Создать облачный файрвол

Последнее изменение: 27 апреля 2024

Создать облачный файрвол

осторожно

У облачного файрвола есть базовое свойство: весь входящий и исходящий трафик, который не разрешен, — запрещен. Если создать файрвол без правил и назначить его на порт облачного роутера, весь трафик в подсети роутера будет запрещен. После создания файрвола на роутере прервутся все активные сессии.

Панель управления

1. В панели управления перейдите в раздел Облачная платформа → Файрволы.

2. Нажмите Создать файрвол.

3. Выберите пул, в котором будет создан файрвол.

4. Опционально: выберите приватную подсеть с облачным роутером, для которой нужно настроить фильтрацию трафика. Файрвол назначается на порт облачного роутера в этой приватной подсети.

   Назначить файрвол на порт роутера можно после создания файрвола.

5. Выберите направление трафика:

Входящий трафик

6. Если вам подходят шаблоны с правилами для входящего трафика, нажмите на правило. Поля протокола, источника, портов источника, назначения трафика и порта назначения заполнятся автоматически. Перейдите на шаг 14.

7. Если подходящего шаблона нет, добавьте собственное правило для входящего трафика. Нажмите Добавить правило входящего трафика.

8. Выберите действие:

   • Allow — разрешить трафик;
   • Deny — отклонить трафик.

9. Выберите протокол: ICMP, TCP, UDP или все протоколы (Any).

10. Введите источник трафика (Source) — IP-адрес, подсеть или все адреса (Any).

11. Введите порт источника (Src. port) — один порт, диапазон портов или все порты (Any).

12. Введите назначение трафика (Destination) — IP-адрес, подсеть или все адреса (Any). Если указать подсеть, то правило будет действовать на все устройства в подсети.

13. Введите порт назначения (Dst. port) — один порт, диапазон портов или все порты (Any).

    Трафик на любой TCP/UDP порт, заблокированный в Selectel по умолчанию, будет запрещен, даже если указать этот порт в правиле.

14. Введите имя правила или оставьте имя, созданное автоматически.

15. Опционально: введите комментарий для правила.

16. Нажмите Добавить. После создания файрвола можно изменить правило.

Исходящий трафик

6. Если вам подходят шаблоны с правилами для исходящего трафика, нажмите на правило. Поля протокола, источника, портов источника, назначения трафика и порта назначения заполнятся автоматически. Перейдите на шаг 14.

7. Если подходящего шаблона нет, добавьте собственное правило для исходящего трафика. Нажмите Добавить правило исходящего трафика.

8. Выберите действие:

   • Allow — разрешить трафик;
   • Deny — отклонить трафик.

9. Выберите протокол: ICMP, TCP, UDP или все протоколы (Any).

10. Введите источник трафика (Source) — IP-адрес, подсеть или все адреса (Any). Если указать подсеть, то правило будет действовать на все устройства в подсети.

11. Введите порт источника (Src. port) — один порт, диапазон портов или все порты (Any).

12. Введите назначение трафика (Destination) — IP-адрес, подсеть или все адреса (Any).

13. Введите порт назначения (Dst. port) — один порт, диапазон портов или все порты (Any).

    Трафик на любой TCP/UDP порт, заблокированный в Selectel по умолчанию, будет запрещен, даже если указать этот порт в правиле.

14. Введите имя правила или оставьте имя, созданное автоматически.

15. Опционально: введите комментарий для правила.

16. Нажмите Добавить. После создания файрвола можно изменить правило.

17. Проверьте порядок правил, они выполняются по порядку в списке — сверху вниз. При необходимости измените порядок — перетащите правила. После создания файрвола можно изменить порядок правил.
18. Опционально: чтобы добавить к файрволу другое правило, перейдите на шаг 5. Можно добавить до 100 правил на каждое направление трафика.
19. Введите имя файрвола или оставьте имя, созданное автоматически.
20. Опционально: введите комментарий для файрвола.
21. Нажмите Создать файрвол.

OpenStack CLI

1. Откройте OpenStack CLI.

2. Создайте правило:

   openstack firewall group rule create \
       --action <action> \
       --protocol <protocol> \
       [--source-ip-address <source_ip_address> | --no-source-ip-address] \
       [--source-port <source_port> | --no-source-port] \
       [--destination-ip-address <destination_ip_address> | --no-destination-ip-address] \
       [--destination-port <destination_port> | --no-destination-port]

   Укажите:

   • <action> — действие:

     • allow — разрешить трафик;
     • deny — отклонить трафик;

   • <protocol> — протокол:

     • icmp — ICMP;
     • tcp — TCP;
     • udp — UDP;
     • any — все протоколы;

   • источник трафика:

     • --source-ip-address <source_ip_address> — IP-адрес или подсеть. Если вы укажете подсеть и назначите это правило на политику для исходящего трафика, то правило будет действовать на все устройства в подсети;
     • --no-source-ip-address — все адреса (Any);

   • порт источника:

     • --source-port <source_port> — один порт или диапазон портов;
     • --no-source-port — все порты (Any);

   • назначение трафика:

     • --destination-ip-address <destination_ip_address> — IP-адрес или подсеть. Если вы укажете подсеть и назначите это правило на политику для входящего трафика, то правило будет действовать на все устройства в подсети;
     • --no-destination-ip-address — все адреса (Any);

   • порт назначения:

     • --destination-port <destination_port> — один порт или диапазон портов;
     • --no-destination-port — все порты (Any).

     Трафик на любой TCP/UDP порт, заблокированный в Selectel по умолчанию, будет запрещен, даже если указать этот порт в правиле.

3. Создайте политику для файрвола:

   openstack firewall group policy create \
       --firewall-rule <firewall_rule> \
       <policy_name>

   Укажите:

   • <firewall_rule> — ID или имя правила. Список можно посмотреть с помощью openstack firewall group rule list. Чтобы добавить несколько правил, разделите их имена или ID пробелом. Проверьте порядок правил, они выполняются по порядку;
   • <policy_name> — имя политики.

4. Создайте файрвол:

   openstack firewall group create \
       [--ingress-firewall-policy <firewall_ingress_policy> | --no-ingress-firewall-policy] \
       [--egress-firewall-policy <firewall_egress_policy> | --no-egress-firewall-policy] \
       --port <router_port>

   Укажите:

   • политика для входящего трафика:
     • --ingress-firewall-policy <firewall_ingress_policy> — ID или имя политики для входящего трафика. Список можно посмотреть с помощью openstack firewall group policy list. Можно добавить только одну политику для входящего трафика;
     • --no-ingress-firewall-policy — укажите, если политики для входящего трафика нет;
   • политика для исходящего трафика:
     • --egress-firewall-policy <firewall_egress_policy> — ID или имя политики для исходящего трафика. Список можно посмотреть с помощью openstack firewall group policy list. Можно добавить только одну политику для исходящего трафика;
     • --no-egress-firewall-policy — укажите, если политики для исходящего трафика нет;
   • <router_port> — ID или имя порта роутера, на который будет назначен файрвол. Список можно посмотреть с помощью openstack port list. Чтобы назначить файрвол на несколько портов роутера, перечислите их имена или ID через пробел.

Terraform

Используйте инструкции в документации Terraform:

• Создать облачный файрвол;
• Пример создания инфраструктуры с облачным файрволом.