Настройка брандмауэра

0

В vCloud вы можете использовать два разных брандмауэра.

Distributed firewall проверяет трафик между виртуальными машинами внутри одной сети, направляясь с востока на запад. Хорошо использовать, если все виртуальные сервера имеют собственный публичный IP-адрес. Настройка распределенного межсетевого экрана эффективно защищает от всех внешних или внутриних инцидентов безопасности.

distributed.png

Edge gateway firewall  контролирует движение интернет трафика с севера на юг. Это используется, например, если вы хотите скрыть виртуальные сервера во внутреней сети. Конечно, может также быть так называемое, смешанное решение, в котором некоторые серверы имеют общедоступные IP-адреса, а другие - во внутреней сети NAT.

edge.png

Оба брандмауэра настроиваются по похожему принципу. Edge gateway является частью пакета Edge, более подробно можно узнать здесь

firewall6.PNG

Брандмауэры vCloud имеют несколько преимуществ по сравнению с брандмауэрами, установленными на определенных виртуальных серверах.

  • Одним из центральных мест является управление всей инфраструктурой брандмауэра.
  • Отсутсвует проблема, что если вы допустили ошибку в настройках брандмауэра и закрыли порты и вас отключило от сервера.
    (Например закрыли SSH порт)
  • Доп. уровень безопасности. Хакерам сложнее взломать сервер, так как перед сервером стоит брандмауэр.
  • Высокая загрузка на виртуальный сервер не влияет на производительность брандмауэров vCloud. Добавление новых виртуальных серверов в брандмауэр также автоматическое.
  • Правила могут быть реализованы с широким диапазоном параметров.

 

1

По умолчанию брандмауэр разрешает весь сетевой трафик.

firewall1.PNG

В качестве первого шага мы изменим правило по умолчанию, чтобы брандмауэр блокировал весь сетевой трафик. Мы меняем правило «Default Allow». В столбце «Action» мы заменим значение «Allow» значением «Deny». После нажатия кнопки «Save changes» любой сетевой трафик должен прекратиться с уже созданных виртуальных серверов.

firewall2.PNG

 

2

Затем вы можете сделать еще один шаг, открыв все порты, необходимые для работы служб. Например, мы открываем ICMP, который теперь позволяет вам пинговать сервер.

firewall3.PNGМы также открываем порты 80 и 443, чтобы разрешать трафик http и https на сервер и с сервера.

firewall4.PNGПравило номер 3 открывает доступ по SSH через 22. Source адресом может быть например IP-aдрес конторы. Тогда доступ по SSH будет только из конторы.

 

3

Сделанное в прошлом пункте правило "Allow SSH" действует только для виртульного сервера "test".

"Applied To" В столбце вы можете изменить для каких виртуальных серверов правило будет работать.

firewall5.PNG

 

Адрес: Endla 16, Tallinn 10142, EestiТелефон: (+372) 685 0000@email