Sissejuhatus
Online’i olekuta tulemüür on tasuta turvalahendus sinu pühendatud juurserverile. Kliendi piirkonnas saad kasutada tulemüüri funktsiooni, et määratleda oma filtriseaded sissetuleva ja väljuva liikluse jaoks.
Meie olekuta tulemüür, või staatiline tulemüür, ei paki lahti andmepakette; selle asemel kontrollitakse iga individuaalse paketi päist ja eelnevalt määratud seadete alusel otsustab tulemüür, kas lubada või keelata need paketid. Sel viisil takistab tulemüür volitamata juurdepääsu sinu serverile.
Kuid tulemüüride puhul on oluline meeles pidada, et nad ei tuvasta tegelikult iseenesest tehtud rünnakukatseid. Nad järgivad ainult ette määratud reeglite kogumit võrguühenduste jaoks.
Tulemüür Roboti klientidele (kes kasutavad pühendatud juurservreid) konfigureeritakse lülitusporti. Vaikimisi filtreerib tulemüür ainult IPv4 liiklust, täiendav IPv6 filter saab olla aktiveeritud valiku IPv6 pakettide filtreerimine
kaudu.
Kuidas ma saan tulemüüri aktiveerida?
Saad tulemüüri aktiveerida, minnes Peamised funktsioonid
-> Serverid
. Vali seejärel server, mida soovid, mine Tulemüür
-i ja aktiveeri see. Kui aktiveerid tulemüüri enne, kui oled sisestanud mingeid tulemüüri reegleid, siis blokeerid kogu sissetuleva liikluse.
Tulemüür muutub kohe aktiivseks ja konfigureeritakse lülitusporti. Konfiguratsioon võtab aega umbes 20–30 sekundit.
Tulemüüri reeglid
Igas suunas saad kasutada maksimaalselt 10 reeglit.
Parameeter
- Nimi: Saad valida meelepärase nime. Ainult erilised tähemärgid pole lubatud.
- IP versioon: IPv4 või IPv6 või pole määratletud (
*
) - Protokoll: Protokolli valik (näiteks TCP või UDP).
- Siht-IP ja päritolu-IP: Saad sisestada IP-aadresse kas üksikute IP-adressidena või alamvõrguna CIDR notatsioonis (näiteks
<192.168.0.1>
või<192.168.0.0/30>
). Kuna tulemüür on konfigureeritud lülitusporti, kehtib reegel ilma määratletud siht-IP-ta kõigi serveri IP-aadresside kohta. - Sihtport ja päritoluport: Saad sisestada porte kas üksikute portidena või portide vahemikuna (näiteks 80 või 32768-65535).
- TCP lipud: Saad sisestada TCP lippe (syn, fin, rst, psh, urg) individuaalselt või loogilise kombinatsioonina (
|
loogiliseksVÕI
= Vähemalt üks lipp peab olema seatud;&
loogiliseksJAA
= Kõik lipud peavad olema seatud). - Toiming: Toiming määratleb, mis peaks juhtuma pakettidega, kui reegel kehtib, see tähendab, see määratleb, kas paketid tuleks tagasi lükata (
discard
) või edastada (accept
).
Prioriteet
Reeglid rakendatakse samas järjekorras, nagu need on kliendi piirkonnas määratletud. Neid täidetakse ülevalt alla. Reegleid saad muuta pärast nende sisestamist, kasutades iga reegli lõpus olevaid rohelisi nooli.
Kui reegel #1 ei kehti, kontrollitakse reeglit #2. Kui reegel #2 samuti ei kehti, siis kontrollitakse reeglit #3 ja nii edasi, kuni kehtib üks reegel ja pakett kas tagasi lükatakse või aktsepteeritakse vastavalt määratletud toimingu järgi. Kui näiteks kehtib teine reegel, siis kõiki reegleid pärast seda ei kontrollita. Kui ükski reegel ei kehti, siis paketti tagasi ei lükata.
IPv6 filter
IPv6 filter saab aktiveerida läbi “IPv6 filtri” märkeruudu.
Pange tähele, et kui IPv6 filter on aktiveeritud ja IPv6 pakettide jaoks pole veel reegleid loodud, siis blokeeritakse kogu IPv6 liiklus.
Kui sa ei määra reegli jaoks IP versiooni, siis reegel kehtib nii IPv4 kui ka IPv6 jaoks.
Piirangud IPv6
- ICMPv6 protokolli ei saa filtreerida. ICMPv6 liiklus serverist ja serverisse on alati lubatud. ICMPv6 tuleb vaikimisi lubada, kuna see on oluline abiprotokoll ja on vajalik IPv6 toimimiseks.
- Reeglite korral, millel on IP versioon IPv6 või IP versiooni määramata, pole võimalik filtreerida siht- ja päritolu-IP aadressi järgi.
- Ilma IP versiooni täpsustamata ei saa filtreerida konkreetse protokolli järgi.
Märkused olekuta tulemüüri konfiguratsiooni kohta
Olekuta tulemüür teeb otsuseid ainult pakette uurides. Seetõttu ei “jälgigi” tulemüür, kas sissetulev pakett kuulub loodud ühendusse või mitte. Sellepärast, kui sa ei sisesta täiendavat reeglit, ei tööta kõik serverist väljuvad ühendused ja kui filtreerid väljaminevaid pakette, ei tööta ka kõik serverisse saabuvad ühendused, sest vastavaid vastusepakette vastupidises suunas ei saa enam filtri läbi lasta.
Sissetulev suund
Ilma täiendava reeglita ei saa ükski serverisse suunduv vastusepakk läbida tulemüüri.
Saad kasutada järgmist reeglit, et üldiselt lubada kõik vastused TCP-ühendustele:
Source IP: No entry
Destination IP: No entry
Source port: No entry
Destination port: 32768-65535 (Ephemeral Port Range)
Protocol: tcp
TCP flags: ack
Action: accept
IP-aadresse ja TCP porte sisestades saad muidugi seda reeglit piirata.
Näide
Tulemüüris on määratletud järgmised reeglid:
Ainult HTTP-paketid on lubatud
Allika IP: Puudub sissekanne
Destination IP: Puudub sissekanne
Source port: Puudub sissekanne
Destination port: 80
Protocol: tcp
TCP flags: Puudub sissekanne
Action: aktsepteeri
Samamoodi nagu sissetuleva suuna puhul ei ole vastusepakkumisi automaatselt lubatud vastassuunas.
Kui on lubatud ainult teatud väljuvad paketid, siis ilma täiendavate reegliteta ei saa vastusepakkumised serverist serveri teenustele vastusteekonnale tulemüüri läbida.
Saad lisada üldreegli väljuvas suunas kõikide vastusepakkumiste lubamiseks:
Allika IP: Puudub sissekanne
Destination IP: Puudub sissekanne
Saatja port: Puudub sissekanne
Sihtport: 32768-65535 (Ephemeerse porti vahemik)
Protokoll: tcp
TCP lipud: ack
Toiming: aktsepteeri
Pange tähele, et tuleb arvestada kõigi klientide ephemeerse porti vahemikuga, mis võib erineda serveri porti vahemikust.
Lisaks on oluline reegel lubada pakette DNS-teenusele.
Allika IP: Puudub sissekanne
Destination IP: Puudub sissekanne
Allika port: Puudub sissekanne
Sihtport: 53
Protokoll: udp
TCP lipud: Puudub sissekanne
Toiming: aktsepteeri
Näide
Järgmised reeglid on tulemüüris määratletud:
Sissetulev: Piiranguid pole
Allika IP: Puudub sissekanne
Destination IP: Puudub sissekanne
Allika port: Puudub sissekanne
Sihtport: Puudub sissekanne
Protokoll: *
TCP lipud: Puudub sissekanne
Toiming: aktsepteeri
Väljuv: Ainult HTTP- ja DNS-liiklus on lubatud
Allika IP: Puudub sissekanne
Destination IP: Puudub sissekanne
Source port: Puudub sissekanne
Destination port: 80
Protokoll: tcp
TCP lipud: Puudub sissekanne
Toiming: aktsepteeri
Allika IP: Puudub sissekanne
Destination IP: Puudub sissekanne
Allika port: Puudub sissekanne
Sihtport: 53
Protokoll: udp
TCP lipud: Puudub sissekanne
Toiming: aktsepteeri
Klient 4.3.2.1 loob ühenduse teie HTTP-serveriga 1.2.3.4.
Allika IP: 4.3.2.1
Destination IP: 1.2.3.4
Source port: 44563 (juhuslik port ephemeersest porti vahemikust)
Destination port: 80
Protokoll: tcp
TCP lipud: syn
See pakett saab tulemüüri läbida, kuna kõik liiklus on lubatud.
Server soovib vastata ühendusepäringule SYN & ACK-paketiga:
Allika IP: 1.2.3.4
Destination IP: 4.3.2.1
Source port: 80
Destination port: 44563
Protokoll: tcp
TCP lipud: syn & ack
See pakett ei saa tulemüüri läbida väljamineva suuna tõttu, kuna väljaminev TCP liiklus on lubatud ainult pordile 80.
Abinõuks on kas üldreegel nagu eespool kirjeldatud või erireegel, et lubada ainult veebiserveri vastuseid:
Allika IP: pole määratud
Destination IP: pole määratud
Source port: 80
Destination port: 32768-65535 (Ephemeerse porti vahemik)
Protokoll: tcp
TCP lipud: ack
Toiming: aktsepteeri
Tulemüüri mallid
Kui klõpsate serveri ülevaates nupul Tulemüüri mallid
(Peamised funktsioonid
-> Serverid
), saate luua oma reeglistiku. Seejärel saate need reeglid kleepida serverite tulemüüri konfigureerimise rippmenüü kaudu ja konfigureerida need.
Lisaks on vaikimisi mitu eelnevalt määratletud näidismalli tavapäraste serveriteenuste jaoks.