Перейти к содержанию

ACL на коммутаторах виртуальной сети (микросегментация)

Общие сведения

Правила ACL (микросегментация) предназначены для управления трафиком непосредственно на коммутаторах виртуальной сети.

Микросегментация сети

Микросегментация сети — это подход к сетевой безопасности, основанный на использовании методов списка контроля доступа (ACL) для сегментации сети.


Параметры ACL

Для просмотра параметров ACL необходимо перейти на вкладку Сети - Виртуальные сети - Информация и нажать на кнопку image в строке Параметры ACL.

Форма редактирования параметров открывается при нажатии на кнопку image.

Для редактирования доступны следующие параметры:

  • Режим микросегментации виртуальной сети.

    Включает/выключает режим работы ACL на коммутаторах виртуальной сети.

  • ARP-запросы в виртуальной сети.

    Разрешает прохождение ARP-запросов внутри виртуальной сети.

  • Блокировка пакетов с широковещательным адресом отправителя.

    Запрещает запросы с широковещательным адресом отправителя.

  • Изучение MAC-адресов в виртуальной сети.

    Включает механизм изучения MAC-адресов. Создаются записи соответствия типа "MAC - порт".
    Время жизни записи - 300 секунд, если не происходит ее обновления.

  • Пересылка STP-запросов через виртуальную сеть.

    Блокирует пересылку STP-запросов через виртуальную сеть.


Включение режима микросегментации

Перед включением режима микросегментации необходимо:

  • Включить использование брандмауэра.

  • Во вкладке Настройка брандмауэра выбрать политику фильтрации трафика.

    Для каждой виртуальной сети рекомендуется создавать свою политику фильтрации. См. Контроль трафика.

Для включения микросегментации необходимо перейти на вкладку Информация - Параметры ACL, установить необходимые параметры и применить изменения.

По умолчанию включены параметры, необходимые для работы сети.


Добавление правил

Добавление новых правил выполняется во вкладке Настройки брандмауэра - ACL. При добавлении правила необходимо в открывшемся окне заполнить следующие поля:

  • Индекс.

    Порядковый номер правила.
    Если оставить поле пустым, то индекс назначится автоматически.

  • Действие.

    Может принимать значения:
    - accept - разрешить трафик.
    - drop - запретить трафик.

  • Протокол.

    Протокол, на который будет распространяться правило:
    - icmp - протокол управляющих сообщений в сети.
    - tcp - протокол гарантированной передачи данных.
    - udp - протокол негарантированной передачи данных.
    - sctp - протокол передачи данных с управлением потока.
    - none - правило брандмауэра будет распространено на любой протокол.

  • Параметры, соответствующие выбранному протоколу.
    Для icmp.

    • ICMP тип.

    • ICMP код.

    Для tcp и udp.

    • Порт источника.

    • Порт назначения.

      Примечание

      Разрешается указывать порты как по одному, так и диапазоном.
      Например, "80,443,50000-61000".

  • Адрес источника.

  • Адрес назначения.

  • Описание.

  • Включить.

    Включение правила после создания.

    Пример добавления правила блокировки порта 22 (ssh)
    image

Примечание

Созданное правило сразу применяется на коммутаторах виртуальной сети.

Важно

Правила ACL выполняются сверху вниз до первого совпадения. По умолчанию разрешено все.

Для просмотра параметров правила необходимо нажать на его имя.


Редактирование/удаление правила

Для редактирования/удаления правила необходимо перейти в подробный режим просмотра правила.

Элементы управления вкладки Параметры правила:

  • Обновить.

    Обновление содержимого окна управления.

  • Изменение параметров.

    Внесение изменений в параметры правила.

  • Удалить.

    Удаление правила.

Внимание

После редактирования или удаления правила необходимо применить изменения в Настройках брандмауэра. Об этом информирует статус Состояние политики безопасности. После применения правила ACL на коммутаторах будут обновлены.