Настройки брандмауэра для виртуальной сети

Общие сведения

Для настройки брандмауэра, NAT-сервиса и списков ACL, необходимо в разделе Сети - Контроль трафика - Политики виртуальных сетей основного меню выбрать целевую политику безопасности и создать политику фильтрации виртуальных сетей.

Далее необходимо перейти на вкладку Сети - Виртуальные сети - <Настройка брандмауэра>, где содержится следующая информация:

• Для виртуальной сети с L2-связностью:

  • Управление службой брандмауэра

  • Состояние службы брандмауэра

  • Автозапуск службы

  • Политика фильтрации трафика

    Политика фильтрации трафика выбирается из созданных ранее наборов правил, управление которыми выполняется в разделе Политики виртуальных сетей основного меню.

  • Состояние политики безопасности

    Применены правила или необходимо применить.

  • Список правил для входящего трафика интерфейсов виртуальных машин

  • Список правил для исходящего трафика интерфейсов виртуальных машин

  • Список правил ACL на коммутаторах виртуальной сети

• Для виртуальной сети без связности:

  • Политика фильтрации трафика

    Политика фильтрации трафика выбирается из созданных ранее наборов правил, управление которыми выполняется в разделе Политики виртуальных сетей основного меню.

  • Состояние политики безопасности

    Применены правила или необходимо применить.

  • Список правил для входящего трафика интерфейсов виртуальных машин

  • Список правил для исходящего трафика интерфейсов виртуальных машин

  • Список правил ACL на коммутаторах виртуальной сети

Фильтрация трафика интерфейсов ВМ

Правила фильтрации трафика интерфейсов виртуальных машин (вкладки Фильтрация входящего трафика и Фильтрация исходящего трафика) включают:

• Индекс.

  Порядковый номер правила.

• Интерфейс.

  Интерфейс виртуальной машины, для которого создается правило.

• Действие.

  Может принимать значения:

  • accept - разрешить трафик.

  • drop - запретить трафик.

• Протокол.

  Может принимать значения:

  • icmp - правило дополняется возможностью выбора типов и кодов icmp.

  • tcp - правило дополняется возможностью указания портов источника и назначения.

  • udp - правило дополняется возможностью указания портов источника и назначения.

  • sctp

  • none

• Состояние соединения.

  Фильтрация пакетов с учётом состояния:

  • new - новый пакет, не принадлежащий ни одному из известных соединений.

  • established - пакет, принадлежащий существующему соединению.

  • related - пакет, созданный другим соединением.

  • invalid - всё, что не относится к вышеперечисленным состояниям.

  Важно

  Для работы контроля за состоянием соединения необходимо включить параметр ACL Отслеживание состояний во вкладке Информация виртуальной сети.

• Адрес источника

  Позволяет указать IP - адрес(а) или подсеть(ти) источника.

• Адрес назначения

  Позволяет указать IP - адрес(а) или подсеть(ти) назначения.

• Описание

• Счетчик пакетов

  По умолчанию выключено.

• Состояние правила

  По умолчанию включено.

Перенаправление исходящего трафика

Правила Source NAT создаются на вкладке SNAT. Для создания SNAT-правила необходимо заполнить следующие поля:

• Действие

  Может принимать значения:

  • src_nat - указание IP-адреса источника и SNAT-адреса

  • masquerade - правило обеспечивающее работу стандартного NAT

• Состояние правила

  По умолчанию включено.

• Счетчик пакетов

  По умолчанию выключено.

Перенаправление входящего трафика

Правила Destination NAT создаются на вкладке DNAT. Для создания DNAT-правила необходимо заполнить следующие поля:

• Действие

• Адрес назначения

  Поддерживает список IP-адресов.

• Порт назначения

  Поддерживает список IP-адресов.

• DNAT-адрес

• DNAT-порт

• Адрес источника

  Поддерживает список IP-адресов.

• Состояние правила

  По умолчанию включено.

• Счетчик пакетов

  По умолчанию выключено.