Настройка Firewall

1. Откройте консоль управления vCloud Director. Войдите в систему в качестве администратора организации, перейдите в ваш vDC, в левом меню перейдите в разделе Edges (1), выберите Edge Gateway (2) и нажмите кнопку SERVICES(3).

 

2. Откроется новое окно, в котором необходимо перевести переключатель “Show only user-defined rules” в положение

3. По умолчанию в Firewall Rules создано два правила, удалить которые не представляется возможным:

1 – обеспечивает функционирование Edge Gateway, изменить его нельзя.

2 – действие по умолчанию для входящего трафик. При первичной настройке Edge Gateway установлено значение Accept – разрешать всё, то есть входящий трафик без фильтрации по IP направляется для дальнейшей обработки DNAT правилами, что позволяет публиковать сервисы добавлением всего одного DNAT правила. В данном правиле изменяется только пункт “Action”: возможные значения “Accept” или “Deny”.

Внимание! если выбрать DENY и не добавить разрешающие правила соответственно DNAT правилам, то все пробросы портов перестанут работать.

4. Для создания нового правила нажимаем кнопку .

После этого будет создано новое правило с названием “New Rule”.

Правило состоит из нескольких параметров:

 

1) Name – Название правила (задается произвольно)

 

2) Type - типы правил:

- Internal - это встроенные правила, которые невозможно изменять.

- Default Policy - это встроенное правило, которое определяет поведение фильтра по умолчанию для соединений не подходящих под другие правила

- User – правила, созданные пользователем.

 

3) Source – адрес источника. Необходимо указать адреса источника.

 

По кнопке «IP» можно задать одиночный IP-адрес, диапазон IP-адресов, CIDR.

По кнопке «+» можно задать дополнительные объекты:

- Gateway interfaces: внутренние сети, внешние сети или Any.

- Virtual machines- назначаем правило для определенной виртуальной машине.

- OrgVdcNetworks - сети уровня организации.

- IP Sets - заранее созданная группа IP-адресов (назначается в Grouping object).

4) Destination – адрес получателя. Задается аналогично Source.

5) Service, нажав на кнопку «+» - можно указать вручную порт получателя (Destination Port), необходимый протокол (Protocol), порт отправителя (Source Port)

6) Action – действие:

Accept - разрешить прохождение трафика

Deny - запретить прохождение трафика

 

5. После внесения изменений в новое правило необходимо нажать на кнопку Save Changes

Примеры правил:

1. Необходимо запретить доступ в Интернет по протоколам HTTP(80) и HTTPS(443) виртуальной машине с адресом в локальной сети 192.168.200.101

Создадим запрещающее правило со следующими параметрами:

Name: Internet

Source: 192.168.200.101

Destination: Any

Service: Protocol – TCP, Source Port – Any, Destination Port - 80 и 443

Action: Deny

Итоговый вид таблицы Firewall Rules:

 

2. Необходимо обезопасить RDP-сервер с адресом в локальной сети 192.168.200.101, опубликованный на стандартном порту 3389, путем разрешения к нему доступа с IP-адреса нашего офиса, например, 217.25.123.123

В данном случае нам необходимо будет создать два правила:

Разрешающее правило для подключение по RDP c определенного адреса

Запрещающее правило для подключение по RDP со всех остальных адресов.

Внимание! Сначала необходимо расположить разрешающее правило, затем запрещающее, так как правила применяются сверху внизу. Перемещение правил в таблице осуществляется с помощью кнопок и

Параметры разрешающего правила:

Name: RDP from Office

Source: 217.25.123.123

Destination: необходимо указать внешний IP-адрес Edge Gateway (увидеть можно в SNAT правиле) в данном случае это адрес 185.58.221.130

Service: Protocol – TCP, Source Port – Any, Destination Port - 3389

Action: Accept

Параметры запрещающего правила:

Name: RDP from another location

Source: Any

Destination: необходимо указать внешний IP-адрес Edge Gateway (увидеть можно в SNAT правиле) в данном случае это адрес 185.58.221.130, либо внешний интерфейс

Service: Protocol – TCP, Source Port – Any, Destination Port - 3389

Action: Deny

Итоговый вид таблицы Firewall Rules:

Настройка правил Firewall в режиме работы - “по умолчанию запрещать”

Для повышения безопасности возможно настроить Firewall в режим работы, при котором все входящие соединения будут сбрасываться.

В данном режиме для доступа к сервисам внутри облака (например RDP или WEB сервер) необходимо будет всегда создавать разрешающие правила, так как без них правила DNAT не будут работать.

 

1. Для активации данного режима изменяем самое нижнее правило Firewall “default rule for ingress traffic” на “Deny”.

2. Создаём правила DNAT для размещенных в облаке сервисов – RDP (3389) и WEB (80,443).

3. Настраиваем разрешающие правила:

Для RDP сервера – доcтуп откроем только для IP 217.25.123.123:

Параметры разрешающего правила:

Name: RDP from Office

Source: 217.25.123.123

Destination: необходимо указать внешний IP-адрес Edge Gateway (увидеть можно в SNAT правиле) в данном случае это адрес 93.90.220.58

Service: Protocol – TCP, Source Port – Any, Destination Port - 3389

Action: Accept

WEB сервер будет публичным:

Параметры разрешающего правила:

Name: WEB server

Source: Any

Destination: необходимо указать внешний IP-адрес Edge Gateway (увидеть можно в SNAT правиле) в данном случае это адрес 93.90.220.58

Service: Protocol – TCP, Source Port – Any, Destination Port – 80

Service: Protocol – TCP, Source Port – Any, Destination Port – 443

Action: Accept

Итоговый вид таблицы Firewall Rules:

 

Консультация Настройка Firewall

Не нашли инструкцию?

Заполните форму, и наш специалист свяжется с вами.

Мы дополним информацию и ответим на ваш вопрос.

Оставить заявку

Увеличение количества vCPU

Для изменения количества vCPU заходим в свойства виртуальной машины Hardware-Compute

Работа с Failover Plan Veeam

Подготовка плана восстановления с помощью Failover Plans

Черные списки в Email Security Gateway

Для принудительного добавления определенных отправителей в спам можно использовать индивидуальные черные списки адресов

Создание изолированной сети (Isolated Network)

Чтобы создать изолированную сеть, которая связывает ВМ только в отдельном vDC - войдите в панель управления vCloud, перейдите в раздел Datacenters и кликните на vDC

Загрузка и скачивание файлов Softline Drive

Вы можете загружать один файл за раз, используя опцию «Загрузить файл» в разделе «Выгрузка». Вы также можете загружать папки, используя опцию «Загрузить папку» в разделе «Загрузка»

Доступ к почтовому ящику

Для начала работы с почтовым ящиком необходимо перейти по следующему адресу и войти в личный кабинет с помощью логина и пароля. Откроется окно приложения Microsoft Outlook Web App, в котором можно выполнять дальнейшую работу с почтой.