Файрвол – это программный механизм защиты сервера от сетевых угроз. В рамках заданных в файрволе правил регулируется поток входящего и исходящего трафика. Вы можете управлять всеми соединениями, кроме 25 порта для исходящего трафика — он заблокирован по умолчанию.
Для тех, кто использует балансировщик нагрузки: если ваша виртуальная машина состоит в пуле, настройте её файрвол так, чтобы открыть порты для приёма и передачи данных от балансировщика.
Создание файрвола
Создать файрвол в облаке можно в разделе «Сеть» → «Файрволы» → «Создать файрвол».
Также можно настроить файрвол в меню создания Виртуальной машины в разделе «Настройка файрвола» , опция «Добавить файрвол».
В открывающемся конфигураторе вы сможете настроить правила на основе которых и работает межсетевой экран. Правила описывают, какой трафик может поступать на виртуальную машину и какой трафик может с нее уходить. Если правила не настроены — весь трафик будет заблокирован.
Правила
Чтобы создать правило для входящего или исходящего соединения нужно кликнуть на копку «Новое правило» и далее:
- Выбрать тип соединения из существующих шаблонов
(All TCP, All UDP, SSH, HTTP, MySQL и т.д.), в которых предустановлены типовые протоколы и порты для соединений.
- Либо задать свои настройки протокола и порта, выбрав вариант «Custom».
Источники
Для каждого типа соединения можно задать определенный диапазон адресов, для которого будет применяться правило. Указать IP адреса можно в поле «Источники», в формате CIDR:
Важно! Если вы хотите, чтобы правило распространялось на все адреса, оставьте поле незаполненым.
Далее, чтобы сохранить, либо удалить созданное правило нужно выбрать соответствующую опцию из селектора, как показано на скриншоте:
Применить к виртуальной машине
При создании файрвола можно также сразу выбрать виртуальные машины к которым применяться настройки межсетевого экрана. Для этого в конфигураторе есть поле «Применить к виртуальной машине» (если вы настраиваете файрвол в меню создания виртуальной машины, то поле будет отсутствовать, так как настройка автоматически применится к создаваемому серверу).
В выпадающем списке необходимо будет выбрать серверы для которых нужно применить настройку.
После настройки всех параметров нажмите на кнопку «Создать файрвол»
Файрвол по умолчанию
По умолчанию в облаке существует файрвол “default” с предустановленными разрешающими правилами для:
- Входящих соединений по протоколам: SSH (порт 22), UDP (порт 3389), ICMP (все порты), TCP (порт 3389);
- Любых исходящих соединений.
При создании сервера, если вы не указываете, какой файрвол стоит применить к виртуальной машине, к ней применится файрвол по умолчанию.
Управление файрволами
Список существующих файрволов находится во вкладке «Сеть» → «Файрволы».
В разделе с файрволами можно редактировать правила, редактировать привязанные Виртуальные машины, а также есть возможность удалить существующие файрволы.
Для выбора нужной опции необходимо кликнуть на селектор справа.
Правила
Опция позволяет редактировать существующие и создавать новые правила в файрволе для входящего и исходящего трафика.
Виртуальные машины
Опция “Виртуальные машины” позволяет управлять списком серверов, к которым применяется фильтрация.
Можно как добавлять новые сервера в список, так и удалять, ранее настроенные.
Удалить
Опция удаляет файрвол со всеми настройками. Удаленный файрвол пропадает для всех связанных машин.