Перейти к содержанию

Настройки брандмауэра для виртуальной сети

Общие сведения

Для настройки брандмауэра, NAT-сервиса и списков ACL, необходимо в разделе Сети - Контроль трафика - Политики виртуальных сетей основного меню выбрать целевую политику безопасности и создать политику фильтрации виртуальных сетей.

Примечание

Если используется политика фильтрации трафика по умолчанию, то брандмауэр разрешает все. Если создать пользовательскую политику фильтрации трафика, то в нем присутствует правило, запрещающее все.

Далее необходимо перейти на вкладку Сети - Виртуальные сети - <Настройка брандмауэра>, где содержится следующая информация:

  • Для виртуальной сети с L2-связностью:

    • Управление службой брандмауэра

    • Состояние службы брандмауэра

    • Автозапуск службы

    • Политика фильтрации трафика

      Политика фильтрации трафика выбирается из созданных ранее наборов правил, управление которыми выполняется в разделе Политики виртуальных сетей основного меню.

    • Состояние политики безопасности

      Применены правила или необходимо применить.

    • Список правил для входящего трафика интерфейсов виртуальных машин

    • Список правил для исходящего трафика интерфейсов виртуальных машин

    • Список правил ACL на коммутаторах виртуальной сети

  • Для виртуальной сети без связности:

    • Политика фильтрации трафика

      Политика фильтрации трафика выбирается из созданных ранее наборов правил, управление которыми выполняется в разделе Политики виртуальных сетей основного меню.

    • Состояние политики безопасности

      Применены правила или необходимо применить.

    • Список правил для входящего трафика интерфейсов виртуальных машин

    • Список правил для исходящего трафика интерфейсов виртуальных машин

    • Список правил ACL на коммутаторах виртуальной сети


Фильтрация трафика интерфейсов ВМ

Правила фильтрации трафика интерфейсов виртуальных машин (вкладки Фильтрация входящего трафика и Фильтрация исходящего трафика) включают:

  • Индекс.

    Порядковый номер правила.

  • Интерфейс.

    Интерфейс виртуальной машины, для которого создается правило.

  • Действие.

    Может принимать значения:

    • accept - разрешить трафик.

    • drop - запретить трафик.

  • Протокол.

    Может принимать значения:

    • icmp - правило дополняется возможностью выбора типов и кодов icmp.

    • tcp - правило дополняется возможностью указания портов источника и назначения.

    • udp - правило дополняется возможностью указания портов источника и назначения.

    • sctp

    • none

  • Состояние соединения.

    Фильтрация пакетов с учётом состояния:

    • new - новый пакет, не принадлежащий ни одному из известных соединений.

    • established - пакет, принадлежащий существующему соединению.

    • related - пакет, созданный другим соединением.

    • invalid - всё, что не относится к вышеперечисленным состояниям.

    Важно

    Для работы контроля за состоянием соединения необходимо включить параметр ACL Отслеживание состояний во вкладке Информация виртуальной сети.

  • Адрес источника

    Позволяет указать IP - адрес(а) или подсеть(ти) источника.

  • Адрес назначения

    Позволяет указать IP - адрес(а) или подсеть(ти) назначения.

  • Описание

  • Счетчик пакетов

    По умолчанию выключено.

  • Состояние правила

    По умолчанию включено.

Примечание

Правило фильтрации срабатывает при нахождении всех указанных параметров в обрабатываемом пакете.


Перенаправление исходящего трафика

Правила Source NAT создаются на вкладке SNAT. Для создания SNAT-правила необходимо заполнить следующие поля:

  • Действие

    Может принимать значения:

    • src_nat - указание IP-адреса источника и SNAT-адреса

    • masquerade - правило обеспечивающее работу стандартного NAT

  • Состояние правила

    По умолчанию включено.

  • Счетчик пакетов

    По умолчанию выключено.


Перенаправление входящего трафика

Правила Destination NAT создаются на вкладке DNAT. Для создания DNAT-правила необходимо заполнить следующие поля:

  • Действие

  • Адрес назначения

    Поддерживает список IP-адресов.

  • Порт назначения

    Поддерживает список IP-адресов.

  • DNAT-адрес

  • DNAT-порт

  • Адрес источника

    Поддерживает список IP-адресов.

  • Состояние правила

    По умолчанию включено.

  • Счетчик пакетов

    По умолчанию выключено.

Внимание

После действий с правилами (создание, удаление, редактирование) необходимо применить правила. Информация о необходимости применения правил находится в строке Состояние политики безопасности.

Внимание

Правила фильтрации трафика интерфейсов виртуальных машин имеют приоритет над общими правилами фильтрации (ACL).