ACL на коммутаторах виртуальной сети (микросегментация)
Общие сведения
Правила ACL (микросегментация) предназначены для управления трафиком непосредственно на коммутаторах виртуальной сети.
Микросегментация сети
Микросегментация сети — это подход к сетевой безопасности, основанный на использовании методов списка контроля доступа (ACL) для сегментации сети.
Параметры ACL
Для просмотра параметров ACL необходимо перейти на вкладку Сети - Виртуальные сети - Информация и нажать на кнопку в строке Параметры ACL.
Форма редактирования параметров открывается при нажатии на кнопку .
Для редактирования доступны следующие параметры:
-
Режим микросегментации виртуальной сети.
Включает/выключает режим работы ACL на коммутаторах виртуальной сети.
-
ARP-запросы в виртуальной сети.
Разрешает прохождение ARP-запросов внутри виртуальной сети.
-
Блокировка пакетов с широковещательным адресом отправителя.
Запрещает запросы с широковещательным адресом отправителя.
-
Изучение MAC-адресов в виртуальной сети.
Включает механизм изучения MAC-адресов. Создаются записи соответствия типа "MAC - порт".
Время жизни записи - 300 секунд, если не происходит ее обновления. -
Пересылка STP-запросов через виртуальную сеть.
Блокирует пересылку STP-запросов через виртуальную сеть.
-
Отслеживание состояний.
Включает возможность отслеживать сессии в виртуальной сети, а также обеспечивает работу правил фильтрации с контролем состояний.
Важно
Для всех параметров микросегментации, а также правил фильтрации, необходимо включать режим микросегментации.
Включение режима микросегментации
Перед включением режима микросегментации необходимо:
-
Включить использование брандмауэра.
-
Во вкладке Настройка брандмауэра выбрать политику фильтрации трафика.
Для каждой виртуальной сети рекомендуется создавать свою политику фильтрации. См. Контроль трафика.
Для включения микросегментации необходимо перейти на вкладку Информация - Параметры ACL, установить необходимые параметры и применить изменения.
По умолчанию включены параметры, необходимые для работы сети.
Добавление правил
Добавление новых правил выполняется во вкладке Настройки брандмауэра - ACL. При добавлении правила необходимо в открывшемся окне заполнить следующие поля:
-
Индекс.
Порядковый номер правила.
-
Действие.
Может принимать значения:
-
accept - разрешить трафик.
-
drop - запретить трафик.
-
-
Протокол.
Протокол, на который будет распространяться правило:
-
icmp - протокол управляющих сообщений в сети.
-
tcp - протокол гарантированной передачи данных.
-
udp - протокол негарантированной передачи данных.
-
sctp - протокол передачи данных с управлением потока.
-
none - правило брандмауэра будет распространено на любой протокол.
-
-
Состояние соединения.
Фильтрация пакетов с учётом состояния:
-
new - новый пакет, не принадлежащий ни одному из известных соединений.
-
established - пакет, принадлежащий существующему соединению.
-
related - пакет, созданный другим соединением.
-
invalid - всё, что не относится к вышеперечисленным состояниям.
Важно
Для работы контроля за состоянием соединения необходимо включить параметр ACL Отслеживание состояний во вкладке Информация виртуальной сети.
-
-
Параметры, соответствующие выбранному протоколу.
Для icmp.-
ICMP тип.
-
ICMP код.
Для tcp и udp.
-
Порт источника.
-
Порт назначения.
Примечание
Допускается указывать порты как по одному, так и диапазоном.
Например,80
,443
,50000-61000
.
-
-
Адрес источника.
-
Адрес назначения.
-
Описание.
-
Включить.
После применения правило будет участвовать в фильтрации пакетов.
Примечание
Правило фильтрации срабатывает при нахождении всех указанных параметров в обрабатываемом пакете.
Важно
Правила ACL выполняются сверху вниз до первого совпадения. В политике по умолчанию разрешено все. В политиках фильтрации, создаваемых пользователем, присутствует правило запрещающее все. При применении правил пользовательской политики необходимо убедиться, что не будут заблокированы важные сервисы или перед применением добавить необходимые разрешающие правила.
Редактирование/удаление правила
Для просмотра/редактирования/удаления правила необходимо перейти в подробный режим просмотра правила (нажать на его имя).
Элементы управления вкладки Параметры правила:
-
Обновить.
Обновление содержимого окна управления.
-
Изменение параметров.
Внесение изменений в параметры правила.
-
Удалить.
Удаление правила.
Внимание
После действий с правилами (создание, удаление, редактирование) необходимо применить правила. Информация о необходимости применения правил находится в строке Состояние политики безопасности.