Перейти к содержанию

Настройки брандмауэра для виртуальной сети

Для настройки брандмауэра и функционирующего на его основе NAT-сервиса, а также настройки ACL, необходимо в разделе Контроль трафика основного меню выбрать целевую политику безопасности и создать политику фильтрации виртуальных сетей.

Примечание

Если используется политика фильтрации трафика по умолчанию, то брандмауэр разрешает всё. Если создать пользовательскую политику фильтрации трафика, то в нём присутствует правило, запрещающее всё.

Во вкладке Настройки брандмауэра отображается следующая информация:

  • для виртуальной сети с L2 - связностью:

    • состояние службы брандмауэра;

    • необходимость старта службы с запуском контейнера сетевых служб (редактируемый параметр);

    • политика фильтрации трафика (редактируемый параметр). Политика фильтрации трафика выбирается из созданных ранее наборов правил, управление которыми выполняется в разделе Контроль трафика основного меню;

    • состояние политики безопасности (применены правила или необходимо применить);

    • список правил для входящего трафика;

    • список правил для исходящего трафика;

    • правила source NAT (по источнику);

    • правила destination NAT (по получателю);

    • список правил ACL на коммутаторах виртуальной сети.

  • для виртуальной сети без связности:

    • политика фильтрации трафика (редактируемый параметр). Политика фильтрации трафика выбирается из созданных ранее наборов правил, управление которыми выполняется в разделе Контроль трафика основного меню;

    • состояние политики безопасности (применены правила или необходимо применить);

    • список правил ACL на коммутаторах виртуальной сети.

Правила фильтрации трафика (вкладки Фильтрация входящего трафика и Фильтрация исходящего трафика) включают:

  • Действие (accept и drop);

  • Протокол (icmp, tcp, udp и none); При выборе none (любой протокол) можно указать состояния соединения (invalid, new, established, related) и адреса источника и назначения. Для icmp, правило дополняется типами и кодами icmp. Для tcp или udp - порты источника и назначения;

  • Состояние правила (по умолчанию включено);

  • Счётчик пакетов (по умолчанию выключено).

Правила Source NAT (вкладка SNAT):

  • Действие (src_nat (по источнику) или masquerade). Если выбрано masquerade, то создаётся правило, обеспечивающее работу стандартного NAT. Если выбрать src_nat, то необходимо указать адрес источника и SNAT-адрес;

  • Состояние правила (по умолчанию включено);

  • Счётчик пакетов (по умолчанию выключено).

Правила Destination NAT (вкладка DNAT):

  • Адрес назначения (можно указать список адресов);

  • Порт назначения;

  • DNAT-адрес;

  • DNAT-порт;

  • Адрес источника (можно указать список адресов);

  • Состояние правила (по умолчанию включено);

  • Счётчик пакетов (по умолчанию выключено).

Внимание

После действий с правилами (создание, удаление, редактирование) необходимо применять правила. Об этом будет информировать поле Состояние политики безопасности.