Настройка Edge Gateway Firewall

Firewall как функция Edge Gateway служит для управления доступом между сетями тенанта и внешними сетями (North-South трафиком). Межсетевое экранирование может работать как из сети тенанта во внешнюю сеть, так и в обратном направлении.

На схеме:

• x.x.x.x — внешний IP-адрес;

• a.a.a.a/24, b.b.b.b/24 — адреса внутренних Routed-сетей.

Правила Firewall автоматически создаются при создании IPSec-канала, по два правила на каждый канал. Создание правил Firewall необходимо для корректной работы IPSec-канала, они обеспечивают функционирование сессий IKE NAT Traversal и Key Exchange.

Правила Firewall также можно создать вручную и указать объекты, которые отправляют и получают трафик:

• IP Sets — группы IP-адресов, определенные в Grouping Objects;

• Security Groups — наборы групп безопасности.

Рассмотрим создание правила Firewall с использованием IP Sets.

Создание IP Set

IP Set — это группы объектов, к которым применяются правила Firewall. Объединение нескольких объектов в IP Set помогает сократить общее количество правил Firewall.

1. В разделе Data Centers нажмите на карточку виртуального ЦОД и в меню слева выберите Edges.

2. Нажмите на название Edge Gateway.

3. В разделе Security → IP Sets нажмите NEW.

4. Заполните форму New IP Set:

   • Name — название группы IP-адресов.

   • (Опционально) Description — описание.

   • IP Addresses — IP-адрес или диапазон IP-адресов. Например, 192.167.1.2, 192.167.1.2-192.167.1.10 или 192.167.1.0/24.

5. Нажмите ADD, затем SAVE.

Создание правила Firewall

1. В разделе Services → Firewall нажмите EDIT RULES.

2. В открывшемся окне нажмите NEW ON TOP.

3. Появится строка нового правила, заполните ее поля:

   • Name — укажите название правила.

   • State — активируйте переключатель, чтобы включить правило.

   • Applications — если нужно выбрать конкретный протокол и порт для подключения, выберите профиль:

     • нажмите на ;

     • активируйте переключатель Choose a specific application;

     • выберите профиль из списка;

     • нажмите SAVE.

   • Source — выберите источник трафика:

     • нажмите на ;

     • активируйте переключатель Any Source, чтобы выбрать все доступные источники трафика, или укажите отдельные источники из списка;

     • нажмите SAVE.

   • Destination — выберите IP-адреса назначения, которые будут получать трафик:

     • нажмите на ;

     • активируйте переключатель Any Destination, чтобы выбрать все доступные адреса назначения, или укажите отдельные адреса из списка;

     • нажмите SAVE.

   • Action — из раскрывающегося списка выберите нужную опцию:

     • «Allow» — пропускать трафик;

     • «Drop» — блокировать трафик и не отправлять уведомления об этом заблокированным клиентам;

     • «Reject» — блокировать трафик и отправлять уведомления об этом заблокированным клиентам.

   • IP Protocol — из раскрывающегося списка выберите, следует ли применять правило к трафику IPv4 или IPv6.

   • Logging — при необходимости регистрировать фильтрацию, выполняемую этим правилом, активируйте переключатель.

4. Нажмите SAVE.

Примеры заполнения правил Firewall в разделах:

• Настройка доступа в интернет (SNAT)

• Настройка доступа к VM по RDP

• Настройка доступа к VM по SSH

Была ли статья полезной?

Да Нет

НазадСоздание профиля порта приложения

ДалееНастройка доступа в интернет (SNAT)