Быстрый старт Cloud Firewall
С помощью быстрого старта вы создадите межсетевой экран Cloud Firewall, настроите правило защиты трафика для EIP и проверите действие защиты.
Перед началом работы
-
Если вы уже зарегистрированы, войдите в консоль управления Advanced через личный кабинет Cloud.ru или как IAM-пользователь.
-
Создайте группу безопасности «sg-demo».
-
Создайте две виртуальные машины ECS «ecs-demo-01» и «ecs-demo-02» с привязкой к группе безопасности «sg-demo» и EIP.
-
Проверьте доступ виртуальных машин в интернет.
Для этого подключитесь к обеим ВМ ECS и отправьте ping на адрес 8.8.8.8:
ping 8.8.8.8Пакеты будут доставлены. Доступ к сети интернет разрешен.
Шаг 1. Создайте межсетевой экран
-
В списке сервисов выберите Cloud Firewall.
-
Нажмите Create CFW.
-
Задайте параметры Cloud Firewall:
-
Firewall Name — название Cloud Firewall «cfw-test».
-
Enterprise Project — проект по умолчанию «default».
-
-
Нажмите Create CFW → Create Now.
После создания откроется дашборд межсетевого экрана.
Шаг 2. Заблокируйте ВМ доступ в интернет
Для блокировки доступа настройте правило защиты трафика для EIP обеих виртуальных машин:
-
В списке сервисов выберите Cloud Firewall.
-
В меню слева выберите Access Control → Internet Border Protection Rules.
-
Нажмите Add Rule.
-
Задайте параметры правила:
-
Name — название правила «rule-block-all».
-
Direction — направление трафика Outbound.
-
Source — источник трафика Any.
-
Destination — назначение трафика Any.
-
Service — Any.
-
Protection Action — действие правила Blocked.
-
-
Нажмите OK.
Шаг 3. Включите защиту для EIP
Чтобы правило защиты трафика вступило в силу, включите защиту для EIP:
-
В списке сервисов выберите Cloud Firewall.
-
В меню слева выберите Assets → EIPs.
-
Напротив EIP виртуальных машин «ecs-demo-01» и «ecs-demo-02» в столбце Operation нажмите Enable Protection → Bind and Enable.
Статус EIP в столбце Protection Status изменится на «Protected».
Шаг 4. Проверьте действие защиты
Чтобы проверить работу правила защиты, подключитесь к обеим ВМ ECS и отправьте ping на адрес 8.8.8.8:
ping 8.8.8.8
Пакеты не будут доставлены. Доступ к сети заблокирован.
Шаг 5. Разрешите ВМ доступ в интернет
Для разрешения доступа настройте правило защиты трафика для EIP обеих виртуальных машин:
-
В списке сервисов выберите Cloud Firewall.
-
В меню слева выберите Access Control → Internet Border Protection Rules.
-
Нажмите Add Rule.
-
Задайте параметры правила:
-
Name — название правила «rule-test».
-
Direction — направление трафика Outbound.
-
Source — источник трафика Any.
-
Destination — назначение трафика IP Address. В поле введите EIP 8.8.8.8.
-
Service — ICMP.
-
Protection Action — действие правила Allowed.
-
Priority — приоритет правила Pin on top.
-
-
Нажмите OK.
Шаг 6. Проверьте действие правила
Чтобы проверить работу правила защиты, подключитесь к обеим ВМ ECS и отправьте ping на адрес 8.8.8.8:
ping 8.8.8.8
Теперь пакеты будут доставлены. Доступ к сети разрешен.
Что дальше
После создания межсетевого экрана Cloud Firewall вы можете настроить дополнительные правила защиты (en) и просмотреть статистику входящего и исходящего трафика к EIP (en).
- Перед началом работы
- Шаг 1. Создайте межсетевой экран
- Шаг 2. Заблокируйте ВМ доступ в интернет
- Шаг 3. Включите защиту для EIP
- Шаг 4. Проверьте действие защиты
- Шаг 5. Разрешите ВМ доступ в интернет
- Шаг 6. Проверьте действие правила
- Что дальше