Правила фильтрации политик виртуальной сети и виртуальной машины

Общие сведения

Микросегментация (правила ACL и фильтрация трафика на интерфейсах виртуальных машин) предназначена для управления трафиком непосредственно на коммутаторах виртуальной сети.

Параметры ACL

Для просмотра параметров ACL необходимо перейти на вкладку Сети - Виртуальные сети - <Выбранная целевая сеть> - Информация и раскрыть Параметры ACL по кнопке .

Форма редактирования параметров открывается при нажатии на кнопку .

Для редактирования доступны следующие параметры:

• Режим микросегментации виртуальной сети.

  Включает/выключает режим работы ACL на коммутаторах виртуальной сети.

• ARP-запросы в виртуальной сети.

  Разрешает прохождение ARP-запросов внутри виртуальной сети.

• Блокировка пакетов с широковещательным адресом отправителя.

  Запрещает запросы с широковещательным адресом отправителя.

• Изучение MAC-адресов в виртуальной сети.

  Включает механизм изучения MAC-адресов. Создаются записи соответствия типа "MAC - порт".
  Время жизни записи - 300 секунд, если не происходит ее обновления.

• Пересылка STP-запросов через виртуальную сеть.

  Блокирует пересылку STP-запросов через виртуальную сеть.

• Отслеживание состояний.

  Включает возможность отслеживать сессии в виртуальной сети, а также обеспечивает работу правил фильтрации с контролем состояний.

Включение режима микросегментации

Перед включением режима микросегментации необходимо:

• Включить использование брандмауэра.

• Во вкладке Настройка брандмауэра выбрать политики фильтрации трафика и добавить их к виртуальной сети.

Для включения микросегментации необходимо перейти на вкладку Информация - Параметры ACL, установить необходимые параметры и применить изменения.

По умолчанию включены параметры, необходимые для работы сети.

Для работы правил фильтрации с контролем состояния или для просмотра сессий необходимо включать опцию Отслеживание состояний.

Управление правилами фильтрации

Управление правилами политики фильтрации типа Network выполняется для виртуальной сети в разделе Настройки брандмауэра в политике фильтрации или в разделе Сети - Контроль трафика - Политики фильтрации - <Выбранная политика управления> - Политики фильтрации виртуальных сетей - Политики фильтрации.

Управление правилами политики фильтрации типа Domain выполняется для виртуальной машины в разделе Виртуальные машины - <Выбранная ВМ> - Сетевые настройки - Политики фильтрации или в разделе Сети - Контроль трафика - Политики фильтрации - <Выбранная политика управления> - Политики фильтрации ВМ - Политики фильтрации.

Правила политики фильтрации типа Network

Добавление правил

Для добавления правила в политику типа Network необходимо:

1. Выбрать политику в списке.
2. В открывшемся окне нажать кнопку Добавить.

3. Далее заполнить следующие поля:

   • Индекс.

     Порядковый номер правила.

   • Действие.

     Может принимать значения:

     • accept - разрешить трафик.

     • drop - запретить трафик.

   • Протокол.

     Протокол, на который будет распространяться правило:

     • icmp - протокол управляющих сообщений в сети.

     • tcp - протокол гарантированной передачи данных.

     • udp - протокол негарантированной передачи данных.

     • sctp - протокол передачи данных с управлением потока.

     • none - правило брандмауэра будет распространено на любой протокол.

   • Состояние соединения.

     Фильтрация пакетов с учётом состояния:

     • new - новый пакет, не принадлежащий ни одному из известных соединений.

     • established - пакет, принадлежащий существующему соединению.

     • related - пакет, созданный другим соединением.

     • invalid - всё, что не относится к вышеперечисленным состояниям.

     Внимание

     Для работы контроля за состоянием соединения необходимо включить параметр ACL Отслеживание состояний во вкладке Информация виртуальной сети.

   • Параметры, соответствующие выбранному протоколу.

     Для icmp:

     • ICMP тип.

     • ICMP код.

     Для tcp и udp:

     • Порт источника.

     • Порт назначения.

       Порт назначения

       Допускается указывать порты как по одному, так и диапазоном.
       Например, 80, 443, 50000-61000.

   • Адрес источника.

     Позволяет указать IP-адрес(а) или подсеть(ти) источника.

   • Адрес назначения.

     Позволяет указать IP-адрес(а) или подсеть(ти) назначения.

   • Описание.

   • Опция Счетчик пакетов.

     После применения информация о правиле ACL будет включать число обработанных (пропущенных или отброшенных) пакетов для определённой виртуальной сети при просмотре правил через неё.

   • Опция Включить.

     После применения правило будет участвовать в фильтрации пакетов.

Просмотр/редактирование/удаление правила

Для просмотра/редактирования/удаления правила необходимо перейти в подробный режим просмотра правила (нажать на его имя).

Элементы управления вкладки Параметры правила:

• Обновить.

  Обновление содержимого окна управления.

• Изменение параметров.

  Внесение изменений в параметры правила.

• Удалить.

  Удаление правила.

Правила политики фильтрации типа Domain

Добавление правила

Правила добавляются во вкладках, соответствующей направлению трафика - Фильтрация входящего трафика или Фильтрация исходящего трафика.
При добавлении правила в политику типа Domain необходимо в открывшемся окне заполнить следующие поля:

• Индекс.

  Порядковый номер правила.

• Действие.

  Может принимать значения:

  • accept - разрешить трафик.

  • drop - запретить трафик.

• Протокол.

  Протокол, на который будет распространяться правило:

  • icmp - протокол управляющих сообщений в сети.

  • tcp - протокол гарантированной передачи данных.

  • udp - протокол негарантированной передачи данных.

  • sctp - протокол передачи данных с управлением потока.

  • none - правило брандмауэра будет распространено на любой протокол.

• Состояние соединения.

  Фильтрация пакетов с учётом состояния:

  • new - новый пакет, не принадлежащий ни одному из известных соединений.

  • established - пакет, принадлежащий существующему соединению.

  • related - пакет, созданный другим соединением.

  • invalid - всё, что не относится к вышеперечисленным состояниям.

  Внимание

  Для работы контроля за состоянием соединения необходимо включить параметр ACL Отслеживание состояний во вкладке Информация виртуальной сети.

• Параметры, соответствующие выбранному протоколу.

  Для icmp:

  • ICMP тип.

  • ICMP код.

  Для tcp и udp:

  • Порт источника.

  • Порт назначения.

    Примечание

    Допускается указывать порты как по одному, так и диапазоном.
    Например, 80, 443, 50000-61000.

• Адрес источника.

  Позволяет указать IP - адрес(а) или подсеть(ти) источника.

• Адрес назначения.

  Позволяет указать IP - адрес(а) или подсеть(ти) назначения.

• Описание.

• Опция Включить.

  По умолчанию включено.

  После применения правило будет участвовать в фильтрации пакетов.

Правила политики фильтрации типа NAT

Перенаправление исходящего трафика

Для создания SNAT-правила необходимо выбрать SNAT и нажать кнопку Добавить, после чего в открывшемся окне заполнить следующие поля:

• Действие.

  Может принимать значения:

  • src_nat - указание IP-адреса источника и SNAT-адреса;

  • masquerade - правило обеспечивающее работу стандартного NAT.

• Адрес источника.

  Поддерживает список IP-адресов.

• SNAT-адрес.

• Опция Включить.

  По умолчанию включено.

  После применения правило будет участвовать в фильтрации пакетов.

• Опция Счетчик пакетов.

  По умолчанию выключено.

Перенаправление входящего трафика

Для создания DNAT-правила необходимо выбрать DNAT и нажать кнопку Добавить, после чего в открывшемся окне заполнить следующие поля:

• Действие.

• Адрес назначения.

  Поддерживает список IP-адресов.

• Порт назначения.

• DNAT-адрес.

• DNAT-порт.

• Опция Включить.

  По умолчанию включено.

  После применения правило будет участвовать в фильтрации пакетов.

• Опция Счетчик пакетов.

  По умолчанию выключено.