Настройка Edge Gateway Firewall

Edge Gateway/T1 управляет доступом между сетями тенанта и внешними сетями (North-South трафиком). Межсетевое экранирование может работать из сети тенанта во внешнюю сеть и в обратном направлении.

../../_images/sch__esg-firewall.svg

На схеме x.x.x.x — внешний IP-адрес, a.a.a.a/24 и b.b.b.b/24 — адреса внутренних Routed-сетей.

При создании IPSec-канала автоматически создаются по два правила Firewall на каждый канал. Создание правил Firewall обеспечивают корректную работу IPSec-канала благодаря функционированию сессий IKE NAT Traversal и Key Exchange.

Также можно создать правила Firewall, вручную указав объекты, которые отправляют и получают трафик:

  • IP Sets — группы IP-адресов, определенные в Security Groups;

  • Security Groups — наборы групп безопасности.

Выполните следующие шаги:

Создание IP Set

IP Set — группы IP-адресов, к которым применяются правила Firewall. Объединение нескольких объектов в IP Set помогает сократить общее количество правил Firewall.

Чтобы создать IP Sets:

  1. В разделе Data Centers нажмите на карточку виртуального ЦОД и в меню слева выберите Edges.

  2. Нажмите на название Edge Gateway.

  3. В разделе Security → IP Sets нажмите NEW.

  4. В окне New IP Set, в поле Name, введите название группы IP-адресов.

  5. (Опционально) В поле Description введите описание.

  6. В поле IP Addresses введите IP-адрес или диапазон IP-адресов.

    Например, 192.167.1.2, 192.167.1.2-192.167.1.10 или 192.167.1.0/24.

  7. Нажмите ADD → SAVE.

Создание правила Firewall

Чтобы создать IP Sets:

  1. В разделе Services → Firewall нажмите EDIT RULES.

  2. Нажмите NEW ON TOP.

  3. В поле Name введите название правила.

  4. Чтобы включить правило, включите State.

  5. В поле Applications нажмите Редактировать, включите Choose a specific application и выберите протокол и порт подключения.

  6. В поле Source нажмите Редактировать и выполните одно из следующих действий:

    • Чтобы выбрать все доступные источники трафика, включите Any Source.

    • Укажите отдельные источники.

  7. В поле Destination нажмите Редактировать и выполните одно из следующих действий:

    • Чтобы выбрать все доступные адреса назначения, включите Any Source.

    • Укажите отдельные источники.

  8. В поле Action выберите одну из следующих опций:

    • Allow, чтобы пропускать трафик.

    • Drop, чтобы блокировать трафик и не отправлять уведомления заблокированным клиентам.

    • Reject, чтобы блокировать трафик и отправлять уведомления заблокированным клиентам.

  9. В поле IP Protocol выберите трафик, к которому применять правило.

  10. Чтобы регистрировать фильтрацию, включите Logging.

  11. Нажмите SAVE.

Видео-инструкция настройки Edge Gateway Firewall:





Масштабная конференция
GoCloud 2024:
облачные грани будущего