Базовый файрвол

Базовый файрвол

к сведению

Функциональность находится в режиме бета-тестирования. Недоступна в регионе Ташкент.

Базовый файрвол — бесплатный stateless-файрвол (файрвол без сохранения состояния). Анализирует и фильтрует весь входящий и исходящий IPv4-трафик по добавленным правилам фильтрации. Поддерживает протоколы: TCP, UDP, ICMP, IPIP, GRE.

Создать базовый файрвол можно только для публичной выделенной подсети (VLAN) выделенного сервера. Для одного VLAN можно создать только один файрвол.

Посмотреть все созданные файрволы можно в панели управления в разделе Серверы и оборудование → Базовый файрвол.

Базовый файрвол не защищает сеть от DDoS-атак. Для этого в Selectel по умолчанию заблокированы некоторые TCP/UDP порты, а также подключена Защита Selectel.

Если вам нужен stateful файрвол (файрвол с сохранением состояния), закажите межсетевой экран с расширенными возможностями.

Принцип работы

Базовый файрвол разворачивается на маршрутизаторе уровня доступа и по умолчанию не настроен.

Чтобы ограничить прохождение трафика добавьте правила и активируйте список правил. Правила выполняются последовательно, по порядку в списке. При добавлении первого правила, автоматически подключается базовое правило: весь трафик, который не разрешен — запрещен. Удалить базовое правило нельзя.

Файрвол анализирует входящий и исходящий трафик на основании значений параметров в правилах:

• протокол — поддерживаются протоколы TCP, UDP, ICMP, IPIP, GRE;
• порт или диапазон портов источника трафика (source port);
• порт или диапазон портов назначения трафика (destination port);
• IP-адрес или подсеть источника трафика (source address);
• IP-адрес или подсеть назначения трафика (destination address).

При анализе трафика, файрвол проверяет только заголовок каждого отдельного пакета на соответствие правилам. После проверки он решает, разрешать или отклонять эти пакеты.

Стоимость

Базовый файрвол предоставляется бесплатно.

Лимиты

На каждое направление трафика можно настроить до 15 правил.

Создать файрвол

1. В панели управления перейдите в раздел Серверы и оборудование → Базовый файрвол.
2. Нажмите Создать файрвол.
3. Выберите публичный выделенный VLAN. Для одного VLAN можно создать только один файрвол.
4. Опционально: измените имя файрвола.
5. Нажмите Создать. По умолчанию базовый файрвол не настроен. Чтобы ограничить прохождение трафика добавьте правила.

Управление правилами

Добавить правило

Если для направления трафика добавить и активировать первое правило, автоматически подключается базовое правило: весь трафик который не разрешен — запрещен. Удалить базовое правило нельзя.

1. В панели управления перейдите в раздел Серверы и оборудование → Базовый файрвол.

2. Откройте страницу файрвола.

3. Откройте вкладку в зависимости от того, для какого трафика нужно добавить правило:

   • для входящего трафика — Входящий трафик;
   • для исходящего трафика — Исходящий трафик.

4. Если вы уже добавляли или редактировали правила, посмотрите статус файрвола. Убедитесь, что у файрвола отображается статус APPLIED. В меню ( ) файрвола нажмите Изменить список правил. Нажмите Добавить правило.

5. Если вы не добавляли и не радактировали правила, нажмите Добавить правило.

6. Проверьте направление трафика.

7. Выберите действие:

   • accept — принимать трафик;
   • deny — отклонять трафик.

8. Введите Source address – IP-адреса с которых можно принимать запросы. Можно ввести IP-адрес или подсеть.

9. Введите Destination address — IP-адреса на которые можно принимать запросы. Можно ввести IP-адрес или подсеть.

10. Введите Source port — порт источника, с которого идет запрос. Можно ввести порт или диапазон портов.

11. Введите Destination port — порт на котором будет приниматься запрос. Можно ввести порт или диапазон портов. Трафик на любой TCP/UDP порт, заблокированный в Selectel по умолчанию будет запрещен, даже если указать этот порт в правиле.

12. Выберите протокол: TCP, UDP, ICMP, IPIP, GRE.

13. Опционально: введите описание правила.

14. Нажмите Создать правило.

15. Проверьте порядок правил, они выполняются по порядку в списке — сверху вниз. При необходимости измените порядок правил — перетащите правила.

16. Нажмите Активировать список. Когда правила активируются, у файрвола отобразится статус APPLIED. Применение изменений может занять до 30 секунд. Если не активировать список, правила сбросятся.

Изменить правило

1. В панели управления перейдите в раздел Серверы и оборудование → Базовый файрвол.

2. Откройте страницу файрвола.

3. Откройте вкладку в зависимости от того, для какого трафика нужно изменить правило:

   • для входящего трафика — Входящий трафик;
   • для исходящего трафика — Исходящий трафик.

4. В меню ( ) списка правил нажмите Изменить список правил.

5. В меню ( ) правила нажмите Редактировать правило.

6. Измените значения параметров в правиле.

7. Нажмите Сохранить изменения.

8. Нажмите Активировать список. Когда правила активируются, у файрвола отобразится статус APPLIED. Применение изменений может занять до 30 секунд. Если не активировать список, изменения сбросятся.

Изменить порядок правил

1. В панели управления перейдите в раздел Серверы и оборудование → Базовый файрвол.

2. Откройте страницу файрвола.

3. Откройте вкладку в зависимости от того, для какого трафика нужно изменить порядок правил:

   • для входящего трафика — Входящий трафик;
   • для исходящего трафика — Исходящий трафик.

4. В меню ( ) правила нажмите Изменить список правил.

5. Перетащите правила. Перетащить базовое правило нельзя.

6. Нажмите Активировать список. Когда правила активируются, у файрвола отобразится статус APPLIED. Применение изменений может занять до 30 секунд. Если не активировать список, изменения сбросятся.

Удалить правило

1. В панели управления перейдите в раздел Серверы и оборудование → Базовый файрвол.

2. Откройте страницу файрвола.

3. Откройте вкладку в зависимости от того, для какого трафика нужно удалить правило:

   • для входящего трафика — Входящий трафик;
   • для исходящего трафика — Исходящий трафик.

4. В меню ( ) списка правил нажмите Изменить список правил.

5. В меню ( ) правила нажмите Удалить правило.

6. Нажмите Активировать список. Когда правила активируются, у файрвола отобразится статус APPLIED. Применение изменений может занять до 30 секунд. Если не активировать список, изменения сбросятся.

Посмотреть статус файрвола

1. В панели управления перейдите в раздел Серверы и оборудование → Базовый файрвол.
2. Откройте страницу файрвола.
3. Посмотрите статус файрвола в правом верхнем углу.

INACTIVE	У файрвола нет ни одного правила
APPLIED	Список правил активирован
PENDING	Список правил не активирован
PROCESSING	К файрволу применяются изменения
CLEANING	Файрвол удаляется
ERROR	Произошла ошибка, создайте тикет

Удалить файрвол

1. В панели управления перейдите в раздел Серверы и оборудование → Базовый файрвол.
2. Откройте страницу файрвола.
3. В меню ( ) файрвола выберите Удалить файрвол.