Pagalba

Prisijungti
Įsakymas
Prisijungti
Menu

Ugniasienės konfigūravimas dedikuotame serveryje

Paskutinį kartą keistas: 2023.11.22
Šiame straipsnyje
Šiame straipsnyje aprašoma, kaip aktyvuoti ugniasienę.

Įvadas

Online’s būsenos nesaugo ugniasienė yra nemokamas saugumo sprendimas jūsų dedikuotam šaknies serveriui. Kliento srityje galite naudoti ugniasienės funkciją, kad apibrėžtumėte savo filtravimo nustatymus įeinantiems ir išeinantiems srautams.

Su mūsų būsenos nesaugojančia ugniasiene, arba statine ugniasiene, duomenų paketai neišpakuoja; tikrinama kiekvieno atskiro paketo galva, ir priklauso nuo iš anksto apibrėžtų nustatymų, ugniasienė nusprendžia, ar leisti, ar atmesti šiuos paketus. Šiuo būdu, ugniasienė neleidžia neleidžiamai prieigai prie jūsų serverio.

Tačiau, kalbant apie ugniasienes, svarbu prisiminti, kad jos iš tikrųjų nepažįsta bandytų atakų. Jie tik laikosi iš anksto apibrėžtų taisyklių tinklo ryšiams.

Robot klientų (kurie naudoja dedikuotus šaknies serverius) ugniasienė konfigūruojama pereinant prie. Pagal numatytuosius nustatymus, ugniasienė filtruoja tik IPv4 srautą, papildomas IPv6 filtras gali būti įjungtas per Filtruoti IPv6 paketus parinktį.

Kaip aktyvuoti ugniasienę?

Galite aktyvuoti ugniasienę eikdami į Pagrindinės funkcijos -> Serveriai. Tada pasirinkite serverį, kurį norite, eikite į Ugniasienė, ir ją aktyvuokite. Jei aktyvuosite ugniasienę prieš įvedę ugniasienės taisykles, užblokuosite visą įeinantį srautą.

Ugniasienė tuoj pat tampa aktyvi ir yra konfigūruojama prie jungtukų. Konfigūracija trunka maždaug 20–30 sekundžių.

Ugniasienės taisyklės

Galite naudoti didažiausiai 10 taisyklių kiekvienai krypčiai.

Parametras

  • Pavadinimas: Galite pasirinkti bet kokį patinkantį pavadinimą. Tik specialieji simboliai nėra leidžiami.
  • IP versija: IPv4 arba IPv6 arba nenurodyta (*)
  • Protokolas: Protokolo pasirinkimas (pvz., TCP ar UDP).
  • Kelionės IP ir šaltinio IP: Galite įvesti IP adresus kaip atskirus IP arba kaip subėrį CIDR notacijoje (pvz., <192.168.0.1> arba <192.168.0.0/30>). Kadangi ugniasienė yra sukonfigūruota į jungiklio prievadą, taisyklė be nurodytos paskirties IP taikoma visiems serverio IP adresams.
  • Paskirties prievadas ir šaltinio prievadas: Galite įvesti prievadas kaip atskirus prievadus arba prievadų diapazonus (pavyzdžiui, 80 arba 32768-65535).
  • TCP žymės: Galite įvesti TCP žymes (syn, fin, rst, psh, urg) atskirai arba kaip loginę kombinaciją (| loginiam AR = Bent viena žymė turi būti nustatyta; & loginiam IR = Visos žymės turi būti nustatytos).
  • Veiksmas: Veiksmas nustato tai, kas turėtų nutikti su paketais, tada taikoma taisyklė, tai reiškia, kad nustatoma, ar paketai turėtų būti atmesti (atmesti), ar jie turėtų būti perduoti (priimti).

Prioritetų nustatymas

Taisyklės saykoma ta pačia tvarka, kaip jos apibrėžtos kliento srityje. Jie vykdomi nuo viršaus į apačią. Galite pakeisti taisyklių tvarką po jų įvedimo naudodamiesi žaliais rodyklės piktogramų pabaigoje kiekvienos taisyklės.

Jei taisyklė nr. 1 nepritaikoma, bus tikrinama taisyklė nr. 2. Jei taisyklė Nr. 2 taip pat nepritaikoma, bus patikrinta taisyklė Nr. 3 ir t.t., kol pritaikys vieną taisyklę ir paketas bus atmestas arba priimtas pagal apibrėžtą veiksmą. Jei taikoma antroji taisyklė, pvz., tada nebus tikrinamas joks po to esančios taisyklės. Jei netaikoma jokia taisyklė, paketas bus atmestas.

IPv6 filtras

IPv6 filtrą galima aktyvuoti per “IPv6 filtr” žymėjimo varnelės.

Atkreipkite dėmesį, kad įjungus IPv6 filtrą, visas IPv6 srautas yra blokuojamas, jei dar nesukūrėte jokių taisyklių IPv6 paketams.

Jeigu taisyklėje nenurodoma IP versija, tada taisyklė taikoma tiek IPv4, tiek IPv6.

Apribojimai su IPv6

  • Neįmanoma filtruoti ICMPv6 protokolo. ICMPv6 srautas į ir iš serverio visada leidžiamas. Būtina leisti ICMPv6 pagal numatytuosius nustatymus, nes ICMPv6 yra svarbus papildomas protokolas ir būtinas IPv6 veikimui.
  • Taisyklėse su IP versija IPv6 arba nenurodymas IP versijos, negalima filtruoti taikydami paskirties ir šaltinio IP adresą.
  • Be nurodymo IP versijos, negalima filtruoti pagal konkrečią protokolą.

Pastabos apie būsenos nesaugojančios ugniasienės konfigūravimą

Būsenos nesaugojanti ugniasienė tik sprendžia paketus tikrinama atskirais paketais. Todėl ugniasienė “neprisimena”, ar įeinantis paketas priklauso nustatytam ryšiui. Dėl šios priežasties, nebent įvesite papildomą taisyklę, neišeiks visi išėjimo ryšiai iš serverio, ir jei filtruojate išeinančius paketus, neveiks visi įeinantys ryšiai į serverį, nes atitinkami atsakymo paketai priešinga kryptimi nebegalės praėjus pro filtrą.

Įeinantis kryptimi

Be papildomų taisyklių, visų atsakymo paketų, kurie ateina į serverį, negali praeiti ugniasienė.

Galite naudoti šią taisyklę, kad bendrai leistumėte visus TCP ryšių atsakymus:

 Šaltinio IP: Jokių įrašų
 Paskirties IP: Jokių įrašų
 Šaltinio prievadas: Jokių įrašų
 Paskirties prievadas: 32768-65535 (laikinųjų prievadų diapazonas)
 Protokolas: tcp
 TCP žymės: ack
 Veiksmas: priimti

Įvedus IP adresus ir TCP prievadus, šią taisyklę, žinoma, galite padaryti dar griežtesnę.

Pavyzdys

Ugniasienėje apibrėžtos šios taisyklės:

Įeinantis: Leidžiamos tik HTTP paketai

 Šaltinio IP: Jokių įrašų
 Paskirties IP: Jokių įrašų
 Šaltinio prievadas: Jokių įrašų
 Paskirties prievadas: 80
 Protokolas: tcp
 TCP žymės: Jokių įrašų
 Veiksmas: priimti

Išeinantis: Jokių apribojimų

 Šaltinio IP: Jokių įrašų
 Paskirties IP: Jokių įrašų
 Šaltinio prievadas: Jokių įrašų
 Paskirties prievadas: Jokių įrašų
 Protokolas: *
 TCP žymės: Jokių įrašų
 Veiksmas: priimti

Serveris <1.2.3.4> užmezga ryšį su išoriniu tinklo serveriu ir siunčia šį TCP paketą:

 Šaltinio IP: 1.2.3.4
 Paskirties IP: 4.3.2.1
 Šaltinio prievadas: 44563 (atsitiktinis prievadas iš laikinųjų prievadų

Šiame pavyzdyje išeinamasis paketas visiškai nėra blokuojamas ugniasiene, nes filtruojamos tik įeinančios ryšio užklausos.

Svetainės serveris <4.3.2.1> atsako šiuo paketu:

 Siuntėjo IP: 4.3.2.1
 Gavėjo IP: 1.2.3.4
 Siuntėjo prievadas: 80
 Gavėjo prievadas: 44563
 Protokolas: tcp
 TCP vėliavos: syn & ack

Šis paketas be papildomos taisyklės yra blokuojamas. Taigi negalima užmegzti ryšio.

Išeinant kryptis

Panašiai kaip įeinančios krypties atveju, atsakymo paketai automatiškai neleidžiami atvirkštinėje kryptyje.

Jei leidžiami tik tam tikri išeinantys paketai, tai be papildomų taisyklių atsakymo paketai iš serverio į serverio paslaugų ryšio užklausas taip pat negalės praeiti per ugniasienę.

Galite pridėti bendrą taisyklę išeinantiesiems paketams leisti:

 Siuntėjo IP: Nenurodyta
 Gavėjo IP: Nenurodyta
 Siuntėjo prievadas: Nenurodyta
 Gavėjo prievadas: 32768-65535 (Ephemeral Port Range)
 Protokolas: tcp
 TCP vėliavos: ack
 Veiksmas: priimti

Pamarkėkite, kad čia turi būti gerbiamas visų klientų laikinųjų prievadų diapazonas, kuris gali skirtis nuo serverio prievadų diapazono.

Kaip papildoma esminė taisyklė, rekomenduojama leisti paketus į DNS paslaugą.

 Siuntėjo IP: Nenurodyta
 Gavėjo IP: Nenurodyta
 Siuntėjo prievadas: Nenurodyta
 Gavėjo prievadas: 53
 Protokolas: udp
 TCP vėliavos: Nenurodyta
 Veiksmas: priimti
Pavyzdys

Ugniasienėje apibrėžtos šios taisyklės:

Įeinančios: Jokių apribojimų

 Siuntėjo IP: Nenurodyta
 Gavėjo IP: Nenurodyta
 Siuntėjo prievadas: Nenurodyta
 Gavėjo prievadas: Nenurodyta
 Protokolas: *
 TCP vėliavos: Nenurodyta
 Veiksmas: priimti

Išeinant:

Leidžiamas tik HTTP ir DNS srautas.

 Siuntėjo IP: Nenurodyta
 Gavėjo IP: Nenurodyta
 Siuntėjo prievadas: Nenurodyta
 Gavėjo prievadas: 80
 Protokolas: tcp
 TCP vėliavos: Nenurodyta
 Veiksmas: priimti
 Siuntėjo IP: Nenurodyta
 Gavėjo IP: Nenurodyta
 Siuntėjo prievadas: Nenurodyta
 Gavėjo prievadas: 53
 Protokolas: udp
 TCP vėliavos: Nenurodyta
 Veiksmas: priimti

Klientas 4.3.2.1 užmegzta ryšį su jūsų HTTP serveriu 1.2.3.4.

 Siuntėjo IP: 4.3.2.1
 Gavėjo IP: 1.2.3.4
 Siuntėjo prievadas: 44563 (atsitiktinis prievadas iš laikinojo prievadų diapazono)
 Gavėjo prievadas: 80
 Protokolas: tcp
 TCP vėliavos: syn

Šis paketas gali praeiti per ugniasieną, nes įeinantiems srautams leidžiama visiems.

Serveris nori atsakyti į ryšio užklausą SYN & ACK paketu:

 Siuntėjo IP: 1.2.3.4
 Gavėjo IP: 4.3.2.1
 Siuntėjo prievadas: 80
 Gavėjo prievadas: 44563
 Protokolas: tcp
 TCP vėliavos: syn & ack

Šis paketas negali praeiti ugniasienos išeinančia kryptimi, nes išeinantysis TCP srautas leidžiamas tik į prievadą 80.

Šiuo atveju galima naudoti bendrą taisyklę, kaip aprašyta aukščiau, arba specialią taisyklę, leidžiančią tik atsakymus iš svetainės serverio:

 Siuntėjo IP: keine Angabe
 Gavėjo IP: keine Angabe
 Siuntėjo prievadas: 80
 Gavėjo prievadas: 32768-65535 (laikinojo prievadų diapazonas)
 Protokolas: tcp
 TCP vėliavos: ack
 Veiksmas: priimti

Ugniasienės šablonai

Jei paspausite mygtuką Ugniasienės šablonai serverio apžvalgoje (Pagrindinės funkcijos -> Serveriai), galite sukurti savo taisyklių rinkinius. Tada galite įklijuoti šias taisykles per serverių ugniasienės konfigūracijos iššokančiąjį meniu ir konfigūruoti jas.

Be to, pagal nutylėjimą yra keletas iš anksto apibrėžtų pavyzdinių šablonų bendriems serverių paslaugoms.

Written by: Igor Shats
Was this article helpful?
Peržiūrų: 323

BeeHosting 10-asis gimtadienis!
Iki 70% nuolaida visoms paslaugoms
+ nemokamas svetainės perkėlimas.

Beehosting.pro website uses cookies

We use cookies to personalise content and ads, to provide social media features and to analyse our traffic. We also share information about your use of our site with our social media, advertising and analytics partners who may combine it with other information that you’ve provided to them or that they’ve collected from your use of their services.

Sutikti
Menu
blog-archive Blog archive
help-articles Help
get-support Get support