP Set с указанием IP-адреса или диапазон IP-адресов.
- Создайте запрещающее / разрешающее правило Firewall.
Рекомендуем давать информативные имена группам IP Set и правилам Firewall.
Примеры конфигурации правил
| Name | Port | Protocol |
|---|---|---|
| https | 443 | TCP |
| https | 80 | TCP |
| SSH | 22 | TCP |
| NTP1 | 123 | UDP |
| proxy | 8080 | TCP |
| DNS | 53 | UDP |
| DNS-TCP | 53 | TCP |
| from_externat_to_any | any | TCP |
| from_external_to_any | any | TCP |
| from_external_to_any | any | TCP |
| from_all_to_external | any | TCP |
| default for ingress traffic | any | TCP |