Page tree
Skip to end of metadata
Go to start of metadata


W artykule przedstawimy działanie Firewalla, czyli zapory dla ruchu sieciowego dla Advanced Gateway. Advanced Gateway to zaawansowana wersja Edge Gateway dostępna w vCloud Directorze. Dzięki regułom można otwierać ruch tylko do wybranych maszyn wirtualnych lub sieci.

Po wybraniu Edge Gateway Services w vCloud Director zostanie otwarte okno ustawień Advanced Gateway. Wygląd ustawień został zmieniony, na wersję opartą o HTML5. 

Główne menu zawiera serwisy Edge Gateway. Przejdź do ustawień Firewall.

Część reguł dostępnych jest od początku utworzenia Edge. Edge Gateway uruchamiając serwis samodzielnie tworzy reguły np. otwarcie niezbędnych portów przy połączeniach IPSec. Reguł systemowych nie można edytować i są niezbędne do działania usług Edge Gateway.

Włączanie i wyłączanie Firewall

Możesz włączyć lub wyłączyć cały Firewall za pomocą przełącznika umieszczonego pod tytułem Firewall Rules. Każda zmiana reguły lub przełącznika wymaga zapisania zmian.

Zmiany można zapisać (Save) lub odrzucić (Discard)

Spis Treści


Opis kolumn reguł Firewall



No. oraz znak graficzny

Numer reguły oraz znak włączenia reguły: Włączona = , wyłączona =

Włączenie/Wyłączenie następuje po kliknięciu w numer reguły.

Name

Nazwa reguły. Reguły wbudowane mają nazwy odpowiadające serwisowi lub przeznaczeniu np. reguła związana z pośredniczeniem ruchu rozwiązywania nazw domenowych ma nazwę DNS.

Reguły utworzone przez użytkownika mogą mieć dowolne nazwy. Zmiana nazwy następuje poprzez dwukrotne kliknięcie nazwy reguły.

Type

Typ reguły. Wszystkie reguły użytkownika są typu User.

Reguły wbudowane przez system mają typy odpowiednie dla serwisów lub definicji ruchu np. regułą umożliwiająca ruch w sieci wewnętrznej pomiędzy maszynami wirtualnymi jest typu Internal High - oznacza usługę wewnętrzną o wysokim znaczeniu/priorytecie. Reguła domyślna blokująca ruch ma typ Default Policy.

Aby wyłączyć wyświetlanie reguł wbudowanych i automatycznych można użyj przełącznika Show only user-defined rules

Source

Źródło dla reguły Firewall.

Destination

Cel dla reguły Firewall.

Service

Wybór protokołu oraz numeru portu.

Action

Do wyboru Accept - zezwól. lub Deny - zabroń.

Enable logging

Włączenie logowania dla danej reguły.

Zrzuty ekranowe





Dodawanie reguły Firewall


Z menu graficznego nad tabelą reguł wybierz ikonę  

Twoja reguła zostanie dodana automatycznie w miejscu pomiędzy regułami wbudowanymi, a polityką domyślną blokującą ruch. Dla przejrzystości możesz wyłączyć wyświetlanie reguł wbudowanych.

W polu Name wybierz nazwę dla reguły.




Source

Po najechaniu kursorem na pole Source pojawią się dwie ikony: 

Po wybraniu   możesz podać adres IP źródła dla reguły.W pole wartości (Value) możesz wpisać:

TypPrzykład
Adres IP185.24.15.15
Zakres IP10.23.45.100-10.23.45.200
CIDR192.168.0.0/24
Dowolnyany

Wybranie any jako źródła będzie oznaczać dowolny adres IP. Regułą będzie miała zastosowanie dla każdego adresu źródłowego

Po wybraniu  możesz zdefiniować obiekt. Działania na obiektach, grupach i tagach są elementem pełnego poradnika dotyczącego reguł Firewall wewnątrz. W tym poradniku prezentujemy jedynie podstawowe działania na regułach.




Destination

Identycznie jak dla źródła (Source) po najechaniu kursorem na pole Destination pojawią się przyciski 

Po wybraniu  wpisz adres IP celu. W Value możesz używać takich samych formatów jak dla źródła.




Service

Po najechaniu kursorem na pole Service pojawi się przycisk . Po wybraniu przycisku pojawi się okno z możliwością wybrania protokołu (Protocol), portu źródłowego (Source Port) oraz portu docelowego (Destination Port).

Protocol

Możliwym wyborem dla protokołu są: TCP, UDP, ICMP, Any

Wybranie Any oznaczać będzie dowolny port.

Source Port

Port źródłowy

Destination Port

Port docelowy



Action

Akcja dla reguły. Do wyboru:

Accept - oznacza zezwolenie na ruch na podstawie reguły.

Deny - oznacza zablokowanie ruchu na podstawie reguły.


Enable logging

Umożliwia włączenie logowania dla wybranej reguły.




Zasady działania Firewall Advanced Gateway



Kolejność reguł ma znaczenie

Reguły sprawdzane są w kolejności od góry do dołu. Kolejność reguł możesz zmienić za pomocą przycisków strzałek umieszczonych nad tabelą reguł. W związku z tą zasadą działania reguły wbudowanych lub działanie reguły domyślnej mają swoje miejsce na początku lub na końcu tabeli.

Grupa 1

Reguły tworzone przez środowisko na potrzeby serwisów są umieszczane na początku.


Grupa 2

Reguły użytkownika są tworzone po regułach automatycznych.


Grupa 3

Reguła domyślna (Default Policy) - domyślnie zablokowanie dostępu jest regułą ostatnią.

Reguł użytkownika operują w ramach grupy 2, w kolumnie Type posiadają oznaczenie User.

Przykład reguły uniemożliwiającej dostęp po SSH do serwera.

Przy próbie połączenia na port 22 na adres 185.15.47.68 Firewall uzna regułę 4 za prawidłową: Każde połączenie realizowane na porty od 1 do 1024 TCP zostanie odrzucone (Deny). Pomimo zastosowania reguły 5 umożliwiającej ruch na port 22 to reguła z numerem 4 zostanie uruchomiona wcześniej.

Aby poprawić błąd połączenia wystarczy regułę SSH 1 przenieść ponad regułę SSH2

Z uwagi na możliwość dublowania reguł lub ich wzajemnego wykluczania warto zwrócić uwagę na domyślną politykę, będącą ostatnią regułą. "Każdy ruch, na który nie zezwolisz w ramach reguł zostanie zablokowany". W związku z polityką domyślną reguła SSH 2 jest zawarta w ramach reguły blokującej cały ruch. Nie jest zatem potrzebna.



Przykłady


W każdym przykładzie siecią wewnętrzną będzie adres sieci w środowisku dla poradników: 10.5.23.0/24. Maszyna wirtualna w przykładach ma adres 10.5.23.100. 

Poza regułami Firewall zawsze musisz uwzględnić reguł NAT w celu odpowiedniego przekierowania portów. Dla przykładów Firewall ustawiłem regułę NAT 1:1, czyli przekierowanie portów z adresu publicznego do maszyny wirtualnej. Więcej o regułach NAT znajdziesz w Podstawy NAT Advanced Gateway

Reguły dla ruchu wychodzącego 

Dostęp pojedynczej maszyny wirtualnej do dowolnego adresu (Any). Adres IP VM to 10.5.23.100

Dostęp pojedynczej maszyny wirtualnej do sieci zewnętrznych (external). Adres IP VM to 10.5.23.100

Reguły dla ruchu wchodzącego

Dostęp do serwera www na portach 80 oraz 443 z zewnątrz dla dowolnego adresu

Otwarcie portów na adresie publicznym środowiska - 185.15.47.68. Osobne reguły dla portu 80 oraz 443.

Dostęp do serwera www z zewnątrz. Dwa porty w ramach 1 reguły.

Otwarcie portów na adresie publicznym środowiska - 185.15.47.68. Osobne reguły dla portu 80 oraz 443.

Dostęp do SSH z wybranego adresu IP.

Otwarcie portu 22 na adresie 185.15.47.68 (adres publiczny środowiska). Dostęp otwarty jest jedynie dla podanego adresu źródłowego, w tym przypadku jest to 94.28.45.16.



  • No labels