Wprowadzenie do Firewall Mevspace
Firewall: co to jest, jak działa i jak nim zarządzać?
Czym jest Firewall?
Zapora sieciowa (firewall) to kluczowe narzędzie do ochrony systemów IT przed niepożądanym dostępem oraz atakami z sieci zewnętrznych.
Umożliwia użytkownikowi ustalanie zasad, które decydują o blokowaniu lub zezwalaniu na określone połączenia przychodzące i wychodzące. Może być wdrażana zarówno w formie oprogramowania, jak i specjalnie dedykowanego sprzętu.
Jej głównym zadaniem jest ochrona sieci prywatnej, zarządzanie ruchem sieciowym oraz zapewnienie integralności i poufności danych.
Działanie
Firewall nieustannie analizuje pakiety przesyłane między siecią wewnętrzną a zewnętrzną, filtrując je zgodnie z ustalonymi regułami, które mogą uwzględniać adresy IP, numery portów oraz protokoły.
Zapory te mogą działać na różnych poziomach modelu OSI, od analizy nagłówków pakietów (warstwy 3 i 4) po inspekcję zawartości aplikacji (warstwa 7).
Podstawowe typy firewalli:
Hostowy – instalowany bezpośrednio na urządzeniach końcowych. Chroni poszczególne komputery, kontrolując połączenia lokalne między aplikacjami oraz połączenia z sieci.
Sieciowy – działa na urządzeniach sieciowych, takich jak routery, przełączniki lub sprzętowe firewalle. Jego zadaniem jest ochrona całej sieci lub jej segmentów poprzez kontrolę przepływu danych między urządzeniami.
Aplikacyjny – dokładnie weryfikuje ruch sieciowy kierowany do konkretnej aplikacji, sprawdzając szczegóły związane z używanym protokołem.
Firewall w MEVSPACE
Dla każdego serwera dedykowanego oferujemy bezpłatne rozwiązanie Firewall. Zarządzanie zaporą sieciową jest proste i odbywa się za pomocą panelu administracyjnego.
Na poziomie urządzeń sieciowych, Firewall analizuje nagłówki pakietów, zanim te dotrą do serwera. Na podstawie zdefiniowanych reguł, ruch jest albo akceptowany, albo blokowany.
Aby zapewnić dodatkowe zabezpieczenie przed zagrożeniami z sieci publicznej, każdy serwer objęty jest ochroną Anty DDoS.
Zarządzanie funkcją Firewall
Nawigacja
Przejdź do panelu administracyjnego Mevspace.
Kliknij w zakładkę Sieć w lewym menu, a następnie wybierz z rozwijanej listy Firewall.
Zakładka zapewnia szybki i intuicyjny dostęp do wszystkich kluczowych funkcji firewalla.
Tworzenie grupy Firewall
Kliknij w ikonę plusa, aby utworzyć nową grupę do której przypiszesz odpowiednie reguły.
Wprowadź opis grupy, który ułatwi jej szybką identyfikację oraz zastosowane w niej filtry.
Po wprowadzeniu danych, kliknij Utwórz.
System automatycznie wygeneruje nową grupę, nadając jej unikalny przedrostek fw.
Wyświetlanie utworzonych grup Firewall
Po utworzeniu grupy, na liście pojawi się nowy wpis zawierający najważniejsze informacje:
opis,
liczba przypisanych reguł,
liczba powiązanych hostów (instancji),
data utworzenia.
Widok szczegółowy grupy Firewall
Aby wyświetlić szczegóły grupy, kliknij na wybrane ID lub skorzystaj z przycisku akcji i wybierz opcję Zobacz z rozwijanego menu.
W widoku szczegółowym możesz tworzyć zestawy reguł dla protokołów IPv4 i IPv6 oraz przypisywać je do wybranych zasobów.
Z tego poziomu możesz także wykonywać dodatkowe operacje, takie jak edytowanie nazwy grupy lub jej kasowanie.
Tworzenie Reguły IPv4
Przejdź do zakładki Reguły IPv4.
W formularzu Utwórz Regułę IPv4 skonfiguruj wszystkie parametry dla nowej reguły:
Wybierz odpowiedni protokół z listy: TCP, UDP, ICMP lub ANY.
Określ port lub zakres portów na którym będzie działać reguła.
Zdefiniuj źródło korzystając z dostępnych opcji: My IP, Niestandardowa lub Anywhere.
Opcjonalnie dodaj notatkę, aby opisać przeznaczenie reguły.
Po utworzeniu nowej reguły, system oznaczy ją kolorem niebieskim, co oznacza, że reguła jest wersją roboczą oczekującą na zatwierdzenie.
Możesz swobodnie tworzyć kolejne reguły, a kiedy będziesz gotowy, kliknij przycisk Zatwierdź zmiany. Pamiętaj, że reguły nie zostaną przetworzone, dopóki nie zatwierdzisz ich wykonania.
Uwaga! Aby aktywować reguły, powiąż je z wybranym adresem IP. Przejdź do zakładki Powiązane instancje i utwórz połączenie z adresem dla którego chcesz zastosować filtr. Reguły zostaną zastosowane dopiero po wykonaniu tego kroku.
Formularz tworzenia reguł IPv4 obejmuje kilka kluczowych parametrów:
Protokół:
TCP – połączeniowy protokół komunikacyjny, który zapewnia dostarczenie wszystkich pakietów w nawiązanej sesji połączenia. Stosowany między innymi przez programy w warstwie aplikacji, takich jak: HTTP, SSH, SMTP.
UDP – bezpołączeniowy protokół komunikacyjny, który priorytetyzuje szybkość transmisji bez wprowadzania kontroli przesyłanych pakietów. Wykorzystywany przy wideokonferencjach czy w usługach VoIP.
ICMP – protokół diagnostyczny, stosowany do monitorowania działania sieci przy pomocy narzędzi takich jak ping czy traceroute.
ANY – opcja umożliwiająca połączenie bez konieczności określania konkretnego protokołu.
Port – numer portu lub zakres (przykładowy format 22,53,3306 lub zakres portów 22,53,3306,1024-2048,443), do którego będzie zastosowana reguła. Przykłady: SSH domyślnie korzysta z portu 22, Telnet – 23, DNS – 53, HTTP – 80, HTTPS – 443.
Źródło – reguła zostanie zastosowana do adresu IP, z którego przychodzą pakiety. Dostępne opcje:
Niestandardowa – opcja pozwalająca na ręczne wpisanie konkretnego adresu IP, w formacie CIDR (wraz z maską).
Anywhere – reguła zostanie zastosowana do dowolnych źródłowych adresów IP (zapisanych w formacie CIDR 0.0.0.0/0).
My IP – reguła zostanie zastosowana do pakietów pochodzących z aktualnego adresu IP.
Notatki – opcjonalne pole tekstowe, w którym można opisać cel lub uzasadnienie dla danej reguły.
Uwaga! Każda grupa umożliwia zdefiniowanie maksymalnie 31 reguł, nie uwzględniając automatycznie utworzonej reguły DROP. Reguła DROP odrzuca wszystkie połączenia, które nie zostały wcześniej dozwolone przez zdefiniowane reguły ACCEPT.
Edycja oraz usuwanie Reguł
Aby edytować regułę, kliknij przycisk akcji i wybierz z listy rozwijanej Edytuj. W przypadku konieczności usunięcia reguły wybierz opcję Usuń.
Po edytowaniu reguły system oznaczy ją kolorem niebieskim, co oznacza, że reguła jest wersją roboczą do zatwierdzenia.
Reguła wskazana do usunięcia będzie oznaczona kolorem czerwonym, co oznacza, że reguła jest wersją roboczą gotową do usunięcia.
Możesz swobodnie tworzyć, edytować i kasować reguły, a kiedy będziesz gotowy, kliknij przycisk Zatwierdź zmiany. Pamiętaj, że reguły nie zostaną przetworzone, dopóki nie zatwierdzisz ich wykonania.
Przywracanie skasowanych reguł
Aby przywrócić skasowaną regułę, kliknij przycisk akcji i wybierz z listy rozwijanej Przywróć.
Po przywróceniu reguły, system oznaczy ją kolorem białym, co oznacza, że reguła została przywrócona do swojego pierwotnego stanu.
Tworzenie Reguły IPv6
Aby utworzyć regułę dla adresów IPv6, przejdź do zakładki Reguły IPv6.
Proces tworzenia reguły IPv6 jest podobny do tworzenia reguł IPv4, zastosuj kroki wymienione w instrukcji Tworzenie reguły IPv4.
Po utworzeniu nowej reguły, system oznaczy ją kolorem niebieskim, co oznacza, że reguła jest wersją roboczą oczekującą na zatwierdzenie.
Możesz swobodnie tworzyć kolejne reguły, a kiedy będziesz gotowy, kliknij przycisk Zatwierdź zmiany. Pamiętaj, że reguły nie zostaną przetworzone, dopóki nie zatwierdzisz ich wykonania.
Uwaga! Aby aktywować reguły, powiąż je z wybranym adresem IP. Przejdź do zakładki Powiązane instancje i utwórz połączenie z adresem dla którego chcesz zastosować filtr. Reguły zostaną zastosowane dopiero po wykonaniu tego kroku.
Tworzenie powiązania z zasobem – aktywacja firewalla
Aby aktywować utworzony zestaw reguł, wykonaj powiązanie z wybranymi adresami IP:
Przejdź do zakładki Powiązane instancje, a następnie kliknij ikonę plusa.
W polu wyszukiwania wpisz adres IPv4 (główny lub dodatkowy) powiązany z Twoim hostem.
Wybierz odpowiedni adres z listy, aby powiązać go z grupą firewall, a następnie kliknij Potwierdź.
Po utworzeniu powiązania, system oznaczy wpis kolorem niebieskim, co oznacza, że powiązanie jest wersją roboczą oczekującą na zatwierdzenie.
Możesz swobodnie tworzyć kolejne reguły i powiązania, a kiedy będziesz gotowy, kliknij przycisk Zatwierdź zmiany. Pamiętaj, że zmiany zostaną aktywowane dopiero po ich zatwierdzeniu.
Uwaga! Przypisanie firewalla dotyczy wyłącznie wybranego adresu IP i nie ma wpływu na inne adresy powiązane z instancją. Aby zastosować filtr dla dodatkowego adresu na serwerze, musisz utworzyć osobne powiązanie dla każdego z nich. Filtr będzie również obowiązywał dla adresu IPv6 powiązanego z odpowiadającym mu adresem IPv4.
Usuwanie powiązań z zasobem
Aby usunąć powiązanie z adresem, kliknij przycisk akcji i wybierz z listy rozwijanej Usuń.
Powiązanie wskazane do usunięcia będzie oznaczone kolorem czerwonym, co oznacza, że wpis jest wersją roboczą gotową do usunięcia.
Możesz swobodnie zarządzać regułami i powiązaniami, a kiedy będziesz gotowy, kliknij przycisk Zatwierdź zmiany. Pamiętaj, że zmiany zostaną aktywowane dopiero po ich zatwierdzeniu.
Usuwanie grupy
W przypadku konieczności usunięcia grupy, kliknij w ikonę kosza lub użyj przycisku akcji w liście grup firewall, następnie wybierz opcję Usuń z listy rozwijanej.
Po zatwierdzeniu zmian system trwale usunie wybraną grupę.
