Šis raksts apraksta, kā aktivizēt ugunsmūri.
Ievads
Online bezstāvokļa ugunsmūris ir bezmaksas drošības risinājums jūsu dedicētajam saknes serverim. Klienta zonā jūs varat izmantot ugunsmūra funkciju, lai definētu savus filtrēšanas iestatījumus ienākošai un izejošai datu plūsmai.
Izmantojot mūsu bezstāvokļa ugunsmūri vai statisko ugunsmūri, datu paketes netiek atvērtas; drīzāk tiek inspicēta katra atsevišķā paketes galva, un, atkarībā no iepriekš definētajiem iestatījumiem, ugunsmūris izlems, vai atļaut vai noraidīt šīs paketes. Šādā veidā ugunsmūris novērš nevēlamu piekļuvi jūsu serverim.
Tomēr, strādājot ar ugunsmūriem, ir svarīgi atcerēties, ka tie patiesi neatpazīst uzbrukuma mēģinājumus. Tie tikai izpilda tīkla sakaru noteikumu kopumu.
Robot klientu (kuri izmanto dedicētus saknes serverus) ugunsmūris tiek konfigurēts uz slēdža portu. Pēc noklusējuma ugunsmūris filtrē tikai IPv4 trafiku, papildu IPv6 filtru var iespējot, izmantojot opciju Filtrēt IPv6 paketes
.
Kā es varu aktivizēt ugunsmūri?
Ugunsmūri varat aktivizēt, dodoties uz Galvenās funkcijas
-> Serveri
. Pēc tam izvēlieties serveri, uz kuru vēlaties doties, dodies uz Ugunsmūris
un to aktivizē. Ja aktivizējat ugunsmūri, pirms ievadat ugunsmūra noteikumus, bloķēsit visu ienākošo datu plūsmu.
Ugunsmūris tūlīt kļūst aktīvs un tiek konfigurēts uz slēdzi. Konfigurācija aizņem aptuveni 20-30 sekundes.
Ugunsmūra likumi
Varat izmantot līdz 10 noteikumiem vienā virzienā.
Parametri
- Nosaukums: Jūs varat izvēlēties jebkādu nosaukumu. Tikai īpašie simboli nav atļauti.
- IP versija: IPv4 vai IPv6 vai nenurodot (
*
) - Protokols: Protokola izvēle (piemēram, TCP vai UDP).
- Mērķa IP un avota IP: IP adreses var ievadīt kā atsevišķas IP vai subnetu CIDR notācijā (piemēram,
<192.168.0.1>
vai<192.168.0.0/30>
). Tā kā ugunsmūris tiek konfigurēts slēdža portā, noteiktos iestatījumus bez norādītās destiantion IP piemēros visām servera IP adresēm. - Mērķa ports un avota ports: Portus var ievadīt kā atsevišķus portus vai portu diapazonus (piemēram, 80 vai 32768-65535).
- TCP karogi: TCP karogus (syn, fin, rst, psh, urg) var ievadīt atsevišķi vai loģiskā kombinācijā (
|
par loģiskoOR
= Ir jābūt iestatītam vismaz vienam karogam;&
par loģiskoAND
= Visiem karogiem jābūt iestatītiem). - Darbība: Darbība definē, kas ar paketēm jādara, kad piemēro noteikumu, tas ir, tā definē, vai paketes jānoraida (
discard
) vai tām jāpārsūta (accept
).
Prioritāšu noteikšana
Noteikumi tiek piemēroti tādā pašā secībā, kā tie ir definēti klienta zonā. Tie tiek izpildīti no augšas uz leju. Jūs varat mainīt noteikumu secību pēc to ievada, izmantojot zaļās bultu ikonas pie katras noteikuma beigām.
Ja noteikums #1 neder, tad tiks pārbaudīts noteikums #2. Ja noteikums #2 arī neder, tad tiks pārbaudīts noteikums #3 un tā tālāk, līdz tiek piemērots kāds noteikums un pakete tiek vai nu noraidīta, vai pieņemta saskaņā ar definēto darbību. Ja piemēro otro noteikumu, piemēram, tad visi pēc tam nākošie noteikumi nebūs jāpārbauda. Ja neviens no noteikumiem neattiecas, tad pakete tiks noraidīta.
IPv6 filtrs
IPv6 filtru var aktivizēt, izmantojot izvēles rūtiņu “IPv6 filtrs”.
Lūdzu, ņemiet vērā, ka, aktivizējot IPv6 filtru, visi IPv6 trafiki tiek bloķēti, ja vēl nav izveidoti noteikumi IPv6 paketēm.
Ja noteikuma IP versiju nenorādat, tad noteikums attiecas gan uz IPv4, gan uz IPv6.
IPv6 ierobežojumi
- Ir neiespējami filtrēt ICMPv6 protokolu. ICMPv6 datu plūsma uz un no servera vienmēr ir atļauta. Noklusējuma ICMPv6 atļaušana ir nepieciešama, jo ICMPv6 ir svarīgs palīgprotokols un ir obligāts IPv6 darbībai.
- Noteikumiem ar IP versiju IPv6 vai bez IP versijas specifikācijas nav iespējams filtrēt pēc mērķa un avota IP adreses.
- Bез spécифikācijas IP versijas, nav iespējams filtrēt noteiktā protokolā.
Piezīmes par bezstāvokļa ugunsmūra konfigurāciju
Bezstāvokļa ugunsmūris tikai lemj par paketēm, inspicējot atsevišķas paketes. Tādējādi ugunsmūris neuzskaita, vai ienākošā pakete pieder esošai savienojumam. Šī iemesla dēļ, ja nepievienojat papildu noteikumu, visas izejošās savienojumi no servera un, ja filtrējat izejošas paketes, visi ienākošie savienojumi uz serveri nedarbosies, jo attiecīgās atbildes paketes pretējā virzienā nevarēs vairs iziet caur filtru.
Ienākošais virziens
Bez papildu noteikuma, visas atbildes paketes, kas nāk uz serveri, nevar iziet caur ugunsmūru.
Varat izmantot šādu noteikumu, lai vispārīgi atļautu visas atbildes uz TCP savienojumiem:
Avota IP: Nav ievadīts
Mērķa IP: Nav ievadīts
Avota ports: Nav ievadīts
Mērķa ports: 32768-65535 (Īslaicīgā portu diapazona)
Protokols: tcp
TCP karogi: ack
Darbība: apstiprināt
Ievadot IP adreses un TCP portus, šo noteikumu, protams, var padarīt vēl stingrāku.
Piemērs
Ugunsmūrī definēti šādi noteikumi:
Ienākošais: Atļautas tikai HTTP paketes
Avota IP: Nav ievadīts
Mērķa IP: Nav ievadīts
Avota ports: Nav ievadīts
Mērķa ports: 80
Protokols: tcp
TCP karogi: Nav ievadīts
Darbība: apstiprināt
Izejošais: Bez ierobežojumiem
Avota IP: Nav ievadīts
Mērķa IP: Nav ievadīts
Avota ports: Nav ievadīts
Mērķa ports: Nav ievadīts
Protokols: *
TCP karogi: Nav ievadīts
Darbība: apstiprināt
Serveris <1.2.3.4>
izveido savienojumu ar ārējo tīmekļa serveri un nosūta šādu TCP paketi:
Avota IP: 1.2.3.4
Mērķa IP: 4.3.2.1
Avota ports: 44563 (nejaušs ports no īslaicīgā portu diapazona)
Mērķa ports: 80
Protokols: tcp
TCP karogi: syn
Šajā piemērā iziejošā pakete ugunsmūrī vispār netiek bloķēta, jo filtrēti tikai ienākošie savienojumi.
Tīmekļa serveris <4.3.2.1>
atbild ar šādu paketi:
Avota IP: 4.3.2.1
Mērķa IP: 1.2.3.4
Avota ports: 80
Mērķa ports: 44563
Protokols: tcp
TCP karogi: syn & ack
Šī pakete bez papildu noteikuma tiek bloķēta. Tātad savienojumu nevar izveidot.
Izejošais virziens
Līdzīgi kā Ienākošā virzienā, pretējā virziena atbildes paketes netiek automātiski ļautas.
Ja tiek atļautas tikai noteiktas izejošās paketes, tad bez papildu noteikumiem atbildes paketes no servera uz savienojuma pieprasījumiem uz servera pakalpojumiem arī nevarēs iziet caur ugunsmūru.
Varat pievienot vispārīgu noteikumu izejošajam virzienam, lai ļautu visas atbildes paketes:
Avota IP: Nav ievadīts
Mērķa IP: Nav ievadīts
Avots-Port: Nav ievadīts
Mērķa ports: 32768-65535 (Īslaicīgā Porta diapazons)
Protokols: tcp
TCP karogi: ack
Darbība: apstiprināt
Lūdzu, ņemiet vērā, ka šeit ir jāievēro visu klientu īslaicīgā porta diapazonu, tas var atšķirties no servera porta diapazona.
Kā vēl vienu būtisku noteikumu, ir ieteicams arī ļaujiet paketes DNS servisam.
Avota IP: Nav ievadīts
Mērķa IP: Nav ievadīts
Avota ports: Nav ievadīts
Mērķa ports: 53
Protokols: udp
TCP karogi: Nav ievadīts
Darbība: apstiprināt
Piemērs
Ugunsmūrī definēti šādi noteikumi:
Ienākošais: Bez ierobežojumiem
Avota IP: Nav ievadīts
Mērķa IP: Nav ievadīts
Avota ports: Nav ievadīts
Mērķa ports: Nav ievadīts
Protokols: *
TCP karogi: Nav ievadīts
Darbība: apstiprināt
Izejošais:
Atļauta tikai HTTP un DNS satiksme.
Avota IP: Nav ievadīts
Mērķa IP: Nav ievadīts
Avota ports: Nav ievadīts
Mērķa ports: 80
Protokols: tcp
TCP karogi: Nav ievadīts
Darbība: apstiprināt
Avota IP: Nav ievadīts
Mērķa IP: Nav ievadīts
Avota ports: Nav ievadīts
Mērķa ports: 53
Protokols: udp
TCP karogi: Nav ievadīts
Darbība: apstiprināt
Klients 4.3.2.1 izveido savienojumu ar jūsu HTTP serveri 1.2.3.4.
Avota IP: 4.3.2.1
Mērķa IP: 1.2.3.4
Avota ports: 44563 (nejaušs ports no īslaicīgā portu diapazona)
Mērķa ports: 80
Protokols: tcp
TCP karogi: syn
Šī pakete var iziet caur ugunsmūru, jo atļauta visa ienākošā satiksme.
Serveris vēlas atbildēt uz savienojuma pieprasījumu ar SYN & ACK paketi:
Avota IP: 1.2.3.4
Mērķa IP: 4.3.2.1
Avota ports: 80
Mērķa ports: 44563
Protokols: tcp
TCP karogi: syn & ack
Šī pakete nevar iziet caur ugunsmūru izejošā virzienā, jo izejošā TCP satiksme ir atļauta tikai uz portu 80.
Pareizību nodrošina vai nu vispārīgs noteikums, kā aprakstīts iepriekš, vai ārkārtas noteikums, lai ļautu tikai atbildes no tīmekļa servera:
Avota IP: Nav ievadīts
Mērķa IP: Nav ievadīts
Avots-Port: 80
Mērķa ports: 32768-65535 (Īslaicīgā Porta diapazons)
Protokols: tcp
TCP karogi: ack
Darbība: apstiprināt
Ugunsmūra veidnes
Ja noklikšķināt uz pogas Ugunsmūra veidnes
servera pārskatā (Galvenās funkcijas
-> Serveri
), jūs varat izveidot savus noteikumu kopumus. Tad jūs varat ielīmēt šos noteikumus no nolaižamā izvēlnes serveru ugunsmūra konfigurācijai un konfigurēt tos.
Turklāt pēc noklusējuma ir vairākas iepriekš definētas parauga veidnes parastiem servera pakalpojumiem.