Настройка Edge Gateway Firewall
Firewall как функция Edge Gateway служит для управления доступом между сетями тенанта и внешними сетями (North-South трафиком). Межсетевое экранирование может работать как из сети тенанта во внешнюю сеть, так и в обратном направлении.
На схеме:
x.x.x.x — внешний IP-адрес;
a.a.a.a/24, b.b.b.b/24 — адреса внутренних Routed-сетей.
Правила Firewall автоматически создаются при создании IPSec-канала, по два правила на каждый канал. Создание правил Firewall необходимо для корректной работы IPSec-канала, они обеспечивают функционирование сессий IKE NAT Traversal и Key Exchange.
Правила Firewall также можно создать вручную и указать объекты, которые отправляют и получают трафик:
IP Sets — группы IP-адресов, определенные в Grouping Objects;
Security Groups — наборы групп безопасности.
Рассмотрим создание правила Firewall с использованием IP Sets.
Выполните следующие шаги:
Создание IP Set
IP Set — это группы объектов, к которым применяются правила Firewall. Объединение нескольких объектов в IP Set помогает сократить общее количество правил Firewall.
В разделе Data Centers нажмите на карточку виртуального ЦОД и в меню слева выберите Edges.
Нажмите на название Edge Gateway.
В разделе NEW.
нажмитеЗаполните форму New IP Set:
Name — название группы IP-адресов.
(Опционально) Description — описание.
IP Addresses — IP-адрес или диапазон IP-адресов. Например, 192.167.1.2, 192.167.1.2-192.167.1.10 или 192.167.1.0/24.
Нажмите ADD, затем SAVE.
Создание правила Firewall
В разделе EDIT RULES.
нажмитеВ открывшемся окне нажмите NEW ON TOP.
Появится строка нового правила, заполните ее поля:
Name — укажите название правила.
State — активируйте переключатель, чтобы включить правило.
Applications — если нужно выбрать конкретный протокол и порт для подключения, выберите профиль:
нажмите на
;
активируйте переключатель Choose a specific application;
выберите профиль из списка;
нажмите SAVE.
Source — выберите источник трафика:
нажмите на
;
активируйте переключатель Any Source, чтобы выбрать все доступные источники трафика, или укажите отдельные источники из списка;
нажмите SAVE.
Destination — выберите IP-адреса назначения, которые будут получать трафик:
нажмите на
;
активируйте переключатель Any Destination, чтобы выбрать все доступные адреса назначения, или укажите отдельные адреса из списка;
нажмите SAVE.
Action — из раскрывающегося списка выберите нужную опцию:
«Allow» — пропускать трафик;
«Drop» — блокировать трафик и не отправлять уведомления об этом заблокированным клиентам;
«Reject» — блокировать трафик и отправлять уведомления об этом заблокированным клиентам.
IP Protocol — из раскрывающегося списка выберите, следует ли применять правило к трафику IPv4 или IPv6.
Logging — при необходимости регистрировать фильтрацию, выполняемую этим правилом, активируйте переключатель.
Нажмите SAVE.
Примеры заполнения правил Firewall в разделах: