Перейти к содержанию

ACL на коммутаторах виртуальной сети (микросегментация)

Общие сведения

Правила ACL (микросегментация) предназначены для управления трафиком непосредственно на коммутаторах виртуальной сети.

Микросегментация сети

Микросегментация сети — это подход к сетевой безопасности, основанный на использовании методов списка контроля доступа (ACL) для сегментации сети.


Параметры ACL

Для просмотра параметров ACL необходимо перейти на вкладку Сети - Виртуальные сети - Информация и нажать на кнопку image в строке Параметры ACL.

Форма редактирования параметров открывается при нажатии на кнопку image.

Для редактирования доступны следующие параметры:

  • Режим микросегментации виртуальной сети.

    Включает/выключает режим работы ACL на коммутаторах виртуальной сети.

  • ARP-запросы в виртуальной сети.

    Разрешает прохождение ARP-запросов внутри виртуальной сети.

  • Блокировка пакетов с широковещательным адресом отправителя.

    Запрещает запросы с широковещательным адресом отправителя.

  • Изучение MAC-адресов в виртуальной сети.

    Включает механизм изучения MAC-адресов. Создаются записи соответствия типа "MAC - порт".
    Время жизни записи - 300 секунд, если не происходит ее обновления.

  • Пересылка STP-запросов через виртуальную сеть.

    Блокирует пересылку STP-запросов через виртуальную сеть.

  • Отслеживание состояний.

    Включает возможность отслеживать сессии в виртуальной сети, а также обеспечивает работу правил фильтрации с контролем состояний.

Важно

Для всех параметров микросегментации, а также правил фильтрации, необходимо включать режим микросегментации.


Включение режима микросегментации

Перед включением режима микросегментации необходимо:

  • Включить использование брандмауэра.

  • Во вкладке Настройка брандмауэра выбрать политику фильтрации трафика.

    Для каждой виртуальной сети рекомендуется создавать свою политику фильтрации. См. Контроль трафика.

Для включения микросегментации необходимо перейти на вкладку Информация - Параметры ACL, установить необходимые параметры и применить изменения.

По умолчанию включены параметры, необходимые для работы сети.


Добавление правил

Добавление новых правил выполняется во вкладке Настройки брандмауэра - ACL. При добавлении правила необходимо в открывшемся окне заполнить следующие поля:

  • Индекс.

    Порядковый номер правила.

  • Действие.

    Может принимать значения:

    • accept - разрешить трафик.

    • drop - запретить трафик.

  • Протокол.

    Протокол, на который будет распространяться правило:

    • icmp - протокол управляющих сообщений в сети.

    • tcp - протокол гарантированной передачи данных.

    • udp - протокол негарантированной передачи данных.

    • sctp - протокол передачи данных с управлением потока.

    • none - правило брандмауэра будет распространено на любой протокол.

  • Состояние соединения.

    Фильтрация пакетов с учётом состояния:

    • new - новый пакет, не принадлежащий ни одному из известных соединений.

    • established - пакет, принадлежащий существующему соединению.

    • related - пакет, созданный другим соединением.

    • invalid - всё, что не относится к вышеперечисленным состояниям.

    Важно

    Для работы контроля за состоянием соединения необходимо включить параметр ACL Отслеживание состояний во вкладке Информация виртуальной сети.

  • Параметры, соответствующие выбранному протоколу.
    Для icmp.

    • ICMP тип.

    • ICMP код.

    Для tcp и udp.

    • Порт источника.

    • Порт назначения.

      Примечание

      Допускается указывать порты как по одному, так и диапазоном.
      Например, 80, 443, 50000-61000.

  • Адрес источника.

  • Адрес назначения.

  • Описание.

  • Включить.

    После применения правило будет участвовать в фильтрации пакетов.

Примечание

Правило фильтрации срабатывает при нахождении всех указанных параметров в обрабатываемом пакете.

Важно

Правила ACL выполняются сверху вниз до первого совпадения. В политике по умолчанию разрешено все. В политиках фильтрации, создаваемых пользователем, присутствует правило запрещающее все. При применении правил пользовательской политики необходимо убедиться, что не будут заблокированы важные сервисы или перед применением добавить необходимые разрешающие правила.


Редактирование/удаление правила

Для просмотра/редактирования/удаления правила необходимо перейти в подробный режим просмотра правила (нажать на его имя).

Элементы управления вкладки Параметры правила:

  • Обновить.

    Обновление содержимого окна управления.

  • Изменение параметров.

    Внесение изменений в параметры правила.

  • Удалить.

    Удаление правила.

Внимание

После действий с правилами (создание, удаление, редактирование) необходимо применить правила. Информация о необходимости применения правил находится в строке Состояние политики безопасности.