Instruções para configurar regras de Firewall para redes de servidores virtuais no painel de controle.
O que é isso?
É possível controlar o acesso à rede de servidores públicos, os pacotes de dados de entrada e saída diretamente do painel de controle usando o firewall. Essa opção não é cobrada separadamente e está incluída no preço da rede.
No momento, há um limite de 50 regras. Se não for suficiente para você, é possível aumentá-lo enviando uma solicitação ao Suporte técnico.
Arquitetura de rede
É necessário entender a ordem de operação dos firewalls existentes para evitar o conflito de regras de firewall e garantir a configuração correta do firewall. Primeiro, você pode configurar o firewall para a rede privada. Em segundo lugar, é possível configurar o firewall para o servidor por meio do painel de controle. Em terceiro lugar, você pode configurar um firewall de back-end, por exemplo, para o Linux por meio do iptables; quanto ao Windows, o firewall é incorporado.
Os pacotes de entrada serão tratados primeiro por um firewall de nível de rede (se houver). Se o pacote for aprovado, o firewall no nível do servidor será aplicado posteriormente, e o último será o mecanismo de software interno. Quanto aos pacotes de saída, será aplicada a sequência inversa de ações:
Criação de regras
A configuração do firewall está disponível para redes e pode ser encontrada nas configurações de rede da seção Firewall.
Importante:
- a ordem das regras é importante: quanto menor for o número de ordem da regra (quanto mais alta ela estiver na lista), maior será sua prioridade. É possível alterar a ordem das regras com o recurso Arrastar e soltar, arrastando a regra com o botão esquerdo do mouse para a posição desejada;
- desligado - todos os pacotes de dados, tanto de entrada quanto de saída, passam pelo roteador.
Os pacotes não cobertos por nenhuma regra podem ser permitidos ou negados; eles são permitidos por padrão.
Clique no botão Add para criar uma regra:
Será aberta a janela para adicionar uma regra. Os campos a seguir devem ser preenchidos:
- Nome é um nome amigável ao usuário (não mais de 50 caracteres), que geralmente descreve brevemente a finalidade da regra;
- Action é uma ação a ser aplicada que assume um de dois valores: Allow (Permitir) ou Deny (Negar). Allow significa que os pacotes de dados podem ser enviados, Deny significa que os pacotes de dados não podem ser enviados;
- Fonte/Destino - especifique o endereço IP do servidor ou um dos valores: Endereço IP, CIDR, intervalo de endereços IP, qualquer, interno e externo;
- SourcePort/DestinationPort - ao selecionar TCP, UDP ou TCP e UDP, você pode especificar uma porta ou um intervalo de portas ou "qualquer";
- Protocol é um tipo de protocolo. ANY, TCP, UDP, TCP e UDP e ICMP estão disponíveis.
Clique em Salvar para criar uma regra.
Em nosso exemplo, a regra bloqueia os pacotes Tcp de entrada para o intervalo de endereços 10.0.1.2-10.0.1.4:
Para que a regra tenha efeito, você deve salvar as alterações clicando no botão Save. Você pode criar várias regras e salvá-las todas de uma vez:
Depois disso, a página terá a seguinte aparência:
Exemplo de definição de prioridade de regra
Quanto menor o número de ordem da regra (quanto mais alta ela estiver na lista), maior será sua prioridade. Por exemplo, depois de criar uma regra de negação para pacotes Tcp de entrada para um intervalo de endereços específico, vamos criar uma regra que permita que os pacotes de entrada sejam recebidos na porta Tcp 443 a partir da porta de saída 443. Depois que as alterações forem salvas nessa configuração, essa porta ainda estará indisponível porque a regra Deny tem prioridade mais alta:
Arraste e solte a regra Allow para o primeiro lugar usando o botão esquerdo do mouse para alterar a prioridade das regras e, em seguida, salve as alterações:
Os números de ordem das regras serão alterados depois de serem salvos, e sua prioridade também será alterada:
Agora, a configuração do firewall permite que os pacotes Tcp passem pela porta Tcp 443 para a rede em um determinado intervalo de endereços; outros pacotes Tcp não passarão. Todos os outros pacotes que não estiverem cobertos pelas regras passarão para a rede.