Знакомство с брандмауэром Mevspace Firewall
Firewall: Что это, как он работает и как им управлять?
Что такое Firewall?
Firewall (брандмауэр) — это ключевой инструмент для защиты IT-систем от несанкционированного доступа и внешних сетевых атак.
Он позволяет пользователям устанавливать правила, которые определяют, следует ли блокировать или разрешать определённые входящие и исходящие соединения. Firewall может быть реализован как программное обеспечение или в виде специального оборудования.
Его основная цель — обеспечить безопасность частных сетей, управлять сетевым трафиком, а также гарантировать целостность и конфиденциальность данных.
Как это работает
Firewall непрерывно анализирует пакеты, передаваемые между внутренней и внешней сетями, фильтруя их на основе заранее заданных правил. Эти правила могут учитывать IP-адреса, номера портов и протоколы. Брандмауэры могут работать на различных уровнях модели OSI: от анализа заголовков пакетов (уровни 3 и 4) до проверки на уровне приложений (уровень 7).
Основные типы Firewall:
Хостовый Firewall – устанавливается непосредственно на конечных устройствах. Защищает отдельные компьютеры, контролируя локальные соединения между приложениями и сетевыми подключениями.
Сетевой Firewall – работает на сетевых устройствах, таких как маршрутизаторы, коммутаторы или специализированное оборудование для брандмауэров. Его задача – защищать целые сети или их сегменты, контролируя поток данных между устройствами.
Firewall на уровне приложений – осуществляет детальную проверку сетевого трафика, направленного к конкретному приложению, анализируя детали протоколов.
Firewall в MEVSPACE
Для каждого выделенного сервера мы предлагаем бесплатное решение Firewall. Управление Firewall осуществляется легко и удобно через административную панель.
На уровне сетевого устройства Firewall анализирует заголовки пакетов до их попадания на сервер. В зависимости от заданных правил трафик либо принимается, либо блокируется.
Для дополнительной защиты от угроз в публичных сетях каждый сервер обеспечивается защитой Anti DDoS.
Управление функцией Firewall
Навигация
Перейдите в административную панель Mevspace.
Нажмите на вкладку Сеть в левом меню, затем выберите Брандмауэр из выпадающего списка.
Вкладка предоставляет быстрый и интуитивно понятный доступ ко всем основным функциям Firewall.
Создание группы Firewall
Нажмите на значок +, чтобы создать новую группу, в которую можно назначить соответствующие правила.
Введите описание, чтобы легко идентифицировать группу и применяемые к ней фильтры.
После ввода данных нажмите Создать.
Система автоматически создаст новую группу с уникальным префиксом fw.
Отображение созданных групп Firewall
После создания группы в списке появится новая запись с ключевой информацией:
Описание
Количество назначенных правил
Количество связанных хостов (экземпляров)
Дата создания
Детальный просмотр группы Firewall
Для просмотра деталей группы, нажмите на выбранный ID или используйте кнопку действий и выберите опцию Просмотр из выпадающего списка.
В детальном просмотре можно создавать наборы правил для протоколов IPv4 и IPv6 и назначать их выбранным ресурсам.
Также доступны дополнительные действия, такие как редактирование имени группы или удаление группы.
Создание правила IPv4
Перейдите на вкладку Правила IPv4.
В форме Создать правило IPv4 настройте все параметры для нового правила:
Выберите протокол из списка: TCP, UDP, ICMP или ANY.
Укажите порт или диапазон портов, на которых будет действовать правило.
Определите источник, используя доступные опции: Custom, Anywhere или My IP.
При необходимости добавьте заметку, чтобы описать назначение правила.
После создания нового правила оно будет выделено синим, указывая, что это черновая версия, ожидающая одобрения.
Вы можете создать дополнительные правила. Когда закончите, нажмите кнопку Применить изменения. Учтите, что правила не будут обработаны, пока вы не подтвердите их выполнение.
Примечание: Для активации правил свяжите их с конкретным IP-адресом. Перейдите на вкладку Связанные экземпляры и создайте связь с адресом, к которому должен быть применён фильтр. Правила начнут действовать только после выполнения этого шага.
Форма создания правила IPv4 включает несколько ключевых параметров:
Протокол:
TCP - протокол связи, обеспечивающий доставку всех пакетов в установленной сессии. Обычно используется программами прикладного уровня, такими как HTTP, SSH и SMTP.
UDP – протокол связи без установления соединения, ориентированный на скорость передачи данных без контроля пакетов. Часто применяется в видеоконференциях и VoIP-сервисах.
ICMP – диагностический протокол, используемый для мониторинга производительности сети с помощью инструментов, таких как ping и traceroute.
ANY – опция, позволяющая установить соединение без указания конкретного протокола.
Port/Порт - номер порта или диапазон портов, к которому будет применяться правило. Примеры: SSH использует порт 22 по умолчанию, Telnet – 23, DNS – 53, HTTP – 80, HTTPS – 443.
Source/Источник - правило будет применяться к IP-адресу, откуда исходят пакеты. Доступные варианты:
Custom/Пользовательский - опция, позволяющая вручную ввести конкретный IP-адрес в формате CIDR (включая маску).
Anywhere/Везде - правило будет применяться ко всем исходным IP-адресам (сохраняется в формате CIDR 0.0.0.0/0).
My IP/Мой IP – правило будет применяться к пакетам, исходящим с текущего IP-адреса.
Заметки – необязательное текстовое поле, где можно описать цель или обоснование для правила.
Примечание: В каждой группе можно определить до 31 правила, не считая автоматически создаваемого правила DROP. Правило DROP отклоняет все подключения, которые не были разрешены ранее определенными правилами ACCEPT.
Редактирование и удаление правила IPv4
Для редактирования правила нажмите на кнопку действия и выберите пункт Редактировать из выпадающего списка. Для удаления правила выберите пункт Удалить.
Редактируемые правила будут отмечены синим цветом как черновики, ожидающие подтверждения, а правила, отмеченные для удаления, появятся в списке красным цветом, указывая на их готовность к удалению.
Вы можете свободно создавать, редактировать и удалять правила. Когда изменения будут завершены, нажмите кнопку Применить изменения. Обратите внимание, что правила не будут обработаны до тех пор, пока вы не подтвердите их выполнение.
Восстановление удаленных правил
Чтобы восстановить удаленное правило, нажмите кнопку действия и выберите пункт Восстановить из выпадающего списка.
После восстановления правила оно будет выделено белым цветом, что означает, что правило было восстановлено в исходное состояние.
Создание правила для IPv6
Чтобы создать правило для IPv6-адресов, перейдите на вкладку IPv6 Rules.
Процесс создания правила для IPv6 аналогичен созданию правила для IPv4. Следуйте шагам, описанным в руководстве по Созданию правил IPv4.
После создания нового правила оно будет отмечено синим цветом, что означает черновик, ожидающий утверждения.
Вы можете свободно создавать дополнительные правила. Когда изменения будут завершены, нажмите кнопку Утвердить изменения. Учтите, что правила не будут обработаны, пока вы их не утвердите.
Примечание: Для активации правил необходимо привязать их к конкретному IP-адресу. Перейдите на вкладку Связанные экземпляры и создайте связь с адресом, к которому вы хотите применить фильтр. Правила вступят в силу только после выполнения этого шага.
Создание связи с ресурсом – Активация брандмауэра
Для активации набора созданных правил привяжите их к выбранным IP-адресам:
Перейдите на вкладку Связанные экземпляры и нажмите на иконку плюс.
В поле поиска введите IPv4-адрес (основной или дополнительный), связанный с вашим хостом.
Выберите нужный адрес из списка, чтобы ассоциировать его с группой брандмауэра, затем нажмите кнопку Подтвердить.
После создания связи запись будет отмечена синим цветом, что означает, что это черновик, ожидающий подтверждения.
Вы можете свободно создавать дополнительные правила и связи. Когда будете готовы, нажмите кнопку Утвердить изменения. Помните, что изменения не будут активированы до их утверждения.
Примечание: Назначение брандмауэра применяется только к выбранному IP-адресу и не затрагивает другие адреса, связанные с экземпляром. Чтобы применить фильтр к дополнительному адресу на сервере, необходимо создать отдельную связь для каждого из них. Фильтр также будет применен к IPv6-адресу, связанному с соответствующим IPv4-адресом.
Удаление связи с ресурсом
Чтобы удалить связь с адресом, нажмите на кнопку действий и выберите пункт Удалить из выпадающего списка.
Связь, отмеченная для удаления, будет выделена красным цветом, что указывает на то, что запись является черновиком, готовым к удалению.
Вы можете свободно управлять правилами и связями. Когда изменения будут завершены, нажмите кнопку Применить изменения. Учтите, что изменения не будут активированы, пока вы их не утвердите.
Удаление группы
Чтобы удалить группу, нажмите на иконку корзины или используйте кнопку действий в списке групп брандмауэра, затем выберите пункт Удалить из выпадающего списка.
После утверждения изменений система навсегда удалит выбранную группу.