Разделы документации
Документация Серверы

Firewall

Firewall доступен для виртуальных серверов и предоставляется бесплатно. Это базовый firewall без сохранения состояния (stateless-firewall), который анализирует и фильтрует весь входящий и исходящий IPv4-трафик по заранее добавленным правилам фильтрации.

Сервис предназначен исключительно для упрощения контроля доступа к инфраструктуре и не выполняет функцию защиты от DDoS-атак.

Принцип работы

Firewall настраивается на уровне выше уровня виртуального сервера и позволяет фильтровать трафик независимо от используемой на сервере ОС.

Для фильтрации трафика необходимо настроить правила firewall, а затем привязать эти правила к одному или к нескольким виртуальным серверам. Базовое правило задаётся при создании firewall и позволяет выбрать режим для трафика по умолчанию: запрещено всё, что не разрешено или разрешено всё, что не запрещено. Правила будут применяться согласно базовому правилу и заданному порядку.

Firewall проверяет заголовки каждого пакета входящего и исходящего трафик и решает, разрешить доступ или нет.

Поддерживаются следующие протоколы: TCP, UDP, ICMP, ESP, GRE.

Настройка firewall

Создать firewall и настроить его правила можно в личном кабинете, для этого используйте вкладку Firewall в разделе Серверы.

В окне создания firewall можно задать следующие параметры:

  • Название firewall — любое название для вашего удобства.
  • Описание — описание firewall для вашего удобства.
  • Политика по умолчанию — политика, на основе которой будут работать правила:ACCEPT — разрешено всё, что не запрещено;DROP — запрещено всё, что не разрешено.

При создании правил можно задать следующие параметры для каждого из правил:

  • Направление — направление трафика, для которого будет применять правило:IN— входящий трафик;OUT — исходящий трафик.
  • Тип — тип адресации, в данный момент поддерживается только IPv4-адресация.
  • Политика — политика, которая будет применяться к трафику в рамках правила:DROP — запретить трафик;ACCEPT — разрешить трафик.
  • Протокол — тип протокола, для которого действует правило.
  • Порты — порты, доступ с которых или на которые нужно запретить или разрешить.В поле может быть указан любой одиночный порт, список портов, диапазон портов, комбинация этих вариантов или ALL , чтобы применить правило для любых портов.Примеры: 22,80 — порты 22 и 80, 80-200 — порты с 80 по 200, 22,80,110-120 — порты 22, 80 и порты с 110 по 120, ALL — любые порты.
  • IP-адрес — IP-адрес, доступ с которого или к которому (в зависимости от направления трафика) нужно запретить или разрешить.В поле может быть указан любой одиночный IP-адрес, IP-адрес с маской сети или 0.0.0.0/0 , чтобы применить правило для любых IP-адресов.

Изменение существующего firewall выполняется аналогичным образом. Новые настройки применяются сразу же и автоматически ко всем серверам, к которым этот firewall был ранее подключён.

 Подключение firewall

Сразу после создания и настройки firewall он станет доступен к подключению на вкладке Сеть и IP (для существующих серверов), а также при создании нового сервера.

Активация правил произойдёт сразу же как только вы подключите firewall к серверу.

Технические ограничения

На текущий момент действуют следующие технические ограничения:

  • Максимальное количество firewall — 5.
  • Максимальное количество правил — 10.
Предыдущая
Бэкапы
Следующая
IP-адреса