Перейти к основному содержимому

Общая информация о продукте Базовый файрвол

Последнее изменение:

Базовый файрвол — бесплатный stateless-файрвол (файрвол без сохранения состояния). Анализирует и фильтрует весь входящий и исходящий IPv4-трафик по добавленным правилам фильтрации.

Создать базовый файрвол можно только для публичной выделенной подсети (VLAN) выделенного сервера и размещенного оборудования. Посмотреть все созданные файрволы можно в панели управления: в верхнем меню нажмите ПродуктыВыделенные серверы → раздел Базовый файрвол.

Базовый файрвол не защищает сеть от DDoS-атак. Для этого в Selectel по умолчанию заблокированы некоторые TCP/UDP порты, а также подключена Защита Selectel.

Если вам нужен stateful-файрвол (файрвол с сохранением состояния), закажите межсетевой экран с расширенными возможностями.

Принцип работы

Базовый файрвол разворачивается на маршрутизаторе уровня доступа и по умолчанию не настроен.

Чтобы ограничить прохождение трафика, добавьте правила и активируйте список правил. Правила выполняются последовательно, по порядку в списке. При добавлении первого правила автоматически подключается базовое правило: весь трафик, который не разрешен правилами, — запрещен. Удалить базовое правило нельзя.

Файрвол анализирует входящий и исходящий трафик на основании значений параметров в правилах:

  • протокол — поддерживаются протоколы TCP, UDP, ICMP, IPIP, GRE, ESP, АH;
  • порт или диапазон портов источника трафика (source port);
  • порт или диапазон портов назначения трафика (destination port);
  • IP-адрес или подсеть источника трафика (source address);
  • IP-адрес или подсеть назначения трафика (destination address).

Базовый файрвол обрабатывает каждый пакет изолированно — он не запоминает установленные соединения и не отслеживает состояние TCP-сессий. При анализе трафика файрвол проверяет только заголовок каждого пакета на соответствие правилам:

  • исходящие пакеты проверяются только по исходящим правилам;
  • входящие пакеты проверяются только по входящим правилам, даже если входящий пакет — это ответ на разрешенный исходящий запрос.

Например, в базовый файрвол добавлено правило, которое разрешает входящие SSH-подключения на порт 22. Чтобы сервер мог отправлять ответы на SSH-запросы, нужно добавить правило для исходящего трафика — либо разрешить весь исходящий трафик, либо разрешить исходящие пакеты только с порта 22. Подробнее о настройках правил базового файрвола в подразделе Примеры настроек правил базового файрвола инструкции Управлять правилами базового файрвола.

Стоимость

Базовый файрвол предоставляется бесплатно.

Ограничения

На каждое направление трафика можно настроить до 15 правил.

В каждое правило можно добавить до 30 IP-адресов или подсетей для источника трафика (source address) и назначения трафика (destination address).

Для одного VLAN можно создать только один файрвол.