Перейти к основному содержимому
Базовый файрвол
Последнее изменение:

Базовый файрвол

к сведению

Функциональность находится в режиме бета-тестирования.

Базовый файрвол — бесплатный stateless-файрвол (файрвол без сохранения состояния). Анализирует и фильтрует весь входящий и исходящий IPv4-трафик по добавленным правилам фильтрации. Поддерживает протоколы: TCP, UDP, ICMP, IPIP, GRE, ESP, АH.

Создать базовый файрвол можно только для публичной выделенной подсети (VLAN) выделенного сервера. Для одного VLAN можно создать только один файрвол.

Посмотреть все созданные файрволы можно в панели управления в разделе Серверы и оборудованиеБазовый файрвол.

Базовый файрвол не защищает сеть от DDoS-атак. Для этого в Selectel по умолчанию заблокированы некоторые TCP/UDP порты, а также подключена Защита Selectel.

Если вам нужен stateful файрвол (файрвол с сохранением состояния), закажите межсетевой экран с расширенными возможностями.

Принцип работы

Базовый файрвол разворачивается на маршрутизаторе уровня доступа и по умолчанию не настроен.

Чтобы ограничить прохождение трафика добавьте правила и активируйте список правил. Правила выполняются последовательно, по порядку в списке. При добавлении первого правила, автоматически подключается базовое правило: весь трафик, который не разрешен — запрещен. Удалить базовое правило нельзя.

Файрвол анализирует входящий и исходящий трафик на основании значений параметров в правилах:

  • протокол — поддерживаются протоколы TCP, UDP, ICMP, IPIP, GRE, ESP, АH;
  • порт или диапазон портов источника трафика (source port);
  • порт или диапазон портов назначения трафика (destination port);
  • IP-адрес или подсеть источника трафика (source address);
  • IP-адрес или подсеть назначения трафика (destination address).

При анализе трафика, файрвол проверяет только заголовок каждого отдельного пакета на соответствие правилам. После проверки он решает, разрешать или отклонять эти пакеты.

Стоимость

Базовый файрвол предоставляется бесплатно.

Лимиты

На каждое направление трафика можно настроить до 15 правил.

Создать файрвол

  1. В панели управления перейдите в раздел Серверы и оборудованиеБазовый файрвол.
  2. Нажмите Создать файрвол.
  3. Выберите публичный выделенный VLAN. Для одного VLAN можно создать только один файрвол.
  4. Опционально: измените имя файрвола.
  5. Нажмите Создать. По умолчанию базовый файрвол не настроен. Чтобы ограничить прохождение трафика добавьте правила.

Управление правилами

Добавить правило

Если для направления трафика добавить и активировать первое правило, автоматически подключается базовое правило: весь трафик который не разрешен — запрещен. Удалить базовое правило нельзя.

  1. В панели управления перейдите в раздел Серверы и оборудованиеБазовый файрвол.

  2. Откройте страницу файрвола.

  3. Откройте вкладку в зависимости от того, для какого трафика нужно добавить правило:

    • для входящего трафика — Входящий трафик;
    • для исходящего трафика — Исходящий трафик.
  4. Если вы уже добавляли или редактировали правила, посмотрите статус файрвола. Убедитесь, что у файрвола отображается статус APPLIED. В меню ( ) файрвола нажмите Изменить список правил. Нажмите Добавить правило.

  5. Если вы не добавляли и не радактировали правила, нажмите Добавить правило.

  6. Проверьте направление трафика.

  7. Выберите действие:

    • accept — принимать трафик;
    • deny — отклонять трафик.
  8. Введите Source address — IP-адреса с которых можно принимать запросы. Можно ввести IP-адрес или подсеть.

  9. Введите Destination address — IP-адреса на которые можно принимать запросы. Можно ввести IP-адрес или подсеть.

  10. Введите Source port — порт источника, с которого идет запрос. Можно ввести порт или диапазон портов.

  11. Введите Destination port — порт на котором будет приниматься запрос. Можно ввести порт или диапазон портов. Трафик на любой TCP/UDP порт, заблокированный в Selectel по умолчанию будет запрещен, даже если указать этот порт в правиле.

  12. Выберите протокол: TCP, UDP, ICMP, IPIP, GRE, ESP, АH.

  13. Опционально: введите описание правила.

  14. Нажмите Создать правило.

  15. Проверьте порядок правил, они выполняются по порядку в списке — сверху вниз. При необходимости измените порядок правил — перетащите правила.

  16. Нажмите Активировать список. Когда правила активируются, у файрвола отобразится статус APPLIED. Применение изменений может занять до 30 секунд. Если не активировать список, правила сбросятся.

Изменить правило

  1. В панели управления перейдите в раздел Серверы и оборудованиеБазовый файрвол.

  2. Откройте страницу файрвола.

  3. Откройте вкладку в зависимости от того, для какого трафика нужно изменить правило:

    • для входящего трафика — Входящий трафик;
    • для исходящего трафика — Исходящий трафик.
  4. В меню ( ) списка правил нажмите Изменить список правил.

  5. В меню ( ) правила нажмите Редактировать правило.

  6. Измените значения параметров в правиле.

  7. Нажмите Сохранить изменения.

  8. Нажмите Активировать список. Когда правила активируются, у файрвола отобразится статус APPLIED. Применение изменений может занять до 30 секунд. Если не активировать список, изменения сбросятся.

Изменить порядок правил

  1. В панели управления перейдите в раздел Серверы и оборудованиеБазовый файрвол.

  2. Откройте страницу файрвола.

  3. Откройте вкладку в зависимости от того, для какого трафика нужно изменить порядок правил:

    • для входящего трафика — Входящий трафик;
    • для исходящего трафика — Исходящий трафик.
  4. В меню ( ) правила нажмите Изменить список правил.

  5. Перетащите правила. Перетащить базовое правило нельзя.

  6. Нажмите Активировать список. Когда правила активируются, у файрвола отобразится статус APPLIED. Применение изменений может занять до 30 секунд. Если не активировать список, изменения сбросятся.

Удалить правило

  1. В панели управления перейдите в раздел Серверы и оборудованиеБазовый файрвол.

  2. Откройте страницу файрвола.

  3. Откройте вкладку в зависимости от того, для какого трафика нужно удалить правило:

    • для входящего трафика — Входящий трафик;
    • для исходящего трафика — Исходящий трафик.
  4. В меню ( ) списка правил нажмите Изменить список правил.

  5. В меню ( ) правила нажмите Удалить правило.

  6. Нажмите Активировать список. Когда правила активируются, у файрвола отобразится статус APPLIED. Применение изменений может занять до 30 секунд. Если не активировать список, изменения сбросятся.

Посмотреть статус файрвола

  1. В панели управления перейдите в раздел Серверы и оборудованиеБазовый файрвол.
  2. Откройте страницу файрвола.
  3. Посмотрите статус файрвола в правом верхнем углу.
INACTIVEУ файрвола нет ни одного правила
APPLIEDСписок правил активирован
PENDINGСписок правил не активирован
PROCESSINGК файрволу применяются изменения
CLEANINGФайрвол удаляется
ERRORПроизошла ошибка, создайте тикет

Удалить файрвол

  1. В панели управления перейдите в раздел Серверы и оборудованиеБазовый файрвол.
  2. Откройте страницу файрвола.
  3. В меню ( ) файрвола выберите Удалить файрвол.